Phishing CariChieti

mail fraudolenta

Come detto in precedenti post il 2014 ha presentato una recrudescenza degli attacchi di phishing, con i criminali intenti ad intensificare i tentativi di frode nei confronti di enti già colpiti, ma anche a designare nuovi target.

Il monitoraggio svolto in modo perpetuo ha permesso a D3Lab di rilevare un tentativo di phishing a danno dei clienti della Cassa di Risparmio di Chieti, che poggia il proprio home banking sulla piattaforma di CSE (Consorzio Servizi Interbancari).

La mail datata 11 Aprile, partita da un indirizzo IP francese e transitata su un server britannico, presenta le seguenti caratteristiche:

mail fraudolenta 

 

 

mittente apparente: Titolari

oggetto: mail@destinatario Estratto Conto

corpo del messaggio (in html):

——————————————————————————————————————————-

Gentile email,

Inforimiamo i nostri Titolari che l’estratto conto on-line dall mese
di Marzo e ora disponibile nell’ area riservata dal sito carichieti.it.
Ricordiamo ai nostri Titolari che ogni estratto conto rimane in linea fine
al terzo mese succesivo all’emissione.

Vedi estratto conto

Servizio Clienti Carichieti
4/11/2014 18:21:41
Questa e-mail e stata inviata all’indirizzio di posta elettronica da lei
indicato al momento dell’inscrizione al sito Carichieti.  

——————————————————————————————————————————-

con il collegamento ipertestuale che cela l’url di destinazione:

hxxp://carichieti.co.in/[email protected]/[email protected]%27

E’ opportuno notare che il phisher:

  • ha registrato un dominio sfruttando il nome legittimo dell’ente, ma usando altra estensione nazionale (il dominio è intestato ad una persona romena);
  • si è preoccupato di dare il giusto nome all’host in uso, in modo da legittimare maggiormente gli headers della mail;

particolare headers mail

 

La pagina fraudolenta, visualizzata dopo aver cliccato sul collegamento ipertestuale, riproduce fedelmente la pagina di login al portale di 

pagina clone

 

home banking CSE, presentando alcuni elementi, nella parte superiore destra, non presenti nella pagina legittima, verifiche più attente hanno permesso di rilevare come gli elementi indicati nell’immagine soprastante come in  eccesso, siano in realtà presenti anche sulla pagina del reale portale di home banking.  L’analisi del codice html evidenzia come in realtà si stia visionando una pagina con frame che trae la sua origina da pagine clone inserite in un sito Joomla compromesso.

particolare codice html

 

Effettuata l’operazione di login con soli username e password la vittima viene rediretta a pagine legittime del sito dell’istituto bancario.

 

/da