Phishing: Analisi del clone e rivendita del kit su Telegram
![](https://i0.wp.com/www.d3lab.net/wp-content/uploads/2022/11/Schermata-2022-11-18-alle-10.43.37.png?resize=460%2C451&ssl=1)
Il Threat Intelligence Team di D3Lab, nelle consuete attività quotidiane di analisi e contrasto alle frodi online ha rilevato nella giornata del 2 Novembre la creazione di un nuovo dominio Ad Hoc contenente un sito di phishing ai danni di ING Bank.
ING Bank è parte di ING Group (www.ing.com), gruppo bancario di origine olandese che offre servizi e prodotti bancari in più di 40 Paesi tra Europa, America del Nord, America Latina e Asia.
La campagna diffusa tramite la creazione di un nuovo dominio Ad Hoc, presumibilmente veicolata tramite messaggi di testo ( Smishing ) ha come intento quello di carpire le informazioni di accesso all’home banking, in questo caso codice utente e data di nascita della vittima.
Analizzando questa campagna di phishing è stato possibile individuare e studiare il funzionamento del kit.
Facciamo un piccolo preambolo su cosa sono i kit di phishing.
Essi rappresentano l’insieme di tutti i file, solitamente php, css e immagini che consentono di ricreare una falsa pagina web dell’home banking in questione con il fine di carpire alla vittima le sue informazioni sensibili. Il Command and Control, o Panel, compreso usualmente nel kit, permette al criminale di avere un riepilogo visuale del numero di vittime e dei dati carpiti.
Dall’analisi della campagna di phishing si è risaliti al Command and Control che presenta una particolarità, infatti nella home page del C2 vi è la firma del creatore del kit.
![](https://i0.wp.com/www.d3lab.net/wp-content/uploads/2022/11/Schermata-2022-11-02-alle-15.26.31.png?resize=1030%2C539&ssl=1)
Dalla quale è possibile risalire al profilo Telegram dell’autore, ma ancora più di interesse ad un canale Telegram da lui amministrato che all’inizio del monitoraggio contava 643 iscritti. Ed è qui che il phisher vende, accettando pagamenti in crypto, i propri panel per la cifra di 275 sterline con opzione di personalizzazione a 300.
![](https://i0.wp.com/www.d3lab.net/wp-content/uploads/2022/11/Schermata-2022-11-02-alle-15.28.00.png?resize=1030%2C517&ssl=1)
![](https://i0.wp.com/www.d3lab.net/wp-content/uploads/2022/11/Schermata-2022-11-02-alle-15.32.41.png?resize=1030%2C520&ssl=1)
Tra i phishing kit italiani in vendita troviamo i seguenti enti:
- Nexi
- Inbank
- Alfabeto Fideuram
- San Paolo
- Unicredit
- Poste Italiane
A conferma di quanto detto, nei giorni scorsi, sono stati rilevati altri 2 domini creati Ad hoc ai danni di Intesa San Paolo, con lo stesso Command and Control.
![](https://i0.wp.com/www.d3lab.net/wp-content/uploads/2022/11/Schermata-2022-11-04-alle-16.16.43.png?resize=1030%2C577&ssl=1)
Ma tale attività criminale non si limita solamente al panorama italiano.
Sono presenti in lista, ordinata per paesi, oltre 300 enti impattati e rappresentati in questa lista:
Invitiamo pertanto gli utenti a prestare attenzione e a non divulgare le proprie informazioni personali ( username, password, e-mail, etc ).