Phishing ING Direct con falsa offerta Agip

Il personale D3Lab esamina casi di phishing dal 2009 e nell’arco del tempo ha avuto modo di rilevare cambiamenti nelle metodiche criminali, talvolta cambiamenti importanti, adottati da alcune entità piuttosto che da altre, quindi utili come fingerprint per identificare il team criminale autore di una campagna di phishing piuttosto che di un’altra.

Uno dei gruppi criminali più agguerriti fu identificato sin dal 2012 e in D3Lab lo denominammo Recorder Team. Nei primi due anni questa entità criminale operò con metodiche abbastanza standard, ma in breve si distinse per l’impiego di nomi dominio che l’utenza del web poteva facilmente confondere con quelli legittimi delle società target. Inizialmente si trattò di nomi host per i servizi di dns dinamico,  ma in breve, presumibilmente dopo una prima fase operativa ed il conseguente ritorno economico, il team cominciò ad investire su domini di secondo livello.

Era in tal senso possibile seguire e correlare i casi di phishing attraverso l’analisi dei nomi dominio e dei registranti. Sebbene si trattasse di vittime di casi di phishing precedenti i dati comuni a più whois consentivano di mantenere vivo il collegamento tra i singoli tentativi di frode.

Nel corso degli anni il Recorder Team si è dedicato a colpire i gestori di telefonia mobile, Agip/Eni con la falsa offerta del buono carburante, esattamente come fatto con Total Erg nell’autunno 2014,

Carrefour con la falsa carta spesa del valore di 500 € promessa agli utenti al solo costo di 100 €, senza dimenticare ovviamente Poste Italiane e molti altri.

Qualcuno si domanderà se questo gruppo criminale era “bravo” o meglio diciamo “efficace”. Si, lo era.

In un week-end poteva raccogliere i dati di carte di credito di oltre centocinquanta persone.
Nell’arco degli anni ha operato con link diretti, redirect, iframe, servizi di dns dinamico,

 

redirigendo le vittime in base ai BIN delle carte di credito inserite su pagine clone riproducenti i loghi degli enti emittenti le carte, implementando un sistema (mai usato in concreto negli attacchi, ma presente nel kit) che consentiva di recuperare la chiave segreta del secure code Visa/Mastercard, mascherando l’home page dei domini creati con finte pagine di McDonalds,

 

riuscendo presumibilmente a dribblare l’azione investigativa, se dal 2014 ad oggi i falsi domini Carrefour, per esempio, permangono sotto sequestro.

 

Ora i predatori son tornati. Non che avessero lasciato, ma la loro attività si era molto diradata.

Il campanello di allarme è suonato con la lavorazione delle segnalazioni del servizio di Brand Monitor degli ultimi giorni, che ha portato all’immediata individuazione di quattro domini di recente creazione e quasi immediatamente impiegati nell’azione di phishing.

Uno di questi è ingdirects[dot]net, sulla cui home page possiamo trovare una falso annuncio da parte di Banca ING Direct relativamente all’offerta di un buono carburante Agip/Eni.

 

Cliccando sul pulsante “Accedi alla promozione” si passa alla successiva pagina fraudolenta, posta in una differente directory per ogni visitatore,

 

in essa cliccando sul pulsante “Clienti” viene ripetuta in un piccolo pop-up l’offerta del buono carburante Agip, quindi, dopo una breve attesa marcata da una gif animata a forma di zucca, si passa alla successiva pagina in cui vengono chiesti i dati di accesso al portale di internet banking di ING Direct.

 

L’impressione è quella che il kit di phishing riesca a verificare la bontà delle credenziali inserite dalle potenziali vittime e consenta il passaggio alle successive pagine fraudolente solo ad effettivi titolari di un account, quindi a vittime ormai conclamate.

Si raccomanda la massima attenzione.