Articoli

Una nuova eMail di Phishing Bancario ai danni di Poste Italiane veicola l’attacco tramite una falsa promessa di estensione del Bonus di 500euro per i 18enni alle famiglie!

Il Bonus Cultura, apprendiamo su 18app, è una iniziativa a cura del Ministero dei Beni e delle Attività Culturali e del Turismo e della Presidenza del Consiglio dei Ministri dedicata a promuovere la cultura. Il programma, destinato a chi compie 18 anni nel 2016, permette loro di ottenere 500€ da spendere in cinema, concerti, eventi culturali, libri, musei, monumenti e parchi, teatro e danza. I ragazzi hanno tempo fino al 30 giugno 2017 per registrarsi al Bonus Cultura e fino al 31 dicembre 2017 per spendere il bonus.

Nella mail che vi mostriamo in apertura viene invece promesso tale bonus economico anche alle famiglie tramite Bonifico SEPA che verrà accreditato sulla carta Evolution di Poste Italiane, inoltre avvisa l’utente che i fondi possono terminare spingendolo ad affrettarsi nel completare la procedura.

Selezionando il link “Procedi” l’utente viene rediretto sul dominio ingbnl.com che visualizza al cliente un perfetto Kit di Phishing ai danni di Poste, come è possibile visualizzare nello screenshot seguente.

Il kit effettua una verifica dei dati inseriti dall’utente riportando un eventuale errore delle credenziali digitate, nel seguente screenshot simulando l’inserimento del nome utente “test.test” e password “test123456” viene riportato all’utente un errore delle credenziali inserite.

Il dominio ingbnl.com sfruttato in questa campagna di Phishing concatena le sigle di due istituti di credito Italiani ING (ING Direct) e BNL (Banca Nazionale del Lavoro) confermando l’ipotesi che sia stato creato ad-hoc per eseguire delle attività fraudolente. Da un whois apprendiamo i seguenti dati (oscuriamo volutamente il numero di cellulare):

Domain Name: INGBNL.COM
Registry Domain ID: 2087790266_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.register.it
Registrar URL: http://we.register.it
Updated Date: 2017-01-06T00:00:00Z
Creation Date: 2017-01-06T00:00:00Z
Registrar Registration Expiration Date: 2018-01-06T00:00:00Z
Registrar: REGISTER.IT S.P.A.
Registrar IANA ID: 168
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +39.5520021555
Reseller:
Domain Status: ok
Registry Registrant ID:
Registrant Name: Michele Pitzeri
Registrant Organization: Michele Pitzeri
Registrant Street: VIA PIO LA TORRE 15
Registrant City: SAN SPERATE
Registrant State/Province: CA
Registrant Postal Code: 09026
Registrant Country: IT
Registrant Phone: +39.33175487XX
Registrant Phone Ext:
Registrant Fax: +39.33175487XX
Registrant Fax Ext:
Registrant Email: [email protected]

Tramite una operazione di OSINT sull’indirizzo eMail riportato rileviamo un profilo Facebook denominato “Ministero DelleFinanze” a conferma di una operazione debita ad effettuare frodi bancarie.

Dalle modalità operative e di struttura del Kit di Phishing ricolleghiamo questo Team a casi di Telefonia, ENI/Agip, Carrefour degli anni passati.

whois query

In seguito all’attacco rilevato nei giorni scorsi a danno di Cassa di Risparmio di Cesena, D3Lab ha eseguito un’analisi approfondita riguardante il dominio coinvolto.

Analizzando l’host si rileva che è stato creato in data 30-07-2015 come evidenziato nello screenshot sottostante e che risulta essere posizionato su un server ecuadoregno. Continua a leggere