D3Lab nell’azione costante di monitorare nuove attività di Phishing ai danni degli utenti Europei ha rilevato una nuova campagna malevola ai danni di Tophost, hosting provider Italiano fondato nel 2004.
La diffusione avviene mediante una eMail che informa l’utente che il proprio dominio è stato sospeso e lo invita a procedere al pagamento mediante carta di credito, come visibile dal seguente screenshot.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2019/10/TopHost_4.png?fit=1200%2C863&ssl=18631200Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2019-10-29 09:58:522019-10-29 09:58:52Campagna di Phishing ai danni di Tophost
Usualmente siamo soliti pensare al phishing come ad una minaccia che colpisce principalmente gli utenti del web nella loro posizione di clienti di un servizio, sia esso bancario, di cloud, ecc…
Ma questo è vero solo in parte, o meglio rappresenta solo uno dei possibili aspetti della vicenda, perché il phishing pur partendo da un attacco finalizzato a colpire un servizio ad uso personale, privato, può facilmente impattare sulla struttura aziendale.
Nel mese di Gennaio 2018 D3Lab ha già rilevato 25 nuovi attacchi di Phishing volti a colpire i clienti Deutsche Bank IT, una forte attività se confrontata ai 32 casi totali del 2017 o i 12 casi del 2016.
L’attività illecita avviene tramite mail dove il cliente viene invitato a confermare le proprie credenziali a causa di un’attività insolita; l’url proposto nella mail di phishing svolge una funzione di redirect portando il visitatore su una pagina fraudolenta differente da quella linkata nella mail.
Dai due screenshot sovrastanti si può notare come venga riportata la grafica e il logo del sito originale e la frode mira a carpire alle vittime le loro credenziali d’accesso sul portale.
L’analisi dei domini coinvolti ha permesso di individuare la presenza di Kit di Phishing ai danni di altri Istituti Bancari Italiani e ad oggi tutti i cloni rilevati risultano inattivi.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2018/02/screenshot-e1517836074208.png?fit=1021%2C371&ssl=13711021Jessica D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngJessica D3Lab2018-02-05 15:26:352018-02-16 08:31:53Phishing ai danni di Deutsche Bank IT
Email.it è uno dei principali portali Italiani ad offrire caselle di posta elettronica (gratuite o a pagamento) con oltre mezzo milione di caselle realmente attive. Durante lo scorso week-end del 20 e 21 Maggio 2017 abbiamo rilevato una campagna di Phishing ai danni degli utilizzatori dei servizi offerti. Il provider Italiano si avvale della piattaforma di posta elettronica Zimbra per offrire l’accesso alla WebMail e proprio il Phisher fa leva su questa caratteristica recentemente pubblicizzata dal portale per veicolare al meglio il tentativo di Phishing.
L’eMail rilevata, che riportiamo integralmente di seguito, chiede all’utente di confermare le proprie credenziali di accesso causa un ipotetica chiusura degli account, ma chiede inoltre anche l’attuale occupazione, la data di nascita e il paese di residenza.
Ciao cari Membri Webmail/Zimbra.it Utenti
A causa della congestione del traffico in tutti gli account utente Webmail/Zimbra.it!,Webmail/Zimbra.it! sarebbe la chiusura di tutti gli account non utilizzati. Per evitare di disattivare il tuo account, devi confermare il tuo indirizzo e-mail compilando tuoi dati di accesso qui di seguito, cliccando sul pulsante Rispondi. I dati personali richiesti è per la sicurezza del tuo Webmail/Zimbra.it account.Si prega di compilare tutte le informazioni richieste.
Nome utente:………………………………………….
Indirizzo e-mail:…………………………………….
Password: ……………………………………………
Data di nascita:………………………………………
Occupazione:………………………………………….
Paese di residenza:…………………………………….
Dopo aver seguito le istruzioni del foglio, il tuo Webmail/Zimbra.it account! account non verrà interrotto e continuerà come al solito. Grazie per la vostra azione di cooperazione solito. Ci scusiamo per gli eventuali disagi.
Webmail/Zimbra.it! Servizio Clienti
Caso numero: 8941624
Bene: Account Security
Contatta Data: 20-05-2017
L’intento del Phisher è indubbiamente quello di ottenere l’accesso alle caselle eMail della vittima e successivamente carpire informazioni sensibili (messaggi e allegati confidenziali), arricchire le proprio liste di eMail a cui spedire Phishing o inviare eMail direttamente dalla casella della vittima.
Abbiamo risposto al Phisher fornendogli dati fittizi, ma integrando un tracciante per profilare il truffatore. L’eMail è stata letta tre volte nell’arco di 24h, probabile perché ha tentato più volte le credenziali errate che gli erano state fornite, l’User Agent ci rivela che l’eMail vengono lette tramite il Browser e la relativa WebMail vanificando un eventuale tracciatura dell’IP ma veniamo a conoscenza dell’uso di Google Chrome e del sistema operativo Microsoft Windows infine il linguaggio del Browser è Francese (fr-FR).
Il phisher potrebbe essere Francese o conoscere molto bene la lingua Francese da preferirla rispetto alla sua lingua nativa, in passato abbiamo già discusso di una forte comunità di Phisher di origine Marocchina.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2017/05/2017.05.23_Screenshot_1413430.png?fit=1051%2C734&ssl=17341051Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2017-05-23 15:14:412017-05-23 15:14:41Phishing ai danni di Email.it per carpire le credenziali degli utenti!
Gli accertamenti svolti nell’ultimo mese hanno portato all’individuazione di un nuovo sito di Phishing a danno degli utenti della banca online francese Hello Bank, appartenente al gruppo BNP Paribas.
Il sito fraudolento riporta il logo e la grafica del sito originale e la frode mira a carpire le credenziali d’accesso degli utenti sul portale.
Una volta inserite le credenziali l’utente viene reindirizzato sul sito legittimo di Hello Bank.
L’analisi dettagliata del caso ha permesso di identificare il kit di phishing adoperato dal phisher nel quale si evidenza la presenza di un file php che gestisce le credenziali sottratte alle vittime che vengono inviate ad un indirizzo eMail specifico. Ha inoltre consentito di rilevare particolari comuni a più attacchi a danno di Hello Bank, condizione che porta ad ipotizzare che tali azioni siano ad opera di uno specifico gruppo al momento concentrato su la questa banca online.
Ces derniers jours de nouvelles tentatives de fraude ont été enregistrées aux dépens de la Caisse d’Allocations Familiales, communément désignée comme CAF.
La Caisse d’Allocations Familiales est une organisation qui soutient les familles en situation de précarité.
Dans ce cas les criminels ont réalisé une tentative de fraude au moyen d’une page clone insérée dans un site violé, la mairie de Pise.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2016/10/20161017152942.png?fit=1056%2C841&ssl=18411056Denis D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngDenis D3Lab2016-11-07 11:03:472016-12-13 11:09:02La sécurité sociale française encore visée par les criminels informatiques
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2016/10/20161017152942.png?fit=1056%2C841&ssl=18411056Jessica D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngJessica D3Lab2016-11-07 08:30:072016-11-08 10:33:38La previdenza francese ancora nel mirino dei cyber criminali
Dallo scorso 24 Ottobre è attiva una campagna di Phishing ai danni degli utenti Libero Mail finalizzata all’acquisizione esclusiva delle credeziali dell’account di posta elettronica. Il Phisher per ingannare maggiormente la vittima ha creato il dominio Ad hoc login-webmail-libero.com che può far pensare ad un sito autentico.
Il Whois del dominio ci riporta che è stato sfruttato un servizio di Privacy Protection per nascondere il proprietario del dominio.
Analizzando il kit di Phishing rileviamo che è stato realizzato con l’intento di eludere le BlackList dei filtri anti-phishing grazie alla generazione random di url.
L’utente caduto nella trappola verrà indirizzato ad una finta pagina che gli conferma il corretto inserimento dei dati, anche se il kit non prevede realmente la verifica dell’username e delle password, e infine rediretto verso il sito ufficiale di Libero.
Attraverso l’attività di analisi del tentativo di phishing è stato possibile recuperare le credenziali carpite dai criminali, dalla cui analisi si rileva la presenza di:
418 eMail @libero.it;
5 eMail @inwind.it;
2 eMail @hotmail.it
2 eMail @iol.it;
1 eMail @gmail.com.
E l’inserimento di 558 inserimenti di password, così composte:
13 password contenti un simbolo (@, !, #, ecc)
53 password composte esclusivamente da numeri;
30 password composte da almeno una lettera maiuscola;
306 password composte esclusivamente da letture minuscole;
Nessuna password generata tramite una funzione random.
Le credenziali sottratte verranno quasi sicuramente utilizzate per inviare ulteriore Phishing o Spam ad altri utenti o alle rubriche eMail salvati all’interno degli account sottratti.
https://i0.wp.com/www.d3lab.net/wp-content/uploads/2016/11/LiberoMail01.png?fit=1248%2C715&ssl=17151248Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2016-11-03 10:33:052016-11-03 10:33:05Libero Mail Phishing con dominio Ad hoc
L’activité de monitorage au niveau international a permis au D3Lab de relever de nombreuses attaques de phishing aux dépens d’Orange S.A., la plus grande société de télécommunications française opérant dans le domaine de la téléphonie mobile fixe et comme fournisseur d’accès Internet, une des principales entreprises mondiale dans ce secteur.
On relève une augmentation considérable des attaques gérées depuis 2014, notamment cette année, où on compte 412 cas avérés jusqu’à aujourd’hui.
L’attività di monitoraggio a livello internazionale ha consentito a D3Lab di rilevare numerosi attacchi di phishing a danno di Orange S.A., la maggior società di telecomunicazioni francese operante nel campo della telefonia mobile, fissa e quale internet service provider, una delle principali aziende mondali del settore.
Gli attacchi gestiti dal 2014 rilevano un notevole incremento soprattutto quest’anno con 412 casi acquisiti sino ad oggi.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2016/09/20160914142307.png?fit=988%2C699&ssl=1699988Jessica D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngJessica D3Lab2016-09-28 09:27:512016-11-08 10:35:47Phishing a danno di Orange FR
Potremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Cookie essenziali del sito Web
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per la consegna del sito web, il loro rifiuto avrà un impatto sul funzionamento del nostro sito web. È sempre possibile bloccare o cancellare i cookie modificando le impostazioni del browser e forzare il blocco di tutti i cookie su questo sito web. Ma questo vi chiederà sempre di accettare/rifiutare i cookie quando visitate il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Altri servizi esterni
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori di video esterni. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.