Phishing InBank

mail fraudolenta

Nella giornata odierna il monitoraggio D3Lab ha permesso di rilevare un tentativo di phishing a danno dei clienti deli istituti di credito facenti uso del sistema di home banking InBank gestito dalla Phoenix Informatica Bancaria SpA, società che fornisce servizi bancari a 150 anche sul territorio nazionale.

La mail di phishing, partita da un indirizzo IP peruviano, presenta le seguenti caratteristiche:

mail fraudolenta

 

 Mittente visualizzato: InBank.it”<[email protected]>

Oggetto: MPCYXHKHXD

Corpo del messaggio:

————————————————————————

Per ragioni di Sicurezza e Protezione, e per il miglioramento del nostro servizio и necessario confermare il tuo conto. Per questo, и necessario Scaricare e completare il documento allegato © InBank.it 2014 (Phoenix Informatica Bancaia) IRJWLZOJVWXHLSNHYXEPPVOKVRSZFKPUOQPRUW

————————————————————————

Allegato: InBank.Html

Il messaggio non è fortunatamente di buona fattura: sebbene in apparenza provenga da un indirizzo mail appartenente al dominio inbank.it, presenta un oggetto assolutamente criptico e, particolare maggiormente rilevatore, la mancata riproduzione del carattere “è” in luogo del carattere “и”, chiaro indicatore dell’opera di persone dell’Europa dell’Est o di Russia e paesi limitrofi.

La mail porta con se in allegato un file html, denominato InBAnk.hmlt, che aperto in locale presenta il logo del servizio

allegato fraudolento 

InBank ed un form in cui sono richiesti codice di accesso, password, indirizzo email e, per due volte consecutive, token otp. I dati sono inviato a pagine php posizionate su un server statunitense, dove, ricevuto un messaggio di errore si viene invitati

pagina web fraudolenta

 

a reinserire la medesima tipologia di dati richiesti dall’allegato. Al termine della procedura si approda su pagine legittime del servizio InBank.

L’analisi di parte del codice php utilizzato dai criminali fornisce una ulteriore informazione sulla loro origine: se si cercano in

codice php

rete informazioni relative al nick name riportato quale firma in seconda riga (// made by NoiDoi) si individuano notizie riferite a due artisti (cetamente estranei ai fatti) del panorama musicale romeno.

 

/da