Quando il phisher compra il certificato

falsa pagina Agip/Eni

I cyber criminali tornano ad approfittare del momento di crisi per ingannare gli utenti del web con una falsa offerta di carburante con prezzo bloccato ad un Euro al litro da parte di Agip/Eni.

falsa pagina Agip/Eni

Il tentativo di frode risalente a martedì 5 Febbraio 2013 si rivela particolarmente insidioso per l’utilizzo da parte dei criminali di un certificato SSL, come evidenziato dallo screenshot soprastante.

 

L’attacco viene veicolato attraverso uno messaggio di posta elettronica avente per oggetto “Note” e mittente apparente l’indirizzo [email protected], che presenta quale unico testo il link all’url http://www.agipshopping.com/.

Il dominio agipshoppong.com risulta registrato presso NO-IP

Domain Name: AGIPSHOPPING.COM
Registrar: VITALWERKS INTERNET SOLUTIONS LLC DBA NO-IP
Whois Server: whois.no-ip.com
Referral URL: http://www.no-ip.com
Name Server: NS1.NO-IP.COM
Name Server: NS2.NO-IP.COM
Name Server: NS3.NO-IP.COM
Name Server: NS4.NO-IP.COM
Name Server: NS5.NO-IP.COM
Status: clientTransferProhibited
Updated Date: 03-feb-2013
Creation Date: 03-feb-2013
Expiration Date: 03-feb-2014

a nome di una italiano

Domain Name: AGIPSHOPPING.COM
Created On: 03-Feb-2013 08:00:00 UTC
Last Updated On: 03-Feb-2013 19:19:01 UTC
Expiration Date: 03-Feb-2014 19:19:11 UTC
Sponsoring Registrar: Vitalwerks Internet Solutions, LLC / No-IP.com
Registrant Name: martina, XXXXXXXX
Registrant Organization: 
Registrant Street1: Via XXXXXXXXXXXXX 20
Registrant Street2: 
Registrant City: napoli
Registrant State/Province: Not Applicable
Registrant Postal Code: 801374
Registrant Country: IT
Registrant Phone: +380.XXXXXXXXX
Registrant FAX: 
Registrant Email: [email protected]

presumibilmente inconsapevole o inesistente, ed hostato (al momento attuale 00:42 08/02/2013) su Amazon

 

NetRange:       174.129.0.0 – 174.129.255.255
CIDR:           174.129.0.0/16
OriginAS:       
NetName:        AMAZON-EC2-5
NetHandle:      NET-174-129-0-0-1
Parent:         NET-174-0-0-0-0

 

L’url svolge semplice funzione di redirect dirottando il visitatore sulle pagine web fraudolente riproducenti logo e grafica di Agi/Eni all’url:

https://www.eni-shopping.com/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL22.php

In questo caso il dominio, in hosting su HostMonster, risulta registrato su FastDomain

Domain Name: ENI-SHOPPING.COM
Registrar: FASTDOMAIN, INC.
Whois Server: whois.fastdomain.com
Referral URL: http://www.fastdomain.com
Name Server: NS1.HOSTMONSTER.COM
Name Server: NS2.HOSTMONSTER.COM
Status: clientTransferProhibited
Updated Date: 19-jan-2013
Creation Date: 19-jan-2013
Expiration Date: 19-jan-2014

ed il registrante essere protetto dal servizio di privacy.

La novità di questo caso di phishing non è rappresentata tanto dall’utilizzo di un sito disponibile anche via https, cosa già verificatasi in occasione della violazione di siti di e-commerce che prevedevano tali funzionalità sfruttate dal phisher nel link ipertestuale, ma dal fatto che il phisher ha comprato il certificato:

certificato valido

 

dettagli certificato SSL

Sebbene i dettagli del certificato, rilasciato nella seconda metà del Gennaio scorso, non riportino informazioni sul titolare, la capacità di inganno di questa frode è elevatissima in quanto ben pochi utenti analizzano il certificato tanto più che il nome dominio sembra plausibile e che essendo coerente con il certificato non provoca l’apparizione di alcun warning.

I realizzatori sono presumibilmente i medesimi degli attacchi rilevati nei mesi di Novembre e Dicembre 2012 in quanto si individuano i medesimi path nell’organizzazione di file e directory, tali da consentire il recupero, volendo, delle credenziali frodate.

La home page di eni-shopping.com è tratta da tutt’altro dominio/sito presumibilmente al solo scopo di trarre in inganno chi svolgesse un controllo superficiale.