Tag Archivio per: carte di credito

Un anno di Phishing. L’evoluzione delle Truffe Online in Italia nel 2024

Un altro anno volge al termine e, come di consueto, il nucleo anti frode del D3Lab si appresta a fare un bilancio per esaminare l’andamento del phishing (e non solo) nel contesto italiano e le sue evoluzioni.

Iniziamo a smontare alcuni luoghi comuni, come ad esempio:

  • “Io non ci cascherò mai”
  • “Solo le persone anziane o quelle che non sono esperte di tecnologia vengono ingannate.”
  • “Solo gli stupidi ci cascano (io sono più furbo).”

Nella nostra esperienza quotidiana in D3Lab, abbiamo avuto modo di analizzare a fondo queste affermazioni e possiamo dire con certezza che non corrispondono alla realtà. Ne sono prova il numero sempre crescente di vittime che tale fenomeno registra giornalmente, come evidenziato dai dati riportati di seguito, relativi a carte di credito, username utilizzati per l’accesso all’home banking e indirizzi email sottratti dai criminali.

Iniziamo facendo un confronto negli anni.

Continua a leggere
/da

Campagna di phishing ai danni di ho. Mobile

Nella giornata odierna il team anti-frode D3Lab ha rilevato la prima campagna di phishing ai danni di ho. Mobile, marchio commerciale di Vodafone Enabler Italia S.r.l., società di Vodafone Italia SpA.

L’identificazione è avvenuta partendo dall’analisi di una campagna di phishing a danno di altro operatore telefonico, evidenziando l’attività per “settore” messa in atto dai cirminali.

Continua a leggere
/1 Commento/da

Acquista una carta di credito rubata con un click

Il Threat Intelligence Team di D3Lab, nelle sue quotidiane attività di analisi e contrasto alle frodi online ha rilevato la diffusione di una campagna di phishing multibanca ai danni rispettivamente di Banco Popolare di Milano BPM, Illimity Bank e Bunq.

Banco BPM S.p.A. è un gruppo bancario italiano di origine cooperativa, presente in tutta Italia con l’eccezione dell’Alto Adige caratterizzato da un forte radicamento locale, in particolar modo in Lombardia (dove è il maggiore operatore con una quota del 15%), in Veneto ed in Piemonte.

Illimity Bank S.p.A è la banca di nuova generazione, senza vincoli, nata dalla fusione tra SPAXAS e Banca Interprovinciale SPA, è quotata anche in Borsa e fornisce credito ad imprese ad alto potenziale.

Bunq B.V. è un’azienda fintech con una licenza di operatore bancario europea. Offre servizi bancari sia ai residenti che alle imprese dei paesi europei attraverso un modello di abbonamento al servizio.

I Kit di phishing in questione sono molto simili e funzionano allo stesso modo. In particolare siamo partiti analizzando quello ai danni di Illimity Bank.

Continua a leggere
/da

Le frodi nello Sport Wear via Social Network

,

Recentemente una delle persone che segue sui social l’attività di D3Lab ci ha segnalato una serie di annunci pubblicitari malevoli propostogli da Facebook e coinvolgenti, suo malgrado, La Sportiva, famoso brand dell’abbigliamento e dell’equipaggiamento per l’alpinismo e le attività outdoor in montagna.

Il nostro team di analisti si è quindi dedicato a esaminare il fenomeno rilevando un proliferare di pagine false su Facebook create ex novo

Continua a leggere
/da

Un milione di carte di credito condivise nel deep web

Nella giornata di lunedì 2 agosto, il team di analisti D3Lab ha individuato un forum underground nel deep web in cui veniva condiviso gratuitamente un file contenente un milione di record relativi a titolari di carta di credito.

Ogni record contiene i seguenti dati:

[Dati_carta: Numero_CC Scadenza CVV] Nome_Cognome_Titolare [residenza: Stato Città Indirizzo CAP]

Un esame in base allo stato di residenza ha portato ad individuare circa 30.000 carte intestate a soggetti residenti in Italia.

Continua a leggere
/22 Commenti/da

Phishing Italiano N26 The Mobile Bank

Phishing ai danni di N26L’introduzione della nuova direttiva europea sui servizi di pagamento digitali, nota con la sigla PSD2, è un veicolo di attacco molto importante per i Phisher! Infatti abbiamo già rilevato diverse campagne di Phishing ai danni di Poste Italiane o Intesa San Paolo che falsificano una comunicazione informativa dell’istituto bancario per carpire informazioni sensibili degli utenti.

Ma è anche un veicolo per colpire nuovi enti che fino ad ora non avevano mai ricevuto, almeno in Italia, attacchi di Phishing! Infatti in soli tre giorni abbiamo rilevato dodici distinte campagne di phishing ai danni di N26 GmbH in lingua Italiana.

L’attacco è veicolato inizialmente tramite una eMail priva di errori grammaticali, caratteristica comune di tante altre comunicazioni di phishing, ed inoltre presenta un layout analogo alle comunicazioni ufficiali ben realizzato.

Continua a leggere

/da
Google & Office 365 phishing business victims

Possibile utilizzo degli account compromessi da Phishing

Usualmente siamo soliti pensare al phishing come ad una minaccia che colpisce principalmente gli utenti del web nella loro posizione di clienti di un servizio, sia esso bancario, di cloud, ecc…

Ma questo è vero solo in parte, o meglio rappresenta solo uno dei possibili aspetti della vicenda, perché il phishing pur partendo da un attacco finalizzato a colpire un servizio ad uso personale, privato, può facilmente impattare sulla struttura aziendale.

Possiamo quindi esaminare due scenari.

Continua a leggere

/da

Infraud: evidenze del traffico di carte di credito Italiane

Vasta rete di commercio illecito di Carte di Credito

Mercoledì 7 febbraio 2018 è emersa la notizia dell’avvenuta operazione internazionale di polizia denominata “Infraud“, operazione che ha portato alla scoperta di un grosso traffico illecito di carte di credito fruttando ingenti somme di denaro all’organizzazione criminale che da anni opera in questo specifico settore.

Le operazioni, come riportato da justice.gov, sono iniziate nel corso del 2010 e tra i soggetti sottoposti nei giorni scorsi agli arresti per aver preso parte attivamente all’organizzazione criminale, vi è un italiano conosciuto con lo pseudonimo di “Dannylogort“.

Si è ipotizzato, e indagini interne a D3Lab lo hanno confermato, che l’illecito abbia coinvolto anche carte di credito afferenti ad istituti bancari italiani.

La rete di commercio

Costo delle carte varia da un minimo di 80$ per 24 carte ad un massimo di 9500$ per 3670 carte

La rete di commercio mostrata in figura rappresenta solo una parte dei 977 domini individuati dal team di ricerca D3Lab, tutti ospitati sul medesimo server e registrati utilizzando 12 domini di primo livello, di cui:

  • 75 domini .biz
  • 13 domini .cc
  • 1 domini .club
  • 328 domini .com
  • 6 domini .info
  • 4 domini .me
  • 16 domini .name
  • 37 domini .net
  • 13 domini .org
  • 76 domini .ru
  • 386 domini .su
  • 22 domini .top
  • 1 dominio .onion

L’operazione è stata denominata “Infraud” per via dello slogan “In Fraud We Trust” adottato dall’organizzazione criminale, ma indagini interne evidenziano un collegamento diretto tra il termine “infraud” e specifici forum registrati con nome dominio “infraud.*” orientati al mercato nero delle carte di credito.

Da analisi svolte nell’ambito del traffico illecito delle carte di credito, il team di ricerca D3Lab ha rilevato evidenze che documentano ancora oggi la presenza e, plausibilmente, l’attività online dei forum individuati, mentre il forum “libertyreserve.com” indicato dai media come covo dei criminali risulta attualmente sottoposto a sequestro.

Istituti italiani coinvolti

Ulteriori analisi hanno evidenziato tracce a partire dal 2011 e 2012 di compravendita di carte afferenti istituti bancari italiani. Al momento ne sono stati individuati 8 tra istituti bancari e finanziari:

Di seguito la lista degli Istituti interessati:

  1. Unicredit banca roma bussiness
  2. Omissis
  3. Banca Nazionale del Lavoro
  4. Deutche bank milan
  5. Cartasi Spa
  6. ICCREA Banca Spa
  7. Banca Intesa Spa
  8. Key Client Cards & Solution Spa

Come si evince dagli screenshot, ad occuparsi della compravendita di carte italiane era proprio il napoletano “Danny Logort” molto attivo su diversi forum di settore. In particolare, sono state rilevate conversazioni nei forum dedicati tra quest’ultimo e utenti stranieri interessati all’acquisto di carte italiane. Nella conversazione “Danny Logort” faceva da garante per conto di un fornitore esterno, e forniva come referenza il fatto che questi lavorasse presso un hotel cinque stelle italiano, lasciando così intendere che l’acquisizione delle carte “fresche” avvenisse direttamente nel luogo di lavoro.

Si presume, dall’analisi delle fonti consultate nel deep web, che l’acquisizione delle carte poste in commercio avvenisse tramite l’utilizzo di dispositivi elettronici meglio noti come “skimmer” e non da attività di phishing o di hacking volto alla compromissione di siti web di transazioni o commercio online.

/da

Nuova ondata di phishing via mail a danno di Amazon IT

Dalla fine del 2017 ad oggi abbiamo rilevato un incremento notevole di tentativi di frode a danno di Amazon Italia attraverso l’invio di messaggi di posta elettronica fraudolenta.

Solo nell’ultima settimana di Dicembre D3Lab ha rilevato più di un centinaio di mail fraudolente.

Dai screenshot delle eMail sottostanti potete notare come la grafica e il contenuto delle eMail varia invitando la vittima ad effettuare il login per evitare la sospensione del proprio conto, per verificare l’accumulo di punti con la possibilità di vincere i biglietti per il Gran Premio di Monza o per una informativa sulla privacy.

Questo slideshow richiede JavaScript.

Il collegamento ipertestuale presente nella mail svolge funzione di redirect portando i visitatori su una pagina clone richiedente le credenziali di accesso al portale e successivamente in una nuova pagina richiedente i dati della carta di credito:

 

La procedura si completa indirizzando l’utente sulla pagina ufficiale di Amazon Italia.

Complessivamente l’utente è invitato a fornire al Phisher:

  • Nome e Cognome;
  • Account Amazon;
  • Numero di Telefono;
  • Codice Fiscale;
  • Carta di Credito (PAN, CV2 e Scadenza).

Analizzando l’attacco di Phishing del 31 Dicembre 2017, attualmente ancora attivo, abbiamo individuato la posizione in cui i Phisher memorizzando i numeri di telefono delle vittime e monitorando tale risorsa ad oggi sono presente 597 numeri di cellulare Italiani distinti.

Complessivamente un solo attacco di Phishing che sfrutta l’immagine di Amazon ha tratto in inganno 597 vittime.

/da

Intesa Sanpaolo bersaglio nel Week End dell’Epifania

Durante il week end dell’Epifania abbiamo rilevato un importante attacco di Phishing ai danni degli utenti Intensa Sanpaolo, attacco effettuato mediante la creazione di 24 dominii Ad Hoc con valido certificato SSL.

I dominii coinvolti nel recente attacco ai danni di Intesa Sanpaolo:

  1. attivasistema[.]site
  2. confermasistema[.]site
  3. creditcardassistenza[.]site
  4. creditcardgestisc[.]site
  5. creditcardregistra[.]site
  6. datigruppo[.]site
  7. nuovosistema[.]site
  8. relaiunicardservizio[.]site
  9. relaiunicredit[.]site
  10. relaiunicreditcardservizi[.]site
  11. relaiunicreditdati[.]site
  12. relaiunidati[.]site
  13. serviziinformazioni[.]site
  14. servizioelettronico[.]site
  15. servizioverified[.]site
  16. serviziutili[.]site
  17. sicurocertificato[.]site
  18. sicurogruppo[.]site
  19. sicuroinformazioni[.]site
  20. sicuropropria[.]site
  21. unicardassistenza[.]site
  22. unicardportale[.]site
  23. unicardservizio[.]site
  24. unicardsicurezza[.]site

Le possibili vittime hanno ricevuto tra sabato 6 e domenica 7 Gennaio una falsa eMail che riporta il classico avviso di avvenuto blocco della carta di credito e l’invito a seguire la procedura online per effettuare lo sblocco della carta. eMail che contiene palesi errori, come: “la tua carta è stata fermata per ulteriori attività”.

L’intento dei Phisher è quello di carpire i dati della carta di credito delle vittime, il codice di sicurezza e più codici della chiave OTP O-Key. Questi dati permettono al Phisher di effettuare immediati acquisti con le carte sottratte agli utenti. Di seguito trovate una carrellata di screenshot del kit di Phishing sfruttato.

Phishing_IntesaSanPaolo_Web_02
Phishing_IntesaSanPaolo_Web_03
Phishing_IntesaSanPaolo_Web_04
Phishing_IntesaSanPaolo_Web_01
Phishing_IntesaSanPaolo_Web_05

Invitiamo come sempre gli utenti alla massima attenzione nella lettura delle eMail e nell’identificazione di URL/dominii non riconducibili all’istituto bancario.

/da