Phishing Banca del Sud
Pensare che l’attività di monitoraggio degli attacchi di phishing si concluda con il vaglio delle mail ricevute o l’analisi delle fonti aperte sarebbe limitante. Grazie all’esperienza maturata nell’ambito dell’analisi dei casi di phishing sin dal 2009, D3Lab ha potuto individuare nella mole di tentativi di frode vagliati, quelle caratteristiche che, comuni in parte di essi, consentono di ascriverne la paternità ad uno specifico gruppo.
L’attenzione dedicata in modo continuativo da cinque anni a tale fenomeno ha da tempo permesso all’azienda di “conoscere” le modalità operative, le consuetudini di alcuni di questi gruppi criminali, potendo in tal modo implementare il monitoraggio di mail e fonti aperte con l’attività di analisi, indagine e monitoraggio condotta sui siti e server in uso ai criminali.
Nella giornata odierna, il monitoraggio di uno dei siti web in uso ai criminali da ormai diverse settimane e da questi usato per colpire BPER, Banca Popolare di
Sondrio e Poste Italiane, ha permesso di individuare un nuovo file di redirect destinato a condurre i visitatori più ingenui su pagine di phishing realizzate per colpire i clienti di Banca del Sud e posizionate all’interno di un sito web, presumibilmente violato, già impiegato per ospitare pagine di phishing a danno di Expedia.
La pagina clone visualizza il box di login attraverso un frame presente in una directory di livello inferiore
che risultando esplorabile mostra il proprio contenuto, evidenziando l’utilizzo di immagini, fogli di stile e javascript
caricati nella struttura offensiva e non richiamati dal sito legittimo dell’istituto.
Dopo l’inserimento di username e password la vittima viene dirottata sulla seconda pagina destinata alla cattura dei codici dispositivi presentante la nota struttura
delle pagine di phishing usate per colpire gli home banking basati sul servizio erogato da Cedacri sin dal 2009/2010.
Dopo l’inserimento dei codici dispositivi le vittime vengono portate sulle pagine web del sito legittimo.
