Articoli

Nel tardo pomeriggio del 5 Settembre abbiamo rilevato una nuova campagna di Phishing svolta a sfavore degli utenti di Virgilio eMail, Virgilio è un noto portale di Italiaonline che storicamente ha permesso a molti utenti Italiani di ottenere una casella di Posta Elettronica gratuitamente. Italiaonline detiene inoltre il Brand di Libero Mail, altro portale molto sfruttato.

L’attacco di Phishing diffuso tramite eMail avvisa l’utente che è in fase di rilascio una nuova versione di Virgilio.it ed invita l’utilizzatore ad effettuare un Upgrade affinché non vengano persi i dati e le eMail “sul proprio conto”.

Selezionando il link per l’Upgrade si viene riportati in un dominio creato Ad-hoc per effettuare la campagna di Phishing, il dominio è: my-virgilio[.]com.

La pagina di login presente nel dominio, che vedete nello screenshot di apertura, richiede all’utente la propria eMail e la propria password. Una volta digitate tali credenziali la vittima viene reindirizzata al legittimo portale di Virgilio eMail.

Il palese intento di questa campagna di Phishing è quello di raccogliere le credenziali delle vittime, credenziali che possono essere sfruttate per accedere a dati personali o  per effettuare ulteriori campagne di Phishing.

Il dominio in analisi presenta i seguente Whois:

Name: Grazia Martella
Address: PALERMO
City: PALERMO
State: PALERMO
ZIP Code: 02154
Email: [email protected]
Phone: +39.000000000

Come spesso accade per i domini creati Ad-hoc per campagne di Phishing i dati citati nel Whois sono casuali o riportano dati di precedenti vittime. Infatti in questo specifico caso il CAP di Palermo non è 02154 come citato ma bensì compreso tra 90121 e 90151.

Invitiamo come sempre gli utenti a prestare la massima attenzione e di non comunicare alcun dato personale

Libero Mail Phishing

Dallo scorso 24 Ottobre è attiva una campagna di Phishing ai danni degli utenti Libero Mail finalizzata all’acquisizione esclusiva delle credeziali dell’account di posta elettronica. Il Phisher per ingannare maggiormente la vittima ha creato il dominio Ad hoc login-webmail-libero.com che può far pensare ad un sito autentico.

Il Whois del dominio ci riporta che è stato sfruttato un servizio di Privacy Protection per nascondere il proprietario del dominio.

Creation Date: 2016-10-06T18:43:00.00Z
Registrar Registration Expiration Date: 2017-10-06T18:43:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Reseller: NAMECHEAP.COM
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 0
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: [email protected]

Analizzando il kit di Phishing rileviamo che è stato realizzato con l’intento di eludere le BlackList dei filtri anti-phishing grazie alla generazione random di url.

L’utente caduto nella trappola verrà indirizzato ad una finta pagina che gli conferma il corretto inserimento dei dati, anche se il kit non prevede realmente la verifica dell’username e delle password, e infine rediretto verso il sito ufficiale di Libero.

Libero Mail Phishing Verifica Credenziali

Attraverso l’attività di analisi del tentativo di phishing è stato possibile recuperare le credenziali carpite dai criminali, dalla cui analisi si rileva la presenza di:

  • 418 eMail @libero.it;
  • 5 eMail @inwind.it;
  • 2 eMail @hotmail.it
  • 2 eMail @iol.it;
  • 1 eMail @gmail.com.

E l’inserimento di 558 inserimenti di password, così composte:

  • 13 password contenti un simbolo (@, !, #, ecc)
  • 53 password composte esclusivamente da numeri;
  • 30 password composte da almeno una lettera maiuscola;
  • 306 password composte esclusivamente da letture minuscole;
  • Nessuna password generata tramite una funzione random.

Le credenziali sottratte verranno quasi sicuramente utilizzate per inviare ulteriore Phishing o Spam ad altri utenti o alle rubriche eMail salvati all’interno degli account sottratti.