Usualmente siamo soliti pensare al phishing come ad una minaccia che colpisce principalmente gli utenti del web nella loro posizione di clienti di un servizio, sia esso bancario, di cloud, ecc…
Ma questo è vero solo in parte, o meglio rappresenta solo uno dei possibili aspetti della vicenda, perché il phishing pur partendo da un attacco finalizzato a colpire un servizio ad uso personale, privato, può facilmente impattare sulla struttura aziendale.
Possiamo quindi esaminare due scenari.
Vasta rete di commercio illecito di Carte di Credito
Mercoledì 7 febbraio 2018 è emersa la notizia dell’avvenuta operazione internazionale di polizia denominata “Infraud“, operazione che ha portato alla scoperta di un grosso traffico illecito di carte di credito fruttando ingenti somme di denaro all’organizzazione criminale che da anni opera in questo specifico settore.
Le operazioni, come riportato da justice.gov, sono iniziate nel corso del 2010 e tra i soggetti sottoposti nei giorni scorsi agli arresti per aver preso parte attivamente all’organizzazione criminale, vi è un italiano conosciuto con lo pseudonimo di “Dannylogort“.
Si è ipotizzato, e indagini interne a D3Lab lo hanno confermato, che l’illecito abbia coinvolto anche carte di credito afferenti ad istituti bancari italiani.
Costo delle carte varia da un minimo di 80$ per 24 carte ad un massimo di 9500$ per 3670 carte
La rete di commercio mostrata in figura rappresenta solo una parte dei 977 domini individuati dal team di ricerca D3Lab, tutti ospitati sul medesimo server e registrati utilizzando 12 domini di primo livello, di cui:
L’operazione è stata denominata “Infraud” per via dello slogan “In Fraud We Trust” adottato dall’organizzazione criminale, ma indagini interne evidenziano un collegamento diretto tra il termine “infraud” e specifici forum registrati con nome dominio “infraud.*” orientati al mercato nero delle carte di credito.
Da analisi svolte nell’ambito del traffico illecito delle carte di credito, il team di ricerca D3Lab ha rilevato evidenze che documentano ancora oggi la presenza e, plausibilmente, l’attività online dei forum individuati, mentre il forum “libertyreserve.com” indicato dai media come covo dei criminali risulta attualmente sottoposto a sequestro.
Ulteriori analisi hanno evidenziato tracce a partire dal 2011 e 2012 di compravendita di carte afferenti istituti bancari italiani. Al momento ne sono stati individuati 8 tra istituti bancari e finanziari:
Di seguito la lista degli Istituti interessati:
Come si evince dagli screenshot, ad occuparsi della compravendita di carte italiane era proprio il napoletano “Danny Logort” molto attivo su diversi forum di settore. In particolare, sono state rilevate conversazioni nei forum dedicati tra quest’ultimo e utenti stranieri interessati all’acquisto di carte italiane. Nella conversazione “Danny Logort” faceva da garante per conto di un fornitore esterno, e forniva come referenza il fatto che questi lavorasse presso un hotel cinque stelle italiano, lasciando così intendere che l’acquisizione delle carte “fresche” avvenisse direttamente nel luogo di lavoro.
Si presume, dall’analisi delle fonti consultate nel deep web, che l’acquisizione delle carte poste in commercio avvenisse tramite l’utilizzo di dispositivi elettronici meglio noti come “skimmer” e non da attività di phishing o di hacking volto alla compromissione di siti web di transazioni o commercio online.
Dalla fine del 2017 ad oggi abbiamo rilevato un incremento notevole di tentativi di frode a danno di Amazon Italia attraverso l’invio di messaggi di posta elettronica fraudolenta.
Solo nell’ultima settimana di Dicembre D3Lab ha rilevato più di un centinaio di mail fraudolente.
Dai screenshot delle eMail sottostanti potete notare come la grafica e il contenuto delle eMail varia invitando la vittima ad effettuare il login per evitare la sospensione del proprio conto, per verificare l’accumulo di punti con la possibilità di vincere i biglietti per il Gran Premio di Monza o per una informativa sulla privacy.
Il collegamento ipertestuale presente nella mail svolge funzione di redirect portando i visitatori su una pagina clone richiedente le credenziali di accesso al portale e successivamente in una nuova pagina richiedente i dati della carta di credito:
La procedura si completa indirizzando l’utente sulla pagina ufficiale di Amazon Italia.
Complessivamente l’utente è invitato a fornire al Phisher:
Analizzando l’attacco di Phishing del 31 Dicembre 2017, attualmente ancora attivo, abbiamo individuato la posizione in cui i Phisher memorizzando i numeri di telefono delle vittime e monitorando tale risorsa ad oggi sono presente 597 numeri di cellulare Italiani distinti.
Complessivamente un solo attacco di Phishing che sfrutta l’immagine di Amazon ha tratto in inganno 597 vittime.
Durante il week end dell’Epifania abbiamo rilevato un importante attacco di Phishing ai danni degli utenti Intensa Sanpaolo, attacco effettuato mediante la creazione di 24 dominii Ad Hoc con valido certificato SSL.
I dominii coinvolti nel recente attacco ai danni di Intesa Sanpaolo:
Le possibili vittime hanno ricevuto tra sabato 6 e domenica 7 Gennaio una falsa eMail che riporta il classico avviso di avvenuto blocco della carta di credito e l’invito a seguire la procedura online per effettuare lo sblocco della carta. eMail che contiene palesi errori, come: “la tua carta è stata fermata per ulteriori attività”.
L’intento dei Phisher è quello di carpire i dati della carta di credito delle vittime, il codice di sicurezza e più codici della chiave OTP O-Key. Questi dati permettono al Phisher di effettuare immediati acquisti con le carte sottratte agli utenti. Di seguito trovate una carrellata di screenshot del kit di Phishing sfruttato.
Invitiamo come sempre gli utenti alla massima attenzione nella lettura delle eMail e nell’identificazione di URL/dominii non riconducibili all’istituto bancario.
Il nostro servizio di Brand Monitor permette di monitorare la registrazione di nuovi domini internet a tutela di un marchio individuando tempestivamente utilizzi inopportuni del brand del cliente. È sempre più frequente rilevare criminali informatici che registrano nuovi domini molto similari agli originali per confondere l’utente e trarlo in inganno, i domini vengono spesso usati per diffondere Malware, Phishing Bancario (es. Bonus 500euro, SMS Poste Italiane, PayPal, ecc), Man in The Mail (es. Ubiquiti stung US$46.7 million in e-mail spoofing fraud) o destabilizzare l’asseto azionario come successe a Intesa San Paolo con la registrazione di un dominio ad-hoc e la relativa pubblicazione di un falso comunicato dell’AD Carlo Messina.
Nel corso dell’ultima settimana abbiamo rilevato la registrazione di un elevato numero di domini con TLD .xyz sfruttati per attuare una campagna di Phishing ai danni dei titolari di carte di credito emesse da Lottomatica, ovvero la Lottomaticard e la carta di credito prepagata PayPal che ricordiamo essere emessa da Lottomatica e Banca Sella per il nostro paese.
I domini registrati tra l’8 Febbraio e il 12 sono in totale 55:
cartalislottomaticard.xyz
cartalislottomaticard0.xyz
cartalislottomaticard1.xyz
cartalislottomaticard2.xyz
cartalislottomaticard3.xyz
cartalislottomaticard4.xyz
cartalislottomaticard5.xyz
cartalislottomaticard6.xyz
cartalislottomaticard7.xyz
cartalislottomaticard8.xyz
cartalislottomaticard9.xyz
cartalisprepagat.xyz
cartalisprepagata1.xyz
cartalisprepagata2.xyz
cartalisprepagata3.xyz
cartalisprepagata4.xyz
cartalisprepagata6.xyz
cartalisprepagata7.xyz
cartalisprepagata8.xyz
cartalisprepagata9.xyz
cartalisprepagata12.xyz
cartalisprepagata13.xyz
cartalisprepagata14.xyz
cartalisprepagata15.xyz
cartalisprepagata16.xyz
cartalisprepagata17.xyz
cartalisprepagata19.xyz
cartalisprepagate.xyz
cartalisprepagate1.xyz
cartalisprepagate2.xyz
cartalisprepagate3.xyz
cartalisprepagatee.xyz
cartalisprepagati.xyz
cartalisprepagatii.xyz
lottomaticard.xyz
lottomaticard1.xyz
lottomaticard2.xyz
lottomaticard3.xyz
lottomaticard4.xyz
lottomaticard5.xyz
lottomaticard6.xyz
lottomaticard7.xyz
lottomaticard8.xyz
lottomaticard9.xyz
lottomaticard10.xyz
lottomaticard11.xyz
lottomaticard12.xyz
lottomaticard13.xyz
lottomaticard14.xyz
lottomaticard15.xyz
lottomaticard16.xyz
lottomaticard17.xyz
lottomaticard18.xyz
lottomaticard19.xyz
lottomaticard20.xyz
I phisher al fine di limitare una immediata identificazione delle pagine fraudolente hanno previsto un redirect verso il dominio otobankasi.com se si accede direttamente al dominio o al sotto-dominio www, per visualizzare le pagine di Phishing bisognerà indicare un sotto-dominio random. Questa tecnica permette anche di limitare le funzionalità delle BlackList di Phishing poichè l’url visualizzato dall’utente varierà continuamente.
Nei due screenshot precedenti vediamo un anteprima delle pagine fraudolente, in esse l’utente è invitato ad inserire le credenziali per poter accedere al pannello di controllo della propria carta e i dati relativi ad essa. Data la richiesta delle credenziali di login, e non solo i dati della carta, è probabile che il team di Phisher voglia trasferire i fondi della vittima verso un’altra prepagata emessa da CartaLIS/Lottomatica.
I domini sono stati registrati a nome di due persone Debora Cestari e Ovidiu Ioan Sara, probabilmente sono nominativi inventati o vittime di altre campagne di Phishing, i cui dati e lecui carte di credito possono essere usate per acquistare servizi utili alla struttura criminale… il phishing è anche questo, vittime inconsapevolmente coinvolti nelle frodi.
Un altro ente fortemente colpito in Italia attraverso la creazione di domini ad-hoc è Poste Italiane, dal 1 Gennaio 2017 ad oggi abbiamo rilevato la registrazione di 107 nuovi domini sospetti, a dimostrazione di quanto la metodica sia ampiamente impiegata dai criminali e di come il suo controllo e contrasto richiesta procedure e servizi ad hoc.
I Phisher nel corso da fine 2015 fino ad oggi sfruttano in maniera importante i siti internet con il CMS Magento a seguito della pubblicazione della vulnerabilità CVE-2015-1397. Questa vulnerabilità permette ad un malintenzionato di creare un nuovo utente con i permessi di amministratore, registriamo una media di 3 nuovi casi di Phishing giornalieri che sfruttano questa vulnerabilità.
Il CMS Magento viene fortemente utilizzato per creare dei siti di eCommerce, conseguentemente le informazioni presenti nel Database possono essere preziose per un malintenzionato.
Solitamente gli attaccanti una volta ottenuto i permessi di amministratore si limitano a caricare un Plugin che gli permette di editare i file esistenti, alterando quindi la struttura del sito internet al fine di caricare una webshel e il kit di Phishing.
Ma come è già capitato in passato con il CMS PrestaShop, nell’ultimo periodo abbiamo rilevato dei tentativi di alterazione del codice sorgente del CMS o di estrazione di dati sensibili dal Database.
Grazie alla collaborazione di un Webmaster abbiamo analizzato tutti i file presenti nel dominio, rilevando la presenza di un kit automatico che permette di estrarre le seguenti informazioni:
Inoltre viene alterata la struttura del CMS creando un invio automatico delle Carte di Credito inserite dal legittimo utente in fase di registrazione.
Il file /app/code/core/Mage/Payment/Model/Method/Cc.php viene alternato includendo come visibile nello screenshot precedente una porzione di codice che acquisisce i dati della Carta di Credito inserita dall’utente e la invia via eMail al Phisher. L’eMail al fine di non essere identificata da un eventuale scanner è stata riportata con la codifica base64, la funzione PHP base64_decode() provvederà successivamente alla decodifica dell’indirizzo.
Quest’ultima è una operazione che permette al Phisher di ottenere i dati di nuove carte di credito in tempo reale anche successivamente all’aggiornamento e relativa bonifica del CMS. Poiché purtroppo si tende ad aggiornare Magento e a eliminare utenti malevoli senza controllare la struttura dell’intero sito internet.
La “firma” dell’attaccante, come visibile nella porzione di codice sopra mostrata, fa riferimento ad una sviluppatrice indonesiana, presente sia sui social, dove pubblicizza i suoi tools, che su Zone-H, forum dedicati all’hacking ed al carding, nonché portali di ingaggio di freelance.
E’ opera sua il tools per Windows in grado di eseguire in maniera automatica la modifica del file Cc.php su una lista predefinita di siti forniti. Tool che oltre a modificare il File System del CMS Magento estrapola le statistiche di vendita con l’importo totale degli ordini effettuati sul sito e la media degli ordini, verifica inoltre se è stato impostato un server SMTP per l’invio dell’eMail, verificando inoltre la funzionalità del server SMTP poichè può tornare utile ad un malintenzionato per inviare ulteriori eMail di scam da nuovi server che non sono presenti nelle BlackList RBL.
Il monitoraggio del phishing internazionale ci ha portato a rilevare molteplici tentativi di frode a danno degli utenti di Free Mobile, società controllata de Illiade Group che si occupa di telefonia mobile in Francia.
D3Lab ha iniziato la sua attività di analisi del phishing a danno di Free Mobile dal secondo semestre dal 2014 e dal grafico sottostante si può osservare come il numero di tentativi di frode a danno dell’operatore francese sia man mano cresciuto nel tempo.
