Phishin Expedia, Banca Popolare di Sondrio, Poste e Bper

pagina fraudolenta

Nella giornata odierna il monitoraggio D3Lab ha permesso di rilevare un nuovo tentativo di frode a danno dei clienti del portale di prenotazione alberghiere Expedia, phishing mirato principalmente a colpire gli albergatori collegati al portale.

pagina fraudolenta

 

Si tratta in realtà del sesto attacco registrato da D3Lab dall’inizio del 2014. Attacchi identici erano stati rilevati nel 2013, anno nel quale i phisher avevano colpito anche gli iscritti al portale Venere.com.

 

L’esame delle directory esplorabili evidenziava immediatamente la presenza di un file php che si rivelava essere una shell

index of

remota nsTView v.2.1 protetta da login.

 

login shell remota

 

Questo fattore andava ad aggiungersi a altri indizi che permettevano di correlare l’attacco appena rilevata a recenti tentativi di frode attuati a danno di Banca Popolare dell’Emilia Romagna, nel corso dei quali era stata individuata la medesima tipologia di shell, sempre in un file php con l’identico nome.

Gli attacchi a BPER si erano dimostrati ben articolati, con l’url di attacco, il link presente nella mail, avente funzione di redirect, portando le vittime verso la pagina clone posizionata in un secondo sito compromesso, dall’esame del cui codice si rilevava l’invio delle credenziali raccolte nel form ad un terzo sito violato.

Proprio esaminando uno dei siti web nei quale erano state inoculate le pagine clone si rilevava la sostituzione dei file costituenti

index of

 

il clone BPER con altri. Uno di questi era la shell remota nsTview già rilevata in precedenza, con identico nome,

 

 

login shell remota

 

mentre gli altri file provvedevano a visualizzare pagine clone atte a colpire i clienti di Poste Italiane, per carpirne i dati delle carte

 

clone Poste Italiane 

 

 

di credito, nonché i clienti del Banco Popolare di Sondrio, con la finalità di comprometterne l’account di home banking

 

 

prima pagina fraudolenta

 

attraverso la richiesta di tutte le serie di password dispositive riportate sulla ScrignoCard.

 

seconda pagina fraudolenta

 

Al termine della falsa procedura di autenticazione il codice delle pagina provvederà a riportare l’utente sulla legittima pagina di logout dell’home banking del Banco Popolare di Sondrio.

Per completezza si riporta come lo scorso febbraio il medesimo sito sia stato utilizzato dai criminali per posizionare pagine di phishing volte a colpire i clienti dell’istituto bancario Monte Parma.

Dei tre siti web citati nel presente post due sono cinesi ed uno giapponese.

Il caso Expedia trattato nel presente post permette di evidenziare come il monitoraggio continuativo e l’esame di tutti i casi di phishing rilevabili permetta di individuare un filo conduttore, costituito dall’utilizzo dei medesimi siti violati, dall’uso delle stesse vulnerabilità per accedere agli spazi di hosting, dalla predilezione per una specifica tipologia di shell, che permette di riconoscere la mano comune e quindi di addebitare ad un medesimo gruppo criminale la paternità di un certo numero di attacchi di phishing.

Tale evidenza palesa la dinamicità dei gruppi criminali capaci operare in un breve periodo a danno di svariati enti target.

 

/da