Usualmente siamo soliti pensare al phishing come ad una minaccia che colpisce principalmente gli utenti del web nella loro posizione di clienti di un servizio, sia esso bancario, di cloud, ecc…
Ma questo è vero solo in parte, o meglio rappresenta solo uno dei possibili aspetti della vicenda, perché il phishing pur partendo da un attacco finalizzato a colpire un servizio ad uso personale, privato, può facilmente impattare sulla struttura aziendale.
Possiamo quindi esaminare due scenari.
L’attività di monitoraggio dei data leak condotta da D3Lab opera su svariate fonti al fine di rilevare il rilascio di informazioni sensibili; l’attenzione viene quindi riposta sia sugli ambienti underground e cyber criminali, sia sugli strumenti che da questi possono essere utilizzati ed i siti di “paste” rappresentano uno di questi.
Il monitoraggio della piattaforma Pastebin ha portato dall’inizio dell’anno ad identificare la condivisione di innumerevoli pubblicazioni aventi per contenuto dati personali collegabili ad utenti principalmente italiani, senza che ad oggi sia stato individuato uno specifico target essendo i dati ricollegabili a molteplici enti senza distinzione tra settore pubblico e privato.
I Paste rilevati nelle prime settimane di Gennaio riportavano titoli del tipo “10K VERSI” o “11K IT”, distribuiti in varie versioni.
Nella tarda serata di ieri D3Lab ha rilevato la pubblicazione di un altro Paste contenente record esclusivamente italiani, come nei casi precedenti.
Il Paste dal titolo “5K” è stato pubblicato da utente “guest” e riporta la data del 10 Febbraio – ore 23:49. Il Paste risulta attualmente rimosso, ma è stato acquisito dalle piattaforme di monitoraggio in uso presso D3Lab.
La particolarità di quest’ultimo Paste risiede nell’individuazione al suo interno di una rilevante presenza di account appartenenti al dominio cri.it, che fa capo alla Croce Rossa Italiana, a cui si aggiunge un nutrito numero di account sempre relativi alla CRI, ma attestati su domini non ufficiali, facenti capo ad enti locali.
Il Paste contiene un elenco composto da 5000+ account email e relative password in chiaro. La lista degli account presenti nel Paste riporta la seguente struttura: email|password
Come si evince dal grafico, il dominio principalmente coinvolto è “cri.it” con 1658 record, seguito da numerosi domini email utilizzati in Italia.
Dalle analisi del contenuto risultano coinvolti 75 domini collegati alla Croce Rossa Italina suddivisi per sezioni (province e regioni) per un totale di 1813 account della CRI. Di seguito il grafico dei principali domini CRI presenti nel Paste ad eccezione del dominio principale “cri.it”.
Appare piuttosto palese che i dati pubblicati hanno come target l’Italia, sono infatti 4276 gli account email con dominio .it. Inoltre, in data odierna il contenuto del Paste è stato aggiunto al database della nota piattaforma HaveIBeenPwned e probabilmente molte altre entità operanti sul web sono in possesso dei dati personali in esso riportati.
Poichè un aggressore motivato potrebbe facilmente entrare in possesso di tali dati, si consiglia di ricercare il proprio account all’interno della piattaforma HIBP ed eventualmente provvedere all’immediata modifica della password, soprattutto qualora le medesime credenziali vengano utilizzate per l’accesso ad altri servizi.
Nel pomeriggio odierno si è provveduto a inoltrare la segnalazione a CRI, nonostante le difficoltà di individuare l’ufficio/contatto preposto alla gestione delle minaccia in esame.
Nell’attività di monitoraggio ed eventuale contrasto al Phishing che effettuiamo quotidianamente a inizio Novembre abbiamo rilevato la dodicesima attività fraudolenta svolta ai danni di Iccrea Banca (CartaBCC) del 2017.
L’attacco avviene mediante una eMail che richiede all’utente di “Verificare la tua identità, altrimenti il tuo account verrà sospeso” e lo invita a visitare un sito web per ottenere maggiori informazioni.
Visitando il sito web riportato viene inizialmente richiesto l’username e la password per accedere al portale dedicato alla propria Carta di Credito BCC e successivamente vengono richieste ulteriori informazioni, quali:
L’eMail e la relativa password non sono strettamente necessari al Phisher per sfruttare la carta di credito illecitamente carpita ma è un ulteriore informazione sensibile che gli permetterebbe di sottrarre altri dati sensibili vittima o di sfruttare l’account di posta e relativa rubrica per inviare nuovi messaggi di Phishing.
Email.it è uno dei principali portali Italiani ad offrire caselle di posta elettronica (gratuite o a pagamento) con oltre mezzo milione di caselle realmente attive. Durante lo scorso week-end del 20 e 21 Maggio 2017 abbiamo rilevato una campagna di Phishing ai danni degli utilizzatori dei servizi offerti. Il provider Italiano si avvale della piattaforma di posta elettronica Zimbra per offrire l’accesso alla WebMail e proprio il Phisher fa leva su questa caratteristica recentemente pubblicizzata dal portale per veicolare al meglio il tentativo di Phishing.
L’eMail rilevata, che riportiamo integralmente di seguito, chiede all’utente di confermare le proprie credenziali di accesso causa un ipotetica chiusura degli account, ma chiede inoltre anche l’attuale occupazione, la data di nascita e il paese di residenza.
Ciao cari Membri Webmail/Zimbra.it Utenti
A causa della congestione del traffico in tutti gli account utente Webmail/Zimbra.it!,Webmail/Zimbra.it! sarebbe la chiusura di tutti gli account non utilizzati. Per evitare di disattivare il tuo account, devi confermare il tuo indirizzo e-mail compilando tuoi dati di accesso qui di seguito, cliccando sul pulsante Rispondi. I dati personali richiesti è per la sicurezza del tuo Webmail/Zimbra.it account.Si prega di compilare tutte le informazioni richieste.Nome utente:………………………………………….
Indirizzo e-mail:…………………………………….
Password: ……………………………………………
Data di nascita:………………………………………
Occupazione:………………………………………….
Paese di residenza:…………………………………….Dopo aver seguito le istruzioni del foglio, il tuo Webmail/Zimbra.it account! account non verrà interrotto e continuerà come al solito. Grazie per la vostra azione di cooperazione solito. Ci scusiamo per gli eventuali disagi.
Webmail/Zimbra.it! Servizio Clienti
Caso numero: 8941624
Bene: Account Security
Contatta Data: 20-05-2017
L’intento del Phisher è indubbiamente quello di ottenere l’accesso alle caselle eMail della vittima e successivamente carpire informazioni sensibili (messaggi e allegati confidenziali), arricchire le proprio liste di eMail a cui spedire Phishing o inviare eMail direttamente dalla casella della vittima.
Abbiamo risposto al Phisher fornendogli dati fittizi, ma integrando un tracciante per profilare il truffatore. L’eMail è stata letta tre volte nell’arco di 24h, probabile perché ha tentato più volte le credenziali errate che gli erano state fornite, l’User Agent ci rivela che l’eMail vengono lette tramite il Browser e la relativa WebMail vanificando un eventuale tracciatura dell’IP ma veniamo a conoscenza dell’uso di Google Chrome e del sistema operativo Microsoft Windows infine il linguaggio del Browser è Francese (fr-FR).
Il phisher potrebbe essere Francese o conoscere molto bene la lingua Francese da preferirla rispetto alla sua lingua nativa, in passato abbiamo già discusso di una forte comunità di Phisher di origine Marocchina.
I Phisher nel corso da fine 2015 fino ad oggi sfruttano in maniera importante i siti internet con il CMS Magento a seguito della pubblicazione della vulnerabilità CVE-2015-1397. Questa vulnerabilità permette ad un malintenzionato di creare un nuovo utente con i permessi di amministratore, registriamo una media di 3 nuovi casi di Phishing giornalieri che sfruttano questa vulnerabilità.
Il CMS Magento viene fortemente utilizzato per creare dei siti di eCommerce, conseguentemente le informazioni presenti nel Database possono essere preziose per un malintenzionato.
Solitamente gli attaccanti una volta ottenuto i permessi di amministratore si limitano a caricare un Plugin che gli permette di editare i file esistenti, alterando quindi la struttura del sito internet al fine di caricare una webshel e il kit di Phishing.
Ma come è già capitato in passato con il CMS PrestaShop, nell’ultimo periodo abbiamo rilevato dei tentativi di alterazione del codice sorgente del CMS o di estrazione di dati sensibili dal Database.
Grazie alla collaborazione di un Webmaster abbiamo analizzato tutti i file presenti nel dominio, rilevando la presenza di un kit automatico che permette di estrarre le seguenti informazioni:
Inoltre viene alterata la struttura del CMS creando un invio automatico delle Carte di Credito inserite dal legittimo utente in fase di registrazione.
Il file /app/code/core/Mage/Payment/Model/Method/Cc.php viene alternato includendo come visibile nello screenshot precedente una porzione di codice che acquisisce i dati della Carta di Credito inserita dall’utente e la invia via eMail al Phisher. L’eMail al fine di non essere identificata da un eventuale scanner è stata riportata con la codifica base64, la funzione PHP base64_decode() provvederà successivamente alla decodifica dell’indirizzo.
Quest’ultima è una operazione che permette al Phisher di ottenere i dati di nuove carte di credito in tempo reale anche successivamente all’aggiornamento e relativa bonifica del CMS. Poiché purtroppo si tende ad aggiornare Magento e a eliminare utenti malevoli senza controllare la struttura dell’intero sito internet.
La “firma” dell’attaccante, come visibile nella porzione di codice sopra mostrata, fa riferimento ad una sviluppatrice indonesiana, presente sia sui social, dove pubblicizza i suoi tools, che su Zone-H, forum dedicati all’hacking ed al carding, nonché portali di ingaggio di freelance.
E’ opera sua il tools per Windows in grado di eseguire in maniera automatica la modifica del file Cc.php su una lista predefinita di siti forniti. Tool che oltre a modificare il File System del CMS Magento estrapola le statistiche di vendita con l’importo totale degli ordini effettuati sul sito e la media degli ordini, verifica inoltre se è stato impostato un server SMTP per l’invio dell’eMail, verificando inoltre la funzionalità del server SMTP poichè può tornare utile ad un malintenzionato per inviare ulteriori eMail di scam da nuovi server che non sono presenti nelle BlackList RBL.
L’Infografica in apertura riepiloga quanto rilevato durante il monitoraggio quotidiano della diffusione del Phishing e Malware, in data 6 Settembre 2016 è avvenuto un tentativo di diffusione malware sfruttando un legittimo account eMail dell’Istituto Poligrafico e Zecca dello Stato e i suoi server mail. L’eMail richiedeva all’utente il pagamento di una fattura arretrata indicando che poteva visualizzare tutti i dettagli nel file allegato.
Fortunatamente è intervenuto il server eMail della Zecca dello Stato che ha rilevato l’invio di un contenuto malevolo, procedendo quindi a “troncare” l’archivio impedendo la diffusione del file Roma-Consulting.wsf che probabilmente avrebbe effettuato il download di un eseguibile ed eseguito. Nonostante il vano tentativo, gli aggressori potrebbero cambiare il metodo di diffusione per aggirare i controlli del server eMail; basti pensare alla richiesta di visitare un sito internet contenente un eseguibile (per esempio abbiamo visto sfruttare questa tecnica ai danni di GLS) piuttosto che allegarlo.
La nostra attenzione è ricaduta sul server sfruttato per inviare l’eMail, falsificare il mittente di una eMail è notoriamente facile ma se la mail e il server mittente coincide con il dominio della mail vi sono soltanto due possibili spiegazioni. Hanno violato il server o hanno violato l’account. Dal medesimo server eMail non abbiamo ricevuto nessun altro genere di comunicazione malevola (phishing, spam, ecc) e pertanto la nostra attenzione si è soffermata sulla seconda ipotesi.
Nascono ora due distinte possibilità di attacco, la vittima è stata infettata da un Trojan che ha provveduto ad inviare le Mail a sua insaputa o a diffondere la password del suo account. Oppure l’utente ha sfruttato la stessa password dell’account aziendale anche per altri servizi. Negli ultimi mesi nel Deep Web, ma non solo, si stanno diffondendo importanti archivi di password e account provenienti dai più noti portali online, Linkedin è probabilmente l’esempio più lampante ma non scordiamoci di DropBox, Trenitalia, Badoo, MySpace e mentre scriviamo questo articolo anche la più utilizzata eMail Italiana, Libero, ha comunicato che il suo database è stato violato.
Abbiamo verificato nel Database di Linkedin e come è possibile visualizzare dall’Infografia la casella eMail sfruttata per inviare il malware è presente e anche la sua relativa password, oltre ad essa sono presenti altre 46 caselle della Zecca dello Stato.
È quindi possibile che l’utente in questione sfrutti la medesima password per accedere alla Casella di Posta Elettronica della Zecca dello Stato sia su Linkedin, gli attaccanti hanno sfruttato questa debolezza per inviare diverse eMail da un mail server autorevole.