Quando le pagine di phishing sono interne al sito della banca

corpo del messaggio fraudolento

Quale potrebbe essere la massima gioia di un criminale dedito al phishing?

Inserire le proprie pagine all’interno del sito web di un istituto bancario. E questo è quanto si è verificato in questi giorni.

L’attacco in questione è volto a colpire i titolari di CarteBcc.

La mail fraudolenta apparentemente inviata da un indirizzo ip britannico, presenta le seguenti caratteristiche

corpo del messaggio fraudolento

 

 

Oggetto: Avete ricevuto 1 notifica dal servizio online!

corpo del messaggio (in html)

—————————————————————————————————————————————–

Gentile Cliente,

Ti ricordiamo che da questo momento al fine di sbloccare la carta, è necessario scaricare e compilare il modulo allegato a questa email altrimenti la carta sarà  chiuso definitivamente.

Grazie per aver scelto CartaBcc.

************************

Questa e-mail e’ stata inviata da una utenza di servizio. Si prega di NON rispondere.

This e-mail message has been sent by a service account. Please, DO NOT reply.

************************

************************

Questo messaggio e’ stato inviato dall’Amministrazione del Portale della Sua carta e puo’ contenere informazioni di carattere estremamente riservato e confidenziale. Qualora non fosse il destinatario, La preghiamo di eliminare il messaggio, con gli eventuali allegati, senza trattenerne copia. Qualsiasi utilizzo non autorizzato del contenuto di questo messaggio costituisce violazione dell’obbligo di non prendere cognizione della corrispondenza tra altri soggetti, salvo piu’ grave illecito, ed espone il responsabile alle relative conseguenze civili e penali.

This message and its attachments (if any) has been sent by the Portal of your card’s administration account and may contain confidential, proprietary or legally privileged information. It is intended only for the use of the addressee named above. No confidentiality or privilege is waived or lost by any mistransmission. If you are not the intended recipient of this message you are hereby notified that you must not use, disseminate, copy it in any form or take any action in reliance on it. If you have received this message in error, please delete it.

****************************************************

—————————————————————————————————————————————–

Come riportato nel messaggio la mail presenta un allegato, nello specifico un file html che aperto in locale dal destinatario della mail fraudolenta si presenta come mostrato nell’illustrazione sottostante

allegato 

 

Metodica di attacco che non rappresenta per nulla una novità.

Ciò che colpisce è che la pagina php destinata a ricevere e gestire i dati inseriti nel form ed inviatigli con metodo POST

particolare codice html dell'allegato

 

sia residente all’interno del sito web di una delle tante Banche di Credito Cooperativo.

Wireshark mostra chiaramente l’invio di dati fittizi al file veverita.php che ricevute le credenziali, dopo averle presumibilmente inviate via mail al criminale, indirizza la navigazione dell’utente sul sito web legittimo di Credito Cooperativo.

follow tcp stream con wireshark  

 

il personale dell’istituto è stato avvisato.

Il phisher avrebbe potuto inserire non solo la pagina php per la gestione delle credenziali, ma anche la pagina clone ..il potere di inganno sarebbe stato notevole.

 

/da