Phishing Volksbank, ma c’è chi lavora bene

pagina clone

Troppo spesso i criminali dediti al phishing operano realizzando siti clone che traggono immagini, fogli di site e javascript direttamente dai siti legittimi degli enti attaccati.

Basterebbe poco per evitare che ciò avvenga e il phishing odierno a danno di Banca Popolare dell’Alto Adige ne è una dimostrazione.

pagina clone

come mostrato dall’immagine soprastante la pagina web realizzata dai criminali non mostra alcuna immagine.
Osservando il codice della pagina web si nota come le immagini siano tratte dal dominio legittimo di Volksbank.

codice html

se si cerca di visualizzare l’immagine da domini non appartenenti a Volksbank si ottiene un messaggio di errore indicante un probabile determinato dalla richiesta della risorsa giungendo con un referer esterno a Volksbank.

blocco immagini

Il sistema usato da Volksbank è certamente efficace sino a che il cyber criminale non decide di uploadare insieme al file htm/html anche tutti i file grafici.

La seconda pagina fraudolenta ha la funzione di catturare la griglia dei codici dispositivo usati da chi non fa uso di token otp.

seconda pagina fraudolenta

L’attacco di phishing in questione è stato portato attraverso l’uso di redirect posizionati nello spazio web di siti altrui grazie a file manager non protetti. 

file manager non protetto

Nel caso specifico il sito web francese è in uso sin dal 18 marzo per portare attacchi di phishing a danno di Banca Popolare dell’Emilia Romagna, Banca Popolare di Sondrio e oggi Volksbank.

segnalazioni di phishing

Le pagine clone sono state inserite in un secondo sito web violato facendo uso di assetmanager, un altra tipologia di file manager che è spesso possibile individuare non protetto con semplici dork.

file manager

Il foglio di stile richiamato dalla seconda pagina fraudolenta è tratto da un terzo sito, compromesso sempre facendo uso di file manager non protetto.

L’uso di redirect, assetmanager e file con nomi “standardizzati” consente di attribuire la paternità dell’attacco descritto ad un gruppo criminale identificato sin dal 2009, responsabile anche nel 2010 e 2011 di una violentissima campagna di phishing a danno di molti istituti facenti capo all’home banking di Cedacri. 

L’attenzione nuovamente riposta da tale gruppo ad istituti colpiti in passato, con la forte attività registrata nel mese di marzo, lascia ipotizzare una recrudescenza dei tentativi di frode per i prossimi mesi.

/da