Phishing Apple, la minaccia crescente

Dall’inizio dell’anno D3Lab ha attivato il proprio monitoraggio sui tentativi di frode on-line della tipologia phishing ai danni degli utenti Apple.

I numeri sono quelli di un fenomeno in salita ….in fortissima salita.
Dall’inizio dell’anno D3Lab ha rilevato oltre 40 differenti url di attacco, con l’impiego di 36 dominio principali e 16 secondari, costituenti questi ultimi le destinazioni di attacchi con redirect.
In 3 diversi casi i siti, compromessi, contenenti le pagine clone disponevano di certificati SSL validi e questo ha consentito ai criminali di proporre alle vittime pagine web nelle quali saltava all’occhio, nella barra degli indirizzi del browser, l’indicazione verde ed appariscente  “https”.

 

 

 

Il phishing ai danni degli utenti Apple si sta dimostrando estremamente letale.

La mails di attacco di cui trattiamo in data odierna, presentano le seguenti caratteristiche

 

 

 

Oggetto: Apple ID e stato disabilitato per ragiono di sicurezza

corpo della mail (html):

—————————————————————————–

Apple ID e stato disabilitato per ragiono di sicurezza

Caro cliente,

Qualcuno ha provato a entrare sul tuo account Apple da un altro indirizzo IP 217.156.2.01 .

Cortesemente verifica la tua identita oggi, altrimenti il tuo account verra disabilitato

per le nostre preoccupazoni sulla sicurezza e l’integrita della comunita Apple.

Per verificare la tua identita , ti raccomandiamo di andare su:

Verifica Ora >

Grazie,

Apple Customer Support.

Copyright 2014 iTunes, Inc. Tutti i diritti riservati.

—————————————————————————–

dove la dicitura “Verifica Ora >” cela il link malevolo ad un file php operante quale redirect verso pagine clone posizionate in un sito appartenente ad un dominio dotato di certificato SSL valido.

Questa si sta dimostrando essere la metodica standard di un gruppo criminale ben rodato, operante sin dal 2012 con attacchi a danno di PayPal Italia, Carta Sì, Poste Italiane e dell’ente riscossione tributi danese SKAT.

Ad incrementare la letalità di questa tipologia di attacco è il fatto che i criminali hanno implementato codice per verificare l’effettiva esistenza dell’account Apple e solo se tale verifica ha esito positivo procedono con la richiesta degli ulteriori dati.

Il dramma è che pagine di phishing di questo tipo sembrano avere una certa persistenza, risultando attive per più giorni.

D3Lab ha condotto, in sette giorni. un parziale monitoraggio di due casi riferibili alla fattispecie sopra descritta, rilevando 170 codici di carte di credito, validi secondo l’algoritmo di Luhn, catturati dai criminali ad ignare vittime.

 

A ciò va sommato il possibile esproprio dell’account Apple. Quanti dati vi sono riposti??

In data odierna D3Lab ha cercato di evidenziare il problema ad Apple Italia. Al momento non si è ricevuta alcuna risposta.