D3Lab nell’azione costante di monitorare nuove attività di Phishing ai danni degli utenti Europei ha rilevato una nuova campagna malevola ai danni di Tophost, hosting provider Italiano fondato nel 2004.
La diffusione avviene mediante una eMail che informa l’utente che il proprio dominio è stato sospeso e lo invita a procedere al pagamento mediante carta di credito, come visibile dal seguente screenshot.
Lo scorso week end abbiamo rilevato la prima attività di Phishing ai danni di ENI Gas e Luce del 2018, l’attacco è stato diffuso tramite una eMail che prometteva un falso rimborso di 41,30euro a favore della vittima. Tale modalità è spesso usata per attività di Phishing ai danni di enti Energetici o Telefonici, la vittima attratta da questo rimborso viene invitata a compilare un modulo online con i dati della propria carta di credito, carta che verrà sfruttata per effettuare addebiti illeciti.
Il gruppo Eni non è certamente un nuovo target per i Phisher, nel 2012 rilevammo un dominio creato Ad-Hoc per fare phishing a loro danno. Pratica ad oggi molto consolidata ma raramente usata prima del 2015 in ambito Italiano.
Come sempre vi ricordiamo di fare massima attenzione alle eMail che ricevete ed evitare di fornire i dati della propria carta di credito a terzi.
Nell’attività di monitoraggio ed eventuale contrasto al Phishing che effettuiamo quotidianamente a inizio Novembre abbiamo rilevato la dodicesima attività fraudolenta svolta ai danni di Iccrea Banca (CartaBCC) del 2017.
L’attacco avviene mediante una eMail che richiede all’utente di “Verificare la tua identità, altrimenti il tuo account verrà sospeso” e lo invita a visitare un sito web per ottenere maggiori informazioni.
Visitando il sito web riportato viene inizialmente richiesto l’username e la password per accedere al portale dedicato alla propria Carta di Credito BCC e successivamente vengono richieste ulteriori informazioni, quali:
L’eMail e la relativa password non sono strettamente necessari al Phisher per sfruttare la carta di credito illecitamente carpita ma è un ulteriore informazione sensibile che gli permetterebbe di sottrarre altri dati sensibili vittima o di sfruttare l’account di posta e relativa rubrica per inviare nuovi messaggi di Phishing.
Unicredit quest’anno è vittima di una forte campagna di Phishing che si svolge puntualmente durante il Week End con l’utilizzo di dominii Ad Hoc registrati appositamente per effettuare la frode. Dominii che come vedrete successivamente sfruttano similitudini con il nome dominio originale.
Ieri, 2 Novembre 2017, abbiamo rilevato la registrazione di 17 nuovi probabili dominii sfruttabili per una nuova campagna di Phishing ai danni proprio di questo Istituto Bancario, oggi 3 Novembre 2017 la campagna di Phishing ha avuto inizio sfruttando attualmente 14 dei 17 dominii rilevati.
Le pagine di Phishing vengono nascoste in una sottodirectory dedicata, in fase di scrittura dell’articolo la directory è denominata “online-retail” ma durante l’intero week end per ovviare alle BlackList il Phisher rinomina la directory. Attraverso Archive.is abbiamo effettuato una copia di una pagina di Phishing.
I dominii attualmente sfruttati sono:
[AGGIORNAMENTO]
Alle 09:30 UTC del 3 Novembre abbiamo rilevato il coinvolgimento di altri 6 dominii:
Da Febbraio ad oggi sono stati registrati 126 dominii Ad Hoc per effettuare Phishing ai danni di Unicredit, con una distribuzione mensile rappresentata dal seguente grafico
L’intento dei Phisher è quello di acquisire i dati delle Carte di Credito delle vittime oppure le credenziali di accesso all’Home Banking, nell’attacco in corso viene inviata all’utente l’eMail che vedete in apertura nella quale lo si invita ad attivare un servizio gratuito per migliorare la sicurezza della carta di credito. L’utente viene poi invitato successivamente a digitare non solo i dati della propria carta ma anche dati personali quali:
Digitate le informazioni principali viene richiesto il codice OTP del proprio token fisico o mobile, codice che verrà richiesto cinque volte così da garantire al Phisher cinque utilizzi consecutivi della propria carta di credito.
Di seguito vi riportiamo una galleria di screenshot con le Pagine di Phishing attualmente presenti in uno dei dominii sopra citati.
In data odierna nelle nostre quotidiane attività di ricerca e contrasto al Phishing abbiamo individuato l’utilizzo fraudolento dei loghi e del nome di un nuovo ente, Edison spa, ai danni degli utenti.
L’utente riceve una finta comunicazione con i loghi dell’azienda Edison dove viene informato che gli spetta un rimborso per un errato conteggio della sua fattura, viene invitato a visitare un sito internet dove dopo aver digitato i suoi dati personali (Nome, Cognome, Codice Fiscale, Data di Nascita, Residenza, Cellulare ed eMail) viene reindirizzato in una nuova pagina dove poter scegliere 4 Istituti Bancari a sua scelta, una volta selezionata la Banca per completare la falsa procedura di rimborso dovrà inserire i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società energetica.
Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.