Phishing: statistiche primo semestre 2013

enti colpiti da phishing 1° semestre 2013

Il primo semestre 2013 si conclude confermando il phishing quale minaccia sempre attuale!

enti colpiti da phishing 1° semestre 2013

Nei primi sei mesi dell’anno D3Lab ha rilevato 1247 differenti url fraudolente di attacco. In più di un caso tali url sono state riutilizzate più volte consecutivamente, anche a distanza di diversi mesi.

Incredibilmente alcuni file fraudolenti, in particolare i file php inoculati in host remoti ed usati dai criminali per la gestione delle credenziali inserite nei file htm/html allegati alle mail di attacco, sopravvivono per settimane, addirittura mesi.
L’utente non visualizzando il file remoto non ne segnala l’esistenza ed una carente analisi dell’attacco non porta alla sua eliminazione.

Il confronto degli attacchi portati ai vari enti nei semestri 2012 e nel semestre appena conclusosi conferma Poste Italiane quale ente maggiormente attenzionato dai criminali, sempre interessati alla “conquista” dei dati degli account Poste Pay, mentre Carta Si, che lo scorso anno si era ritagliata il secondo posto nell’interesse delle organizzazioni criminali, può vantare una forte contrazione di attacchi in questi primi sei mesi.

confronto enti colpiti dal phishing 1° e 2° semestre 2012, 1° semestre 2013 

Anche Banca Popolare dell’Emilia Romagna ed Unicredit hanno avuto un sostanzioso calo nei tentativi di frode ai loro clienti, al contrario di Lottomatica, la cui card si è rivelata ancora un obbiettivo di deciso interesse per le organizzazioni malavitose, nonostante il calo del secondo semestre 2012.

Il cyber crime ha confermato il proprio interesse per PayPal, probabilmente l’ente più colpito a livello mondiale (monitorato da D3Lab solo relativamente ai tentativi di frode in lingua italiana), così come per Intesa San Paolo, Eni/Agip, Vodafone e Wind.

Il semestre appena conclusosi ha mostrato un forte interesse dei criminali per le società non bancarie, eroganti servizi per i quali sono plausibili offerte attraverso le quali le organizzazioni criminali mirano ai codici di carta di credito degli utenti.

Delle nuove new entry meritevoli di citazione solo Deutsche Bank è ..appunto una banca, mentre per quanto riguarda Venere.com/Expedia, Eurobet e TIM i criminali mirano alle carte di credito, chiedendo direttamente le credenziali o tentando di conquistare l’accesso agli account da cui recuperare tali dati.

Analizzando le modalità di attacco, sia su base quadrimestrale

modalità di attacco confronto quadrimestri

che semestrale

modalità di attacco confronto semestri

si assiste ad un incremento degli attacchi con link diretto a sfavore di quelli con redirect, in decisa flessione, e con form. Per questi ultimi è quasi scomparso l’uso di allegati mht, precedentemente rappresentanti una minoranza.
La forte riduzione di questi ultimi e in parte da imputarsi al crollo dei tentativi di frode a Carta Si, avendo rappresentato nell’anno passato la metodica maggiormente usata nei tentativi di frode agli utenti di tale card.

Dal punto di vista operativo si sono rilevati alcuni aspetti di particolare interesse:

1- l’aumento di dominio creati ad hoc, talvolta con l’acquisto dei certificati ssl al fine di rendere maggiormente ingannevole la frode;

2- l’utilizzo di svariate metodiche al fine di ovviare ai meccanismi di black listing attraverso complessi meccanismi con innumerevoli redirect gestiti da script,

redirect innumerevoli e consecutivi

con la creazione di path finali aventi nomi univoci,

 

creazione patch/directory con nomi univoci

o con l’uso di file htaccess che consentono di avere diversi path/url di attacco puntanti alla medesima struttura.

 

htaccess

 

3- l’inserimento di phishing nidificati a cui l’utente approda in base al gestore della carta di credito da lui posseduta e di cui ha inserito incautamente i dati.

D3Lab coglie l’occasione per sfatare due luoghi comuni:

  • il phishing miete molte vittime, basta leggere i file nei quali i criminali scrivono talvolta le credenziali catturate, per rendersene conto;
  • non è affatto vero che tutto avviene dall’estero, che non vi sia il coinvolgimento di soggetti italiani. I cyber criminali per fare cash out necessitano anche di operatori in Italia, sono loro necessari per attivare conti e account e studiare la struttura da colpire. Ma non solo, il monitoraggio costante consente di rilevare l’utilizzo di server, domini creati ad hoc, indirizzi ip e caselle di posta elettronica con domini .IT o comunque residenti su territorio nazionale, sui quali forze di polizia e magistratura hanno giurisdizione.

Il contrasto e l’azione investigativa sono possibili e D3Lab è sempre disponibile, sia verso le aziende, sia verso le forze dell’ordine e della magistratura.

/da