Articoli

Phishing Intesa San Paolo CoronaVirus

Phishing Intesa San Paolo CoronaVirusNella giornata odierna il nostro centro di analisi e contrasto al Phishing ha individuato una campagna malevola ai danni degli utenti Intesa San Paolo veicolata mediante una falsa informativa alla tutela dei clienti dell’istituto bancario per lo stato di allerta presente nel nostro paese a causa del CoronaVirus.

L’eMail invita la vittima ad accedere al servizio online per leggere una comunicazione urgente inerente alla diffusione del Corona Virus.

Selezionando il link riportato nella comunicazione si viene reindirizzati ad un sito di Phishing, in cui la vittima è invitata a digitare le proprie credenziali dell’Home Banking.

Continua a leggere

magento-logo

I Phisher nel corso da fine 2015 fino ad oggi sfruttano in maniera importante i siti internet con il CMS Magento a seguito della pubblicazione della vulnerabilità CVE-2015-1397. Questa vulnerabilità permette ad un malintenzionato di creare un nuovo utente con i permessi di amministratore, registriamo una media di 3 nuovi casi di Phishing giornalieri che sfruttano questa vulnerabilità.

Il CMS Magento viene fortemente utilizzato per creare dei siti di eCommerce, conseguentemente le informazioni presenti nel Database possono essere preziose per un malintenzionato.

Solitamente gli attaccanti una volta ottenuto i permessi di amministratore si limitano a caricare un Plugin che gli permette di editare i file esistenti, alterando quindi la struttura del sito internet al fine di caricare una webshel e il kit di Phishing.

Ma come è già capitato in passato con il CMS PrestaShop, nell’ultimo periodo abbiamo rilevato dei tentativi di alterazione del codice sorgente del CMS o di estrazione di dati sensibili dal Database.

magento_stealing_information

Grazie alla collaborazione di un Webmaster abbiamo analizzato tutti i file presenti nel dominio, rilevando la presenza di un kit automatico che permette di estrarre le seguenti informazioni:

  • Username e Password (hash) degli amministratori;
  • Configurazione del Database del CMS (Host, Username, Password);
  • Username e Password (hash) degli utenti registrati sul sito;
  • Carte di Credito memorizzate nel Database (solo se il CMS non si appoggia a servizi esterni come PayPal);
  • Indirizzi degli utenti.

Inoltre viene alterata la struttura del CMS creando un invio automatico delle Carte di Credito inserite dal legittimo utente in fase di registrazione.

 

magento_alterazione_codice_sorgente_cdc

Il file /app/code/core/Mage/Payment/Model/Method/Cc.php viene alternato includendo come visibile nello screenshot precedente una porzione di codice che acquisisce i dati della Carta di Credito inserita dall’utente e la invia via eMail al Phisher. L’eMail al fine di non essere identificata da un eventuale scanner è stata riportata con la codifica base64, la funzione PHP base64_decode() provvederà successivamente alla decodifica dell’indirizzo.

Quest’ultima è una operazione che permette al Phisher di ottenere i dati di nuove carte di credito in tempo reale anche successivamente all’aggiornamento e relativa bonifica del CMS. Poiché purtroppo si tende ad aggiornare Magento e a eliminare utenti malevoli senza controllare la struttura dell’intero sito internet.

 

magento-auto-exploiter

 

La “firma” dell’attaccante, come visibile nella porzione di codice sopra mostrata, fa riferimento ad una sviluppatrice indonesiana, presente sia sui social, dove pubblicizza i suoi tools, che su Zone-H, forum dedicati all’hacking ed al carding, nonché portali di ingaggio di freelance.
E’ opera sua il tools per Windows in grado di eseguire in maniera automatica la modifica del file Cc.php su una lista predefinita di siti forniti. Tool che oltre a modificare il File System del CMS Magento estrapola le statistiche di vendita con l’importo totale degli ordini effettuati sul sito e la media degli ordini, verifica inoltre se è stato impostato un server SMTP per l’invio dell’eMail, verificando inoltre la funzionalità del server SMTP poichè può tornare utile ad un malintenzionato per inviare ulteriori eMail di scam da nuovi server che non sono presenti nelle BlackList RBL.

unipol_login_phishing

Il Phishing è una truffa informatica eseguita tramite una eMail, anche se non mancano i casi in cui il vettore della truffa siano i brevi di messaggi di testo o altri sistemi di comunicazione, che falsifica una comunicazione del proprio Istituto Bancario al fine di frodare il destinatario. Al destinatario viene chiesto di fornire informazioni sensibili (Credenziali, Carta di Credito, Token OTP, ecc) oltre alle proprie generalità.

D3Lab opera attivamente dal 2011 nell’analisi e nel contrasto del Phishing dapprima in Italia ma recentemente anche in altri paesi della comunità Europea, analizzando mediamente oltre 90mila casi univoci al mese di tentativi di Phishing.

I Phisher comunemente concentrano le loro forze solitamente su enti importanti quali PayPal, Apple, Unicredit, Intesa San Paolo, Poste Italiane ecc poiché il bacino di vittime sarà sicuramente maggiore rispetto ad altre piccole realtà bancarie e si presume maggior facilità nell’attrarre delle vittime.

unipol_login_phishing_2

Ma i Phisher per differenziarsi escono a volte dagli schemi, colpendo un target con un bacino di clienti inferiore. Una scelta che viene fatta per scoprire nuovi “territori” vergini o quasi e per sondare il quantitativo di potenziali vittime. Se il target porta interessanti novità il Phisher migliora il kit di Phishing perfezionando il layout web, la comunicazione via eMail, il dominio (sfruttando SSL o creando domini ad-hoc) per ingannare maggiormente la vittima.

Unipol appartiene sicuramente a questa casistica, nel corso del 2016 i casi a suo danno sono aumentanti e il Kit sfruttato per effettuare il Phishing si è perfezionato includendo anche la richiesta del codice OTP oltre a riprodurre perfettamente la pagina di login. Il grafico seguente confronta i casi da noi identificati dal 2012 ad oggi, rispetto al 2015 il 2016 vede un trend di crescita maggiore del 50%.

grafico_phishing_unipol

 

Il Kit di Phishing individuato stamani, a conferma di quanto affermato in precedenza, è probabilmente ad opera dello stesso Team che effettua Phishing ai danni di Unicredit. Infatti analizzando la pagina di richiesta del codice OTP, a seguito del login, troviamo un errato titolo che riporta “Unicredit Conti correnti online”. Probabilmente per la creazione di questo kit è stato sfruttato un template Unicredit e poi personalizzato ad-hoc per Unipol ma il Phisher si è scordato di variare il titolo della pagina.

unicredit_unipol_cedacri

È quindi importante effettuare attività di contrasto e di sensibilizzazione della clientela attraverso il customer service al fine di ridurre i rischi.