Romania ai primi posti

mail fraudolenta

Spesso le cronache riportano notizie di frodi digitali, in particolare relativamente alla clonazione di bancomat e carte di credito, evidenziando il coinvolgimento in tali attività criminose di cittadini rumeni.

Sfortunatamente non si tratta di un luogo comune, di considerazioni fomentate da focolai xenofobi.

L’analisi degli attacchi di phishing consente non di rado di determinare come diverse attività finalizzate all’implementazione della struttura di attacco vengano portate da indirizzi IP rumeni, in altri casi (come più volte riportato da Edgar’s Internet Tools ed in passato su DenisFrati.it) l’analisi dei kit di phishing, l’insieme delle pagine costituenti i siti clone, rivela nel codice la presenza di numero commenti in lingua rumena.

Tale coinvolgimento è evidenziato anche dall’odierno tentativo di frode a danno degli utenti Vodafone.
La mail fraudolenta che centinaia di utenti del web avranno trovato stamane nelle proprie caselle di posta, transitata per un server di 

 mail fraudolenta

 

posta indonesiano, riprende l’attuale offerta ampiamente pubblicizzata in televisione per la promozione Vodafone Summer Smart500 e presenta le seguenti caratteristiche:

Mittente visualizzato: “Vodafone” <[email protected]>

Oggetto: Smart 500 ti costa la metà.

Testo del messaggio (codificato in base64):

———————————————————————————————————–

GENTILE CLIENTE,
SUMMER PROMO 500 Vodafone fino al Giovedi 11 luglio 2013  ti premia con il doppio della ricarica  in più sulle ricariche effettuate online.
In più Vodafone ti regala 2500 minuti gratis per parlare verso tutti i numeri Vodafone e internet illimitato.

Scegli il metodo che preferisci e ricarica:

www.vodafone.it

Grazie per avere scelto Vodafone per i tuoi acquisti. Scopri l’Area di Assistenza: potrai trovare guide,
 video, manuali e strumenti per utilizzare al meglio tutti i servizi Vodafone.

 Servizio Clienti Vodafone

Questo è una mail inviata automaticamente. Ti chiediamo di non rispondere a questo indirizzo.

———————————————————————————————————–

 

Il link proposto nella mail conduce a pagine web fraudolente posizionate in un dominio .eu, registrato ad hoc a nome di un cittadino

 

pagina fraudolenta

 

italiano nella giornata di ieri, su un server condiviso con altri  481 domini.

Registered July 9, 2013
Expiry Date July 31, 2014
Last update July 9, 2013, 3:00 pm

su un server condiviso con altri  481 domini.

L’attività di analisi ha permesso di recuperare il kit del criminale dalla cui analisi emerge

1- la nidificazione di pagine di phishing

struttura kit

per Lottomatica e Poste Italiane a cui l’utente viene inviato in base alla tipologia di carta di credito inserita per l’acquisto della presunta offerta, come mostrato dalle immagini sottostanti.

pagina fraudolenta Lottomatica

 

pagina fraudolenta Poste Italiane

 

2- presenza di commenti al codice dei file php

codice php

 

che il traduttore di Google determina essere in lingua rumeno.

traduttore di google

 

L’esame dei file php indica che le credenziali carpite alle vittime vengono via mail ad uno specifico indirizzo mail,

 

destinatario credenziali

 

già rilevato nei giorni scorsi in relazione ad altri tentativi di frode a danno di utenti Vodafone e Poste Pay.

Quanto sopra descritto, così come quanto riportato nei blog sopra citati, sembra indicare un forte orientamento per le organizzazioni criminali rumene verso il mondo digitale.

/da