Lo scorso Giovedì 6 Aprile abbiamo rilevato diversi attacchi di Phishing ai danni della Banca Popolare del Lazio, di tale ente in passato non avevamo mai rilevato alcun tentativo di Phishing. In una prima fase l’intento del Phisher era quello di carpire esclusivamente le credenziali di accesso all’Home Banking, effettuando l’inserimento delle credenziali la vittima veniva reindirizzata al sito autentico dell’istituto bancario.

Nel pomeriggio della medesima giornata abbiamo rilevato una successiva modifica al kit, una volta digitate le credenziali la vittima era invitata a digitare il proprio Token OTP. Attaverso le credenziali e il token il criminale può operare sul Home Banking delle vittima eseguendo operazione illecite, quali bonifici, ricariche telefoniche, ecc ecc.

Analizzando il codice HTML ci troviamo di fronte a due pagine molte semplici in quando il Phisher ha sfruttato una tecnica sempre più diffusa per ovviare ad eventuali problemi grafici, anzichè replicare ogni singola immagine, regole css e JavaScript le due pagine sono composte da una grande immagine di sfondo che riproduce il sito ufficiale sovrapposta esclusivamente dai form per raccogliere le informazioni della vittima.

Notiamo attraverso queste due immagine di sfondo un ulteriore conferma dell’avvenuto aggiornamento del kit, l’orario riportato nei due precedenti screnshot  è diverso con un lasso di tempo importante. Infatti l’immagine di sfondo della schermata di login riporta “2017-04-06 08:48” mentre l’immagine di sfondo della schermata del codice OTP riporta “2017-04-06 14:59”. 6h di differenza in cui il Phisher  ha sfruttato le credenziali inserite da una vittima per poi effettuare un accesso illecito al homebanking e poi clonare anche una seconda pagina.

Un ultimo particolare, che forse i lettori più attenti avevano già notato nel secondo screenshot, alla destra del messaggio Bentornato/a appare normalmente il nome del cliente dell’istituto di credito una volta eseguito il login. In questo caso il Phisher ha coperto il nominativo con un rettangolo grafico trascurando il cambio di gradiente, permetendoci quindi di riconoscere un ulteriore alterazione.

Concludiamo l’articolo mostrandovi l’immagine della eMail pervenuta alle vittime ricordandovi di prestare sempre la massima attenzione.

1 commento

Trackbacks & Pingbacks

  1. […] ulteriori informazioni come Carte di Credito, Documento o Codici OTP. Ma come abbiamo visto in passato il Phisher potrebbe aggiornare i siti cloni in corso d’opera integrando la richiesta di […]

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Rispondi