Articoli

D3Lab nella quotidiana attività di analisi e contrasto del phishing ha identificato a partire dallo scorso 9 Agosto una campagna di phishing ai danni dei clienti della Banca 5.

Banca 5 fa parte del gruppo Intesa Sanpaolo dal 2016 e vuole fornire tramite una vasta rete di tabaccai un servizio bancario alla clientela poco “bancarizzata”.

La campagna diffusa tramite la probabile compromissione di un dominio e la relativa creazione di un sottodominioio Ad Hoc è presumibilmente veicolata tramite messaggi di testo (smishing) ha come intento quello di carpire le informazioni di accesso al home banking (UserID e Password) e un numero telefonico della vittima.

Continua a leggere

Il Phishing ai danni di utenti italiani è notevolmente aumentato dal 2019 ad oggi con un cambiamento di rotta significato nelle informazioni richieste alle vittime e dalle tecniche sfruttate dai criminali per divulgare e frodare le vittime. Per diversi anni l’interesse dei criminali era focalizzato principalmente sulle carte di credito e in minoranza sui dati di login per accedere al home banking; dal 2019 la situazione progressivamente è mutata fino ad oggi dove la stragrande maggioranza delle campagne verte dell’acquisire username e password di accesso al conto corrente online delle vittime.

Campagne di Phishing Italiane

Campagne di Phishing Italiane

L’interesse verso i conti correnti è avvenuto conseguentemente l’introduzione di metodi di pagamento istantanei raramente annullabili, come i bonifici bancari istantanei o pagamenti di bollettini postali, che garantiscono ai criminali un rapido ed efficace metodo di movimentare i soldi sottratti alle vittime. I nuovi sistemi anti-frode e l’introduzione della normativa PSD2 hanno reso più sicuri i conti correnti di tutti i correntisti Europei, i criminali sono stati quindi stimolati a progettare nuove tecniche di phishing più sofisticate che non comprendono più il solo invio di una e-mail ma anche chiamate telefoniche, installazioni di applicazioni sugli smartphone delle vittima e altre tecniche che vedremo in futuro in un articolo dedicato.

Ad oggi quindi al tradizionale sito di phishing viene comunemente affiancata una operazione di Vishing (chiamata da parte di un falso operatore bancario) e l’utilizzo di pannelli di controllo dedicati ai criminali per monitorare l’avanzamento della frode e richiedere in tempo reale alla vittime delle informazioni utili per eseguire operazioni illecite sul conto corrente della vittima.

Continua a leggere

Nell’attività di analisi e contrasto al Phishing durante le ultime due settimane abbiamo rilevato la divulgazione di SMS a clienti di Intesa San Paolo i quali invitano gli utenti ad installare un aggiornamento nel proprio smartphone, mediante il seguente messaggio:

Gentile Cliente Gruppo ISP questo è il link per aggiornare l’app di messaggistica e di Intesa San Paolo.

L’aggiornamento veicola una applicazione Android (APK) denominata “Aggiornamento App” ad oggi rilevata in due distinte varianti, com.datiapplicazione.sms e com.sistemaapp.sms.

Continua a leggere

Phishing Intesa San Paolo CoronaVirus

Phishing Intesa San Paolo CoronaVirusNella giornata odierna il nostro centro di analisi e contrasto al Phishing ha individuato una campagna malevola ai danni degli utenti Intesa San Paolo veicolata mediante una falsa informativa alla tutela dei clienti dell’istituto bancario per lo stato di allerta presente nel nostro paese a causa del CoronaVirus.

L’eMail invita la vittima ad accedere al servizio online per leggere una comunicazione urgente inerente alla diffusione del Corona Virus.

Selezionando il link riportato nella comunicazione si viene reindirizzati ad un sito di Phishing, in cui la vittima è invitata a digitare le proprie credenziali dell’Home Banking.

Continua a leggere

Durante il week end dell’Epifania abbiamo rilevato un importante attacco di Phishing ai danni degli utenti Intensa Sanpaolo, attacco effettuato mediante la creazione di 24 dominii Ad Hoc con valido certificato SSL.

I dominii coinvolti nel recente attacco ai danni di Intesa Sanpaolo:

  1. attivasistema[.]site
  2. confermasistema[.]site
  3. creditcardassistenza[.]site
  4. creditcardgestisc[.]site
  5. creditcardregistra[.]site
  6. datigruppo[.]site
  7. nuovosistema[.]site
  8. relaiunicardservizio[.]site
  9. relaiunicredit[.]site
  10. relaiunicreditcardservizi[.]site
  11. relaiunicreditdati[.]site
  12. relaiunidati[.]site
  13. serviziinformazioni[.]site
  14. servizioelettronico[.]site
  15. servizioverified[.]site
  16. serviziutili[.]site
  17. sicurocertificato[.]site
  18. sicurogruppo[.]site
  19. sicuroinformazioni[.]site
  20. sicuropropria[.]site
  21. unicardassistenza[.]site
  22. unicardportale[.]site
  23. unicardservizio[.]site
  24. unicardsicurezza[.]site

Le possibili vittime hanno ricevuto tra sabato 6 e domenica 7 Gennaio una falsa eMail che riporta il classico avviso di avvenuto blocco della carta di credito e l’invito a seguire la procedura online per effettuare lo sblocco della carta. eMail che contiene palesi errori, come: “la tua carta è stata fermata per ulteriori attività”.

L’intento dei Phisher è quello di carpire i dati della carta di credito delle vittime, il codice di sicurezza e più codici della chiave OTP O-Key. Questi dati permettono al Phisher di effettuare immediati acquisti con le carte sottratte agli utenti. Di seguito trovate una carrellata di screenshot del kit di Phishing sfruttato.

Invitiamo come sempre gli utenti alla massima attenzione nella lettura delle eMail e nell’identificazione di URL/dominii non riconducibili all’istituto bancario.

Intesa San Paolo dall’autunno dello scorso anno ha pubblicato e costantemente aggiornato una nuova interfaccia grafica del proprio portale di Home Banking lasciando comunque all’utente la possibilità di decidere se accedere alla vecchia interfaccia o alla nuova.

Dai primi giorni di Luglio fino ad oggi abbiamo rilevato diverse campagne di Phishing ai danni dell’istituto bancario che replicano la nuova interfaccia grafica, il Phisher non ha solamente aggiornato la grafica ma è ora in grado di verificare le credenziali immesse dalla vittima in tempo reale così da evitare l’acquisizione di dati errati.

La campagna di Phishing viene diffusa tramite una eMail medesima alla seguente

Invitiamo come sempre gli utenti alla massima attenzione!

 

mail fraudolenta

Negli ultimi mesi il phishing a danno di clienti Intesa SanPaolo si è molto intensificato. Le metodiche con cui è realizzato sono diverse e spesso queste metodiche, rimanendo costanti nel tempo, permettono di identificare i diversi team criminali.

mail fraudolenta

Risulta interessante esaminare alcune metodiche di realizzazione e per fare ciò partiamo da una serie di url di attacco rilevati nella giornata del 10 marzo 2016:

http://ikf65y8x.triviashootout.com/
http://iek1.scooteraz.com/ek1.png
http://i9j1vsd6x6tpf5.scooteraz.com/
http://iq.sayili.com.tr/
http://i0s2uf5t2n6cl.marisas-ristorante.com/
http://iyi2qodn17.limofind.com/yi2qodn17
http://i4nspxbe.limofind.com/
http://droon99.com/
http://iuo1ldzcegy88hj.berketadilat.com/
http://iy.my-payroll-place.com/
http://iri.mockhoago.net/
http://i3jkd.pcfp.com/
http://i4savz008ar6d.triviashootout.com/
http://droon99.com/
http://droon99.com/
http://droon99.com/
http://www.droon99.com/
http://droon99.com/
http://iu.hollyf5yoursenses.com/
http://sic3x.marisas-ristorante.com/
http://is1n.nsdrc.net/
http://ik.turkeycampout.org/
http://ivuxi2j.mutfakdolabisitesi.com/
http://iys60jzfyy58fp3.ecticon2015.org/
http://sicio3fi41pwy.marisas-ristorante.com/
http://sicjsaay2e7unx.marisastrumbull.com/
http://i.turkeycampout.org/
http://ii2e0lm47i4c8.marisasbrunch.com/
http://i6pqrh5pk.sayilipetrol.com/
http://sicgc.marisastrumbull.com/
http://i04qsijkcg11w5d.wyseonline.com/
http://ii.mutfakdolabisitesi.com/
http://ivuxi2j.mutfakdolabisitesi.com/
http://iww.oto67.com/
http://i61.oto67.com/
http://igpmjqs37vcr.efe-mantolama-tadilat.com/
http://i.dnaland.com/
http://icrgr43kg8.mutfakdolaplarifiyat.com/
http://ii.mutfakdolabisitesi.com/
http://id6hr1nqlm800.sayili.com.tr/
http://ifos4da0.oto67.com/
http://i9s8n50wv5ay.mutfakdolaplarifiyat.com/
http://i01e1c3cg8.mercedesbenz-vietnamstar.com/
http://itbhrm.nsdrc.net/
http://idmfs7jp0d8u0.nsdrc.net/
http://sicsljvky0.limofind.com/
http://ib7jwgdt0ny2rnx.nsdrc.net/
http://ib29u.nsdrc.net/
http://i9imt0k4d41sp.nsdrc.net/
http://i3y258786zx.nsdrc.net/
http://sicwu.limofind.com/
http://idanh9wa.nsdrc.net/
http://i6dlvccs.nsdrc.net/
http://i7vrxkvf5c.marisasrestaurant.com/
http://ik78rolgbfre0lx.mr3webdesign.com/
http://iafuojkm2xn.diamondpfs.com/
http://iv0yn.randrpartnershipinc.com/
http://i6r1x5ocz6o9nfm.blusky.us/
http://link.randrpartnershipinc.com/
http://ip.turkeycampout.org/
http://sicreyxt8.pjsconstruct.com/
http://icrdru0c68f2m4n.dnaland.com/
http://iu2wt4e5wi9.dnaland.com/
http://sicfbt5rr.pjsconstruct.com/scriptlogin
http://ib8houa2z4luco9.turkeycampout.org/
http://iuxtvx84b7o.phoenixhealthcarenow.com/
http://sic1wl6mm1g.randrpartnershipinc.com/
http://i6u0kgd.travcomm.com/
http://link88dex6l8q2n.mr3webdesign.com/
http://linkhzxuulwl6.glenbelushcpa.com/
http://iy1n6z3vswf5952d.phoenixhealthcarenow.com/
http://iwetnbamjchfqoy.click-epti.com/
http://i07e7nc8.indianaaudubon.org/
http://link.marisasristorante.com/
http://linktwsb6vqgjipee3.gaelectricco.info/
http://imvy.nptsampharn-dol.go.th/
http://linknnn4xx.pjsconstruct.com/
http://io0yld7.caosukythuat.net/
http://linke7iu93g557hjhq0.mr3-web.com/
http://sicmkfnu4a6j2di.marisasristorante.com/
http://i9nfk1v4md71.turkeycampout.org/
http://sic8zy.jglandscapingllc.com/
http://ip.travcomm.com/
http://www.droon99.com/
http://iocknfn5.caosukythuat.net/
http://sicmiwydzhkhd2h.marisas-ristorante.com/
http://izu56c.caosukythuat.com/
http://iuo6nakm1y.it-cpr.com/
http://linkp7cfvjjnf3w.randrpartnershipinc.com/
http://sicssw.glenbelushcpa.com/
http://ifyy8u96jf3we9n.travcomm.com/
http://sic1ok.triviashootout.com/
http://ig6xvav2d.caosukythuat.net/
http://siclqz77jpjozlan5.marisas-ristorante.com/
http://ibgnx6.ga-service.com/
http://ircxny75.blusky.us/
http://ix6.caosukythuat.net/
http://itossyv.bismconsulting.com/

Nella barra del browser gli url in questione sono solitamente seguiti da parametri quali “email” ed “id” riportanti indirizzi mail di chi ha ricevuto i messaggi fraudolenti e stringhe alfanumeriche,
http://i7i.mr3-web.com/7i?id=58C6C85C8D25BB64077F7AD88C314B0A&[email protected]&

nonché path (directory e file) usualmente fittizi e gestiti attraverso le policy di rewrite di htaccess.

I parametri quali email ed id potrebbero in realtà permettere ai criminali di verificare gli indirizzi mail reali e di evitare visitatori indesiderati (…visualizzi la pagina solo se eri tra i destinatari della mail…) in realtà tale approccio non risulta usato dall’esame dei kit di phishing sino ad ora recuperati.

Gli url di attacco sopra riportati fanno in realtà riferimento ad un unico clone riproducente grafica e loghi di Intesa San Paolo

pagina clone

(NOTA BENE: Google safe brrowsing evidenzia in rosso che il form verrà trasmesso senza fare uso di https)

posizionato su un server dedicato  (198.12.67.179 ) su cui risiede il dominio DROON99.COM registrato nel 2013:

Domain Name: DROON99.COM
Registrar: GODADDY.COM, LLC
Sponsoring Registrar IANA ID: 146
Whois Server: whois.godaddy.com
Referral URL: http://www.godaddy.com
Name Server: NS75.DOMAINCONTROL.COM
Name Server: NS76.DOMAINCONTROL.COM
Status: ok https://www.icann.org/epp#OK
Updated Date: 13-may-2015
Creation Date: 17-mar-2013
Expiration Date: 17-mar-2017

Lo spazio web di tale dominio presentava qualche tipo di contenuti almeno sino al maggio 2014

contenuti di droon99.com al maggio 2014

successivamente e fino al 5 marzo 2016 si poteva vedere la pagina di default di Apache server su Ubuntu

home page droon99.com al 5 marzo 2016

 

I criminali dopo aver avuto accesso allo spazio web del dominio DROON99.COM ed aver posizionato in esso il clone, hanno violato almeno altri 18 domini

  • triviashootout.com
  • scooteraz.com
  • sayili.com.tr
  • marisas-ristorante.com
  • limofind.com
  • droon99.com
  • berketadilat.com
  • my-payroll-place.com
  • mockhoago.net
  • pcfp.com
  • hollyf5yoursenses.com
  • nsdrc.net
  • turkeycampout.org
  • mutfakdolabisitesi.com
  • ecticon2015.org
  • marisastrumbull.com
  • marisasbrunch.com
  • sayilipetrol.com

posizionati su 7 diversi server in 4 diverse nazioni

  • 65.60.23.41 USA
  • 70.34.35.58 USA
  • 74.54.19.66 USA
  • 198.12.67.179 USA
  • 46.235.8.126 Turkey
  • 112.78.1.28 VietNam
  • 112.121.151.155 Thailand

e accedendo ai pannelli di gestione di questi hanno abilitato il wild card per i domini di livello inferiore e puntando
qualsiasi-stringa.unodei18dominibucati.tld
sul server dedicato con ip 198.12.67.179 contenente DROON99.COM.

 

Tale metodica di attacco offre al criminale diversi vantaggi:

1- creazione di illimitati url di attacco, limitando l’efficacia dei meccanismi di black listing

2- creazione di nomi dominio particolarmente lunghi, che nella barra degli indirizzi di dispositivi smartphone di ridotte dimensioni potrebbero essere visualizzati solo in parte, es:
bancaintesa.sanpaolo.com-areapersonale.login.sayilipetrol.com
ottenendo la visualizzazione solo di parte ingannevole dell’url, come nell’immagine sottostante

visualizzazione fake url su smartphone

 

3- rendere complessa l’azione di take down, diventando necessario non solo contattare i referenti di DROON99.COM, ma anche quelli di tutti i domini usati per i fake url, spiegando loro che le pagine di phishing non sono nei loro siti, ma che il loro pannello di gestione domini è comunque stato (presumibilmente) violato.

 

Tornando ai fatti: ma cosa interessava ai criminali?

Esaminando il clone si rileva la richiesta sia dei dati di login, che di otp e carta di credito.

pagina clone cattura dati carta di credito

 

Nel caso specifico, in base all’esperienza maturata, sembrerebbe probabile che i criminali mirino unicamente ai dati di carta di credito.

L’uso del token OTP non rappresenta per i criminali un problema insormontabile: l’uso di console di monitoraggio (come raccontato nel post “Phishing con operatore per aggirare i token otp“) permette loro di interagire con la vittima, sfruttando le credenziali ricevute

console di monitoraggio del phisher

 

praticamente in tempo reale, consentendo loro di ordinare pagamenti con estrema abilità e velocità.

Tra l’altro uno di questi casi è attivo proprio in questi giorni sempre ai danni di Intesa San Paolo.

Quindi, per concludere: è errato considerare il phishing una minaccia ridicola, sia per le sue potenzialità, sia per le metodiche con cui viene attuato.