Phishing Intesa SP 20160311 with sub-domains

Negli ultimi mesi il phishing a danno di clienti Intesa SanPaolo si è molto intensificato. Le metodiche con cui è realizzato sono diverse e spesso queste metodiche, rimanendo costanti nel tempo, permettono di identificare i diversi team criminali.

Risulta interessante esaminare alcune metodiche di realizzazione e per fare ciò partiamo da una serie di url di attacco rilevati nella giornata del 10 marzo 2016:

http://ikf65y8x.triviashootout.com/
http://iek1.scooteraz.com/ek1.png
http://i9j1vsd6x6tpf5.scooteraz.com/
http://iq.sayili.com.tr/
http://i0s2uf5t2n6cl.marisas-ristorante.com/
http://iyi2qodn17.limofind.com/yi2qodn17
http://i4nspxbe.limofind.com/
http://droon99.com/
http://iuo1ldzcegy88hj.berketadilat.com/
http://iy.my-payroll-place.com/
http://iri.mockhoago.net/
http://i3jkd.pcfp.com/
http://i4savz008ar6d.triviashootout.com/
http://droon99.com/
http://droon99.com/
http://droon99.com/
http://www.droon99.com/
http://droon99.com/
http://iu.hollyf5yoursenses.com/
http://sic3x.marisas-ristorante.com/
http://is1n.nsdrc.net/
http://ik.turkeycampout.org/
http://ivuxi2j.mutfakdolabisitesi.com/
http://iys60jzfyy58fp3.ecticon2015.org/
http://sicio3fi41pwy.marisas-ristorante.com/
http://sicjsaay2e7unx.marisastrumbull.com/
http://i.turkeycampout.org/
http://ii2e0lm47i4c8.marisasbrunch.com/
http://i6pqrh5pk.sayilipetrol.com/
http://sicgc.marisastrumbull.com/
http://i04qsijkcg11w5d.wyseonline.com/
http://ii.mutfakdolabisitesi.com/
http://ivuxi2j.mutfakdolabisitesi.com/
http://iww.oto67.com/
http://i61.oto67.com/
http://igpmjqs37vcr.efe-mantolama-tadilat.com/
http://i.dnaland.com/
http://icrgr43kg8.mutfakdolaplarifiyat.com/
http://ii.mutfakdolabisitesi.com/
http://id6hr1nqlm800.sayili.com.tr/
http://ifos4da0.oto67.com/
http://i9s8n50wv5ay.mutfakdolaplarifiyat.com/
http://i01e1c3cg8.mercedesbenz-vietnamstar.com/
http://itbhrm.nsdrc.net/
http://idmfs7jp0d8u0.nsdrc.net/
http://sicsljvky0.limofind.com/
http://ib7jwgdt0ny2rnx.nsdrc.net/
http://ib29u.nsdrc.net/
http://i9imt0k4d41sp.nsdrc.net/
http://i3y258786zx.nsdrc.net/
http://sicwu.limofind.com/
http://idanh9wa.nsdrc.net/
http://i6dlvccs.nsdrc.net/
http://i7vrxkvf5c.marisasrestaurant.com/
http://ik78rolgbfre0lx.mr3webdesign.com/
http://iafuojkm2xn.diamondpfs.com/
http://iv0yn.randrpartnershipinc.com/
http://i6r1x5ocz6o9nfm.blusky.us/
http://link.randrpartnershipinc.com/
http://ip.turkeycampout.org/
http://sicreyxt8.pjsconstruct.com/
http://icrdru0c68f2m4n.dnaland.com/
http://iu2wt4e5wi9.dnaland.com/
http://sicfbt5rr.pjsconstruct.com/scriptlogin
http://ib8houa2z4luco9.turkeycampout.org/
http://iuxtvx84b7o.phoenixhealthcarenow.com/
http://sic1wl6mm1g.randrpartnershipinc.com/
http://i6u0kgd.travcomm.com/
http://link88dex6l8q2n.mr3webdesign.com/
http://linkhzxuulwl6.glenbelushcpa.com/
http://iy1n6z3vswf5952d.phoenixhealthcarenow.com/
http://iwetnbamjchfqoy.click-epti.com/
http://i07e7nc8.indianaaudubon.org/
http://link.marisasristorante.com/
http://linktwsb6vqgjipee3.gaelectricco.info/
http://imvy.nptsampharn-dol.go.th/
http://linknnn4xx.pjsconstruct.com/
http://io0yld7.caosukythuat.net/
http://linke7iu93g557hjhq0.mr3-web.com/
http://sicmkfnu4a6j2di.marisasristorante.com/
http://i9nfk1v4md71.turkeycampout.org/
http://sic8zy.jglandscapingllc.com/
http://ip.travcomm.com/
http://www.droon99.com/
http://iocknfn5.caosukythuat.net/
http://sicmiwydzhkhd2h.marisas-ristorante.com/
http://izu56c.caosukythuat.com/
http://iuo6nakm1y.it-cpr.com/
http://linkp7cfvjjnf3w.randrpartnershipinc.com/
http://sicssw.glenbelushcpa.com/
http://ifyy8u96jf3we9n.travcomm.com/
http://sic1ok.triviashootout.com/
http://ig6xvav2d.caosukythuat.net/
http://siclqz77jpjozlan5.marisas-ristorante.com/
http://ibgnx6.ga-service.com/
http://ircxny75.blusky.us/
http://ix6.caosukythuat.net/
http://itossyv.bismconsulting.com/

Nella barra del browser gli url in questione sono solitamente seguiti da parametri quali “email” ed “id” riportanti indirizzi mail di chi ha ricevuto i messaggi fraudolenti e stringhe alfanumeriche,
http://i7i.mr3-web.com/7i?id=58C6C85C8D25BB64077F7AD88C314B0A&[email protected]&

nonché path (directory e file) usualmente fittizi e gestiti attraverso le policy di rewrite di htaccess.

I parametri quali email ed id potrebbero in realtà permettere ai criminali di verificare gli indirizzi mail reali e di evitare visitatori indesiderati (…visualizzi la pagina solo se eri tra i destinatari della mail…) in realtà tale approccio non risulta usato dall’esame dei kit di phishing sino ad ora recuperati.

Gli url di attacco sopra riportati fanno in realtà riferimento ad un unico clone riproducente grafica e loghi di Intesa San Paolo

(NOTA BENE: Google safe brrowsing evidenzia in rosso che il form verrà trasmesso senza fare uso di https)

posizionato su un server dedicato  (198.12.67.179 ) su cui risiede il dominio DROON99.COM registrato nel 2013:

Domain Name: DROON99.COM
Registrar: GODADDY.COM, LLC
Sponsoring Registrar IANA ID: 146
Whois Server: whois.godaddy.com
Referral URL: http://www.godaddy.com
Name Server: NS75.DOMAINCONTROL.COM
Name Server: NS76.DOMAINCONTROL.COM
Status: ok https://www.icann.org/epp#OK
Updated Date: 13-may-2015
Creation Date: 17-mar-2013
Expiration Date: 17-mar-2017

Lo spazio web di tale dominio presentava qualche tipo di contenuti almeno sino al maggio 2014

successivamente e fino al 5 marzo 2016 si poteva vedere la pagina di default di Apache server su Ubuntu

 

I criminali dopo aver avuto accesso allo spazio web del dominio DROON99.COM ed aver posizionato in esso il clone, hanno violato almeno altri 18 domini

• triviashootout.com
• scooteraz.com
• sayili.com.tr
• marisas-ristorante.com
• limofind.com
• droon99.com
• berketadilat.com
• my-payroll-place.com
• mockhoago.net
• pcfp.com
• hollyf5yoursenses.com
• nsdrc.net
• turkeycampout.org
• mutfakdolabisitesi.com
• ecticon2015.org
• marisastrumbull.com
• marisasbrunch.com
• sayilipetrol.com

posizionati su 7 diversi server in 4 diverse nazioni

• 65.60.23.41 USA
• 70.34.35.58 USA
• 74.54.19.66 USA
• 198.12.67.179 USA
• 46.235.8.126 Turkey
• 112.78.1.28 VietNam
• 112.121.151.155 Thailand

e accedendo ai pannelli di gestione di questi hanno abilitato il wild card per i domini di livello inferiore e puntando
qualsiasi-stringa.unodei18dominibucati.tld
sul server dedicato con ip 198.12.67.179 contenente DROON99.COM.

 

Tale metodica di attacco offre al criminale diversi vantaggi:

1- creazione di illimitati url di attacco, limitando l’efficacia dei meccanismi di black listing

2- creazione di nomi dominio particolarmente lunghi, che nella barra degli indirizzi di dispositivi smartphone di ridotte dimensioni potrebbero essere visualizzati solo in parte, es:
bancaintesa.sanpaolo.com-areapersonale.login.sayilipetrol.com
ottenendo la visualizzazione solo di parte ingannevole dell’url, come nell’immagine sottostante

 

3- rendere complessa l’azione di take down, diventando necessario non solo contattare i referenti di DROON99.COM, ma anche quelli di tutti i domini usati per i fake url, spiegando loro che le pagine di phishing non sono nei loro siti, ma che il loro pannello di gestione domini è comunque stato (presumibilmente) violato.

 

Tornando ai fatti: ma cosa interessava ai criminali?

Esaminando il clone si rileva la richiesta sia dei dati di login, che di otp e carta di credito.

 

Nel caso specifico, in base all’esperienza maturata, sembrerebbe probabile che i criminali mirino unicamente ai dati di carta di credito.

L’uso del token OTP non rappresenta per i criminali un problema insormontabile: l’uso di console di monitoraggio (come raccontato nel post “Phishing con operatore per aggirare i token otp“) permette loro di interagire con la vittima, sfruttando le credenziali ricevute

 

praticamente in tempo reale, consentendo loro di ordinare pagamenti con estrema abilità e velocità.

Tra l’altro uno di questi casi è attivo proprio in questi giorni sempre ai danni di Intesa San Paolo.

Quindi, per concludere: è errato considerare il phishing una minaccia ridicola, sia per le sue potenzialità, sia per le metodiche con cui viene attuato.