Phishing Inbiz 20151026

mail fraudolenta

Inbiz è una piattaforma che Intesa SanPaolo ha realizzato affinché aziende, istituzioni finanziarie ed amministrazioni pubbliche possano gestire le proprie attività finanziarie, contabili e amministrative in modo accentrato, attraverso un unico strumento.

Ed è proprio questa piattaforma ad essere oggi stata presa di mira da un’entità criminale piuttosto eclettica, che nelle ultime settimane ha realizzato molti tentativi di phishing a danno degli utenti Apple ed anche di Intesa SanPaolo, Unicredit e Gruppo Hera.

La mail di attacco individuata presenta le seguenti caratteristiche:

 

mittente apparente:

Inbiz <[email protected]>

Inbiz <[email protected]>

Inbiz <[email protected]>

oggetto: Messaggio interno!

corpo del messaggio:

 ————————————————————-

Caro Clienti Inbiz,

 

Hai ricevuto un nuovo messaggio interno.

Clicca per leggere

————————————————————–

mail fraudolenta

 

Il link “Clicca” nasconde il collegamento all’url fraudolento mostrato nello screenshot sottostante, facente capo ad un sito web

 

pagina web fraudolenta

 

posizionato in un server statunitense

ip:54.212.252.185
asn:AS16509
city:Boardman
latitude:45.8399
country_code:US
offset:-7
country:United States
isp:Amazon.com Inc.
timezone:America\/Los_Angeles
region:Oregon
postal_code:97818
country_code3:USA

 

E’ opportuno notare che la pagina clone è stata inserita in un sito web violato dotato di certificato SSL valido, per cui si può osservare l’indicazione verde HTTPS, che da sola si dimostra non essere più un parametro di riferimento per valutare l’affidabilità della pagina web in cui si inseriscono le credenziali, ma che mantiene invece un elevato potere di inganno in assenza di ulteriori verifiche, quali il corretto nome dominio.

Questo fatto non è una casualità, rappresentando una della caratteristiche distintive di questo gruppo criminale, da D3Lab soprannominato Rocket Team. 
Rocket Team è stato recentemente (la scorsa settimana) autore di un attacco di phishing a danno degli utenti del società fornitrice di energia Gruppo Hera, società che attacco già nel dicembre 2012 e nei primi mesi del 2013, quando per altro si dedicava anche a colpire SKAT, ente di riscossione tributi danese.
Nel 2014 il Team colpì duramente gli utenti di servizi e dispositivi Apple, per poi far perdere le proprie tracce per tutta la prima metà del 2015. Dallo scorso agosto questo gruppo criminale è tornato ad operare nell’ambito italiano, cercando di catturare le carte di credito degli utenti Apple e dei clienti Intesa SanPaolo e, come abbiamo già detto, del Gruppo Hera.

Nelle ultime settimane Rocket Team ha mostrato un cambio di strategia mirando alle credenziali dei servizi di internet banking degli utenti Unicredit, strategia che evidentemente gli sta portando degli introiti se ora decide di mirare al medesimo tipo di dati degli utenti del servizio Inbiz di Intesa.

L’esame degli headers della mail evidenzia l’invio da host statunitensi facendo uso dello script x.php eseguito dall’utente www-data, il web server.

particolare headers

 

 

 

/da