Articoli

Durante il week end dell’Epifania abbiamo rilevato un importante attacco di Phishing ai danni degli utenti Intensa Sanpaolo, attacco effettuato mediante la creazione di 24 dominii Ad Hoc con valido certificato SSL.

I dominii coinvolti nel recente attacco ai danni di Intesa Sanpaolo:

  1. attivasistema[.]site
  2. confermasistema[.]site
  3. creditcardassistenza[.]site
  4. creditcardgestisc[.]site
  5. creditcardregistra[.]site
  6. datigruppo[.]site
  7. nuovosistema[.]site
  8. relaiunicardservizio[.]site
  9. relaiunicredit[.]site
  10. relaiunicreditcardservizi[.]site
  11. relaiunicreditdati[.]site
  12. relaiunidati[.]site
  13. serviziinformazioni[.]site
  14. servizioelettronico[.]site
  15. servizioverified[.]site
  16. serviziutili[.]site
  17. sicurocertificato[.]site
  18. sicurogruppo[.]site
  19. sicuroinformazioni[.]site
  20. sicuropropria[.]site
  21. unicardassistenza[.]site
  22. unicardportale[.]site
  23. unicardservizio[.]site
  24. unicardsicurezza[.]site

Le possibili vittime hanno ricevuto tra sabato 6 e domenica 7 Gennaio una falsa eMail che riporta il classico avviso di avvenuto blocco della carta di credito e l’invito a seguire la procedura online per effettuare lo sblocco della carta. eMail che contiene palesi errori, come: “la tua carta è stata fermata per ulteriori attività”.

L’intento dei Phisher è quello di carpire i dati della carta di credito delle vittime, il codice di sicurezza e più codici della chiave OTP O-Key. Questi dati permettono al Phisher di effettuare immediati acquisti con le carte sottratte agli utenti. Di seguito trovate una carrellata di screenshot del kit di Phishing sfruttato.

Invitiamo come sempre gli utenti alla massima attenzione nella lettura delle eMail e nell’identificazione di URL/dominii non riconducibili all’istituto bancario.

Unicredit quest’anno è vittima di una forte campagna di Phishing che si svolge puntualmente durante il Week End con l’utilizzo di dominii Ad Hoc registrati appositamente per effettuare la frode. Dominii che come vedrete successivamente sfruttano similitudini con il nome dominio originale.

Ieri, 2 Novembre 2017, abbiamo rilevato la registrazione di 17 nuovi probabili dominii sfruttabili per una nuova campagna di Phishing ai danni proprio di questo Istituto Bancario, oggi 3 Novembre 2017 la campagna di Phishing ha avuto inizio sfruttando attualmente 14 dei 17 dominii rilevati.

Le pagine di Phishing vengono nascoste in una sottodirectory dedicata, in fase di scrittura dell’articolo la directory è denominata “online-retail” ma durante l’intero week end per ovviare alle BlackList il Phisher rinomina la directory. Attraverso Archive.is abbiamo effettuato una copia di una pagina di Phishing.

I dominii attualmente sfruttati sono:

  • unicredititareaclientionline[.]info
  • sicurezzaobbligatoriounicreditdati[.]info
  • servizionlinetuounicreditdati[.]info
  • servizioinformativoteunicreditcard[.]info
  • servizieinternetunicreditdati[.]info
  • informazionieserviziunicreditline[.]info
  • unicreditgruppoprotezionetuodati[.]info
  • riabilitaretuadatiunicredit[.]info
  • unicreditgruppoprotezione[.]info
  • riabilitaretuaunicredit[.]info
  • unicreditcartaregistratuoprofilodati[.]info
  • regitradatiline[.]info
  • verificadatiline[.]email
  • verificadatiline[.]site

[AGGIORNAMENTO]

Alle 09:30 UTC del 3 Novembre abbiamo rilevato il coinvolgimento di altri 6 dominii:

  • onlinedativerifica[.]com
  • onlinecontrolladati[.]site
  • accessoservonline[.]com
  • onlinedativerifica[.]site
  • onlinecontrolladati[.]com
  • accessoservonline[.]site

 

Da Febbraio ad oggi sono stati registrati 126 dominii Ad Hoc per effettuare Phishing ai danni di Unicredit, con una distribuzione mensile rappresentata dal seguente grafico

 

L’intento dei Phisher è quello di acquisire i dati delle Carte di Credito delle vittime oppure le credenziali di accesso all’Home Banking, nell’attacco in corso viene inviata all’utente l’eMail che vedete in apertura nella quale lo si invita ad attivare un servizio gratuito per migliorare la sicurezza della carta di credito. L’utente viene poi invitato successivamente a digitare non solo i dati della propria carta ma anche dati personali quali:

  • Nominativo;
  • Codice Fiscale;
  • Data di Nascita;
  • Codice Postale.

Digitate le informazioni principali viene richiesto il codice OTP del proprio token fisico o mobile, codice che verrà richiesto cinque volte così da garantire al Phisher cinque utilizzi consecutivi della propria carta di credito.

Di seguito vi riportiamo una galleria di screenshot con le Pagine di Phishing attualmente presenti in uno dei dominii sopra citati.