Tag Archivio per: Phishing

Phishing Mediaworld – Falsa offerta sull’iPhone

Come scrivevamo nel precedente articolo i predatori son tornati e lo hanno fatto alla grande mettendo in atto in pochi giorni tentativi di phishing a danno di IngDirect, Eni/Agip, Poste Italiane, un operatore di telefonia mobile ed oggi Mediaworld! Sempre sfruttando nuovi domini ad-hoc!

Il Recorder Team, cosi lo abbiamo nominato, colpì la grande distribuzione già in passato con una pesante campagna di phishing a danno di Carrefour e con questo attacco sembra orientarsi nuovamente verso la GDO ed in particolare verso gli articoli tecnologici, rappresentanti un mercato sempre vivace.

Il tentativo di Phishing è stato rilevato e segnalato con un primo tweet da parte di @illegalFawn, ricercatore particolarmente attivo nell’identificazione di questi particolari tipi di frode.

first phishing warning by @illegalFawn

La frode è stata rilevata attraverso la ricezione di un messaggio email apparentemente inviato da Mediaworl contenente l’offerta per l’acquisto di un iPhone con un elevatissimo sconto.

mail fraudolenta

Il clone realizzato dai criminali è risultato essere in hosting sul medesimo provider impiegato per i casi più recenti ed essere posizionato nello spazio web del dominio mediaworlld.com creato ad hoc dai criminali sfruttando un typosquatting, la doppia “l” in WORLLD, che facilmente passa inosservato all’occhio dell’utente frettoloso, concentrato principalmente ad osservare l’offerta presente sulla pagina web.

L’analisi del clone ha permesso di rilevare come tutte le risorse impiegate (css, immagini, ecc..) siano incluse nell’hosting, mentre i link facciano tutti riferimento all’effettivo sito web di MediaWorld.

Il tentativo di frode si basa sulla scelta da parte dell’utente di un articolo tecnologico presente sulla pagina principale del clone

seconda pagina phishing

Cliccando su prosegui l’utente viene portato successiva pagina in cui gli sono richiesti i dati della carta di credito, visualizzando il costo di acquisto dell’articolo prescelto (lo screenshot presenti in questo post provengono da prove diverse).

richiesta dati carta di credito

E’ interessante notare come questa grafica fosse già impiegata nei cloni impiegati nei phishing a danno di Carrefour (vedasi terza immagine post relativo) , con l’immagine del retro della carta di credito che compare solo all’atto di completare il form relativo al cvv.

Inseriti i dati delle carta di credito l’utente approda ad una pagina di riepilogo e conferma

pagina di riepilogo ordine

L’ultima pagina conferma l’avvenuto pagamento ed inoltro dell’ordine.

conferma ordine

Dopo poco all’indirizzo mail inserito nel form della pagina in cui erano richiesti i dati di carta di credito, arriverà la mail di conferma dell’ordine.

mail di conferma

L’analisi degli headers ci fornisce alcune informazioni a conferma del dominio mittente e del path locale dello script php incaricato di eseguire l’invio del messaggio.

mail headers
/da

Piovono Domini ad-hoc per una campagna di Phishing ai danni di Lottomatica

Il nostro servizio di Brand Monitor permette di monitorare la registrazione di nuovi domini internet a tutela di un marchio individuando tempestivamente utilizzi inopportuni del brand del cliente. È sempre più frequente rilevare criminali informatici che registrano nuovi domini molto similari agli originali per confondere l’utente e trarlo in inganno, i domini vengono spesso usati per diffondere Malware, Phishing Bancario (es. Bonus 500euro, SMS Poste Italiane, PayPal, ecc), Man in The Mail (es. Ubiquiti stung US$46.7 million in e-mail spoofing fraud) o destabilizzare l’asseto azionario come successe a Intesa San Paolo con la registrazione di un dominio ad-hoc e la relativa pubblicazione di un falso comunicato dell’AD Carlo Messina.

Nel corso dell’ultima settimana abbiamo rilevato la registrazione di un elevato numero di domini con TLD .xyz sfruttati per attuare una campagna di Phishing ai danni dei titolari di carte di credito emesse da Lottomatica, ovvero la Lottomaticard e la carta di credito prepagata PayPal che ricordiamo essere emessa da Lottomatica e Banca Sella per il nostro paese.

I domini registrati tra l’8 Febbraio e il 12 sono in totale 55:

cartalislottomaticard.xyz
cartalislottomaticard0.xyz
cartalislottomaticard1.xyz
cartalislottomaticard2.xyz
cartalislottomaticard3.xyz
cartalislottomaticard4.xyz
cartalislottomaticard5.xyz
cartalislottomaticard6.xyz
cartalislottomaticard7.xyz
cartalislottomaticard8.xyz
cartalislottomaticard9.xyz
cartalisprepagat.xyz
cartalisprepagata1.xyz
cartalisprepagata2.xyz
cartalisprepagata3.xyz
cartalisprepagata4.xyz
cartalisprepagata6.xyz
cartalisprepagata7.xyz
cartalisprepagata8.xyz
cartalisprepagata9.xyz
cartalisprepagata12.xyz
cartalisprepagata13.xyz
cartalisprepagata14.xyz
cartalisprepagata15.xyz
cartalisprepagata16.xyz
cartalisprepagata17.xyz
cartalisprepagata19.xyz
cartalisprepagate.xyz
cartalisprepagate1.xyz
cartalisprepagate2.xyz
cartalisprepagate3.xyz
cartalisprepagatee.xyz
cartalisprepagati.xyz
cartalisprepagatii.xyz
lottomaticard.xyz
lottomaticard1.xyz
lottomaticard2.xyz
lottomaticard3.xyz
lottomaticard4.xyz
lottomaticard5.xyz
lottomaticard6.xyz
lottomaticard7.xyz
lottomaticard8.xyz
lottomaticard9.xyz
lottomaticard10.xyz
lottomaticard11.xyz
lottomaticard12.xyz
lottomaticard13.xyz
lottomaticard14.xyz
lottomaticard15.xyz
lottomaticard16.xyz
lottomaticard17.xyz
lottomaticard18.xyz
lottomaticard19.xyz
lottomaticard20.xyz

I phisher al fine di limitare una immediata identificazione delle pagine fraudolente hanno previsto un redirect verso il dominio otobankasi.com se si accede direttamente al dominio o al sotto-dominio www, per visualizzare le pagine di Phishing bisognerà indicare un sotto-dominio random. Questa tecnica permette anche di limitare le funzionalità delle BlackList di Phishing poichè l’url visualizzato dall’utente varierà continuamente.

Nei due screenshot precedenti vediamo un anteprima delle pagine fraudolente, in esse l’utente è invitato ad inserire le credenziali per poter accedere al pannello di controllo della propria carta e i dati relativi ad essa. Data la richiesta delle credenziali di login, e non solo i dati della carta, è probabile che il team di Phisher voglia trasferire i fondi della vittima verso un’altra prepagata emessa da CartaLIS/Lottomatica.

I domini sono stati registrati a nome di due persone Debora Cestari e Ovidiu Ioan Sara, probabilmente sono nominativi inventati o vittime di altre campagne di Phishing, i cui dati e lecui carte di credito possono essere usate per acquistare servizi utili alla struttura criminale… il phishing è anche questo, vittime inconsapevolmente  coinvolti nelle frodi.

Un altro ente fortemente colpito in Italia attraverso la creazione di domini ad-hoc è Poste Italiane, dal 1 Gennaio 2017 ad oggi abbiamo rilevato la registrazione di 107 nuovi domini sospetti, a dimostrazione di quanto la metodica sia ampiamente impiegata dai criminali e di come il suo controllo e contrasto richiesta procedure e servizi ad hoc.

/da

Bonus 500€ anche per le famiglie? No, è Phishing ai danni di Poste!

Una nuova eMail di Phishing Bancario ai danni di Poste Italiane veicola l’attacco tramite una falsa promessa di estensione del Bonus di 500euro per i 18enni alle famiglie!

Il Bonus Cultura, apprendiamo su 18app, è una iniziativa a cura del Ministero dei Beni e delle Attività Culturali e del Turismo e della Presidenza del Consiglio dei Ministri dedicata a promuovere la cultura. Il programma, destinato a chi compie 18 anni nel 2016, permette loro di ottenere 500€ da spendere in cinema, concerti, eventi culturali, libri, musei, monumenti e parchi, teatro e danza. I ragazzi hanno tempo fino al 30 giugno 2017 per registrarsi al Bonus Cultura e fino al 31 dicembre 2017 per spendere il bonus.

Nella mail che vi mostriamo in apertura viene invece promesso tale bonus economico anche alle famiglie tramite Bonifico SEPA che verrà accreditato sulla carta Evolution di Poste Italiane, inoltre avvisa l’utente che i fondi possono terminare spingendolo ad affrettarsi nel completare la procedura.

Selezionando il link “Procedi” l’utente viene rediretto sul dominio ingbnl.com che visualizza al cliente un perfetto Kit di Phishing ai danni di Poste, come è possibile visualizzare nello screenshot seguente.

Il kit effettua una verifica dei dati inseriti dall’utente riportando un eventuale errore delle credenziali digitate, nel seguente screenshot simulando l’inserimento del nome utente “test.test” e password “test123456” viene riportato all’utente un errore delle credenziali inserite.

Il dominio ingbnl.com sfruttato in questa campagna di Phishing concatena le sigle di due istituti di credito Italiani ING (ING Direct) e BNL (Banca Nazionale del Lavoro) confermando l’ipotesi che sia stato creato ad-hoc per eseguire delle attività fraudolente. Da un whois apprendiamo i seguenti dati (oscuriamo volutamente il numero di cellulare):

Domain Name: INGBNL.COM
Registry Domain ID: 2087790266_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.register.it
Registrar URL: http://we.register.it
Updated Date: 2017-01-06T00:00:00Z
Creation Date: 2017-01-06T00:00:00Z
Registrar Registration Expiration Date: 2018-01-06T00:00:00Z
Registrar: REGISTER.IT S.P.A.
Registrar IANA ID: 168
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +39.5520021555
Reseller:
Domain Status: ok
Registry Registrant ID:
Registrant Name: Michele Pitzeri
Registrant Organization: Michele Pitzeri
Registrant Street: VIA PIO LA TORRE 15
Registrant City: SAN SPERATE
Registrant State/Province: CA
Registrant Postal Code: 09026
Registrant Country: IT
Registrant Phone: +39.33175487XX
Registrant Phone Ext:
Registrant Fax: +39.33175487XX
Registrant Fax Ext:
Registrant Email: [email protected]

Tramite una operazione di OSINT sull’indirizzo eMail riportato rileviamo un profilo Facebook denominato “Ministero DelleFinanze” a conferma di una operazione debita ad effettuare frodi bancarie.

Dalle modalità operative e di struttura del Kit di Phishing ricolleghiamo questo Team a casi di Telefonia, ENI/Agip, Carrefour degli anni passati.

/2 Commenti/da

Libero Mail Phishing con dominio Ad hoc

Libero Mail Phishing

Dallo scorso 24 Ottobre è attiva una campagna di Phishing ai danni degli utenti Libero Mail finalizzata all’acquisizione esclusiva delle credeziali dell’account di posta elettronica. Il Phisher per ingannare maggiormente la vittima ha creato il dominio Ad hoc login-webmail-libero.com che può far pensare ad un sito autentico.

Il Whois del dominio ci riporta che è stato sfruttato un servizio di Privacy Protection per nascondere il proprietario del dominio.

Creation Date: 2016-10-06T18:43:00.00Z
Registrar Registration Expiration Date: 2017-10-06T18:43:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Reseller: NAMECHEAP.COM
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: WHOISGUARD PROTECTED
Registrant Organization: WHOISGUARD, INC.
Registrant Street: P.O. BOX 0823-03411
Registrant City: PANAMA
Registrant State/Province: PANAMA
Registrant Postal Code: 0
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: [email protected]

Analizzando il kit di Phishing rileviamo che è stato realizzato con l’intento di eludere le BlackList dei filtri anti-phishing grazie alla generazione random di url.

L’utente caduto nella trappola verrà indirizzato ad una finta pagina che gli conferma il corretto inserimento dei dati, anche se il kit non prevede realmente la verifica dell’username e delle password, e infine rediretto verso il sito ufficiale di Libero.

Libero Mail Phishing Verifica Credenziali

Attraverso l’attività di analisi del tentativo di phishing è stato possibile recuperare le credenziali carpite dai criminali, dalla cui analisi si rileva la presenza di:

  • 418 eMail @libero.it;
  • 5 eMail @inwind.it;
  • 2 eMail @hotmail.it
  • 2 eMail @iol.it;
  • 1 eMail @gmail.com.

E l’inserimento di 558 inserimenti di password, così composte:

  • 13 password contenti un simbolo (@, !, #, ecc)
  • 53 password composte esclusivamente da numeri;
  • 30 password composte da almeno una lettera maiuscola;
  • 306 password composte esclusivamente da letture minuscole;
  • Nessuna password generata tramite una funzione random.

Le credenziali sottratte verranno quasi sicuramente utilizzate per inviare ulteriore Phishing o Spam ad altri utenti o alle rubriche eMail salvati all’interno degli account sottratti.

/da

Telegram: Server eMail autentico sfruttato per inviare Phishing

screen_2

 

Nell’attività di analisi del Phishing abbiamo rilevato l’utilizzo del server eMail di Telegram e della loro casella di Supporto per inviare Phishing ai danni degli utenti Apple.

Nelle procedure consolidate di analisi del Phishing che svolgiamo da quattro anni lo scorso 4 Ottobre verificando una eMail di Phishing ai danni degli utenti Apple abbiamo notato l’insolito mittente “[email protected]”. Insolito perché usualmente il mittente di una eMail di Phishing viene falsificato per rendere la comunicazione ancor più veritiera con l’eMail dell’ente in oggetto. In questo caso una eMail che potrebbe ingannare maggiormente l’utente sarebbe stata: [email protected]/.com. Telegram nonostante sia nella TOP 50 delle applicazioni maggiormente scaricate nell’Apple Store non ha certamente collegamenti societari con Apple.

Analizzando successivamente l’header della mail e più precisamente i nodi di rete coinvolti si nota che la mail di Phishing è stata inviata all’effettivo mail server di Telegram da una VPS britannica ed infine consegnata al destinatario. Il server eMail di Telegram “mail.telegram.org” avente IP 149.154.167.33 risulta quindi coinvolto nell’invio di Phishing.Mail Ops Telegram

Anche una ulteriore analisi attraverso un Reverse DNS ci conferma che all’IP 149.154.167.33 è associato il sotto-dominio mail.telegram.org

ping_dig_nslookup

Verificando inoltre le zone DNS del dominio telegram.org troviamo un ulteriore conferma dell’autenticità del sotto-dominio e del server sfruttato per inviare l’eMail.

dig_any

Pertanto il Server Mail e un Account Mail di Telegram è stato sfruttato per inviare Phishing!

Ma come è stato possibile? Il Phisher ha ottenuto la password dell’account [email protected] e sfruttato per inviare la posta?

No, come si può vedere dall’immagine di apertura il server SMTP non era configurato correttamente e non richiedere l’autenticazione, funzionando come un Open Mail Relay! 

Un Open Mail Relay è un server SMTP configurato in modo tale che permetta a chiunque di inviare eMail attraverso esso, questa era la configurazione di default nel passato dei principali server mail ma a seguito dell’utilizzo fraudolento da parte di spammer e phisher ad oggi viene normalmente chiesta l’autenticazione per l’invio di una eMail. Risultava quindi possibile inviare eMail attraverso la casella [email protected] a chiunque.

A conferma di tale ipotesi vediamo di seguito una scansione positiva eseguita con il noto software nmap e lo script per la verifica dell’Open Relay.

nmap_open_relay

Abbiamo provveduto ad avvisare Telegram alle 20 del 4 Ottobre, e dopo soli 30 minuti, con grande tempestività, il team di Telegram era già intervenuto riconfigurato il loro server SMTP, rispondendo alla nostra segnalazione ringraziandoci.

I Phisher hanno usato il server SMTP per inviare Phishing, ma questa errata configurazione poteva certamente essere sfruttata per inviare comunicazioni di carattere amministrativo (Man in the Mail) o uno Spear Phishing mirato ad altri dipendenti Telegram o società che collaborano strettamente con loro.

/da

Phishing ai danni di Unipol, in crescita nel 2016!

unipol_login_phishing

Il Phishing è una truffa informatica eseguita tramite una eMail, anche se non mancano i casi in cui il vettore della truffa siano i brevi di messaggi di testo o altri sistemi di comunicazione, che falsifica una comunicazione del proprio Istituto Bancario al fine di frodare il destinatario. Al destinatario viene chiesto di fornire informazioni sensibili (Credenziali, Carta di Credito, Token OTP, ecc) oltre alle proprie generalità.

D3Lab opera attivamente dal 2011 nell’analisi e nel contrasto del Phishing dapprima in Italia ma recentemente anche in altri paesi della comunità Europea, analizzando mediamente oltre 90mila casi univoci al mese di tentativi di Phishing.

I Phisher comunemente concentrano le loro forze solitamente su enti importanti quali PayPal, Apple, Unicredit, Intesa San Paolo, Poste Italiane ecc poiché il bacino di vittime sarà sicuramente maggiore rispetto ad altre piccole realtà bancarie e si presume maggior facilità nell’attrarre delle vittime.

unipol_login_phishing_2

Ma i Phisher per differenziarsi escono a volte dagli schemi, colpendo un target con un bacino di clienti inferiore. Una scelta che viene fatta per scoprire nuovi “territori” vergini o quasi e per sondare il quantitativo di potenziali vittime. Se il target porta interessanti novità il Phisher migliora il kit di Phishing perfezionando il layout web, la comunicazione via eMail, il dominio (sfruttando SSL o creando domini ad-hoc) per ingannare maggiormente la vittima.

Unipol appartiene sicuramente a questa casistica, nel corso del 2016 i casi a suo danno sono aumentanti e il Kit sfruttato per effettuare il Phishing si è perfezionato includendo anche la richiesta del codice OTP oltre a riprodurre perfettamente la pagina di login. Il grafico seguente confronta i casi da noi identificati dal 2012 ad oggi, rispetto al 2015 il 2016 vede un trend di crescita maggiore del 50%.

grafico_phishing_unipol

 

Il Kit di Phishing individuato stamani, a conferma di quanto affermato in precedenza, è probabilmente ad opera dello stesso Team che effettua Phishing ai danni di Unicredit. Infatti analizzando la pagina di richiesta del codice OTP, a seguito del login, troviamo un errato titolo che riporta “Unicredit Conti correnti online”. Probabilmente per la creazione di questo kit è stato sfruttato un template Unicredit e poi personalizzato ad-hoc per Unipol ma il Phisher si è scordato di variare il titolo della pagina.

unicredit_unipol_cedacri

È quindi importante effettuare attività di contrasto e di sensibilizzazione della clientela attraverso il customer service al fine di ridurre i rischi.

/da
pagina fraudolenta Crédit Mutuel

Phishing aux dépens du Groupe Crédit Mutuel

,

3Le Crédit Mutuel est l’un des principaux groupes bancaires français, qui bénéficie de la participation de plusieurs autres instituts et groupes bancaires.

La présence de plusieurs instituts bancaires au sein d’un seul groupe, qui peuvent utiliser la même plateforme d’internet banking, permet aux phishers les plus expérimentés de réaliser des campagnes de phishing visant à attaquer au moyen de l’envoi d’un seul courriel les titulaires d’un compte dans les différents instituts qui font partie du groupe.

Le monitorage actuel a permis de relever au cours des premières heures de la nuit un cas de phishing qui, exploitant ce schéma, a des retombées sur les clients du:

  • Crédit Mutuel de Bretagne (CMB);
  • Crédit Mutuel Massif Central (CMMC);
  • Crédit Mutuel Sud Ouest (CMSO);
  • BPE;Arkéa Banque Privée (ABP);
  • Fortunéo;
  • BEMIX

La page frauduleuse sur laquelle aboutiront les «victimes» après avoir cliqué sur le lien Continua a leggere

/da
pagina fraudolenta Crédit Mutuel

Phishing a danno del Gruppo Crédit Mutuel

Crédit Mutuel è uno dei principali gruppi bancari francesi, partecipato diversi altri istituti e gruppi bancari.

La presenza di più istituti bancari in un unico gruppo, che fanno magari uso della medesima piattaforma di internet banking, consente ai phisher più agguerriti di realizzare campagne di phishing volte a colpire con l’invio di una singola mail i correntisti dei vari istituti facenti parte del gruppo.

Il monitoraggio odierno ha permesso di rilevare nella prime ore della notte un caso di phishing che sfruttando tale schema va ad impattare sui clienti di

  • Credit Mutuel de Bretagne (CMB)
  • Credit Mutuel Massif Central (CMMC)
  • Credit Mutuel Sud Ouest (CMSO)
  • BPE
  • Arkéa Banque Privée (ABP)
  • Fortunéo
  • BEMIX

Continua a leggere

/da
seconda pag. phishing CNAMTS

Phishing aux dépens de la Sécurité Sociale française

,

En France la Sécurité Sociale est divisée en trois secteurs principaux:

  • Maladie, maternité, invalidité et décès, accidents du travail et maladies professionnelles;
  • vieillesse;
  • famille;

gérée par trois différentes institutions:

  • la Caisse nationale d’assurance maladie maternité des travailleurs salariés (la CNAMTS), s’occupe du premier;
  • la Caisse nationale d’assurance vieillesse (CNAV) du second;
  • la Caisse nationale des allocations familiales (CNAF) du troisième.

En effectuant le monitorage du phishing international, le D3Lab a relevé, à partir de 2013, un intérêt des criminels pour la Caisse Nationale des Allocations Familiales,

phishing CNAF url rilevati Continua a leggere

/da
seconda pag. phishing CNAMTS

Phishing a danno delle Casse di previdenza francesi

In Francia la previdenza sociale è suddivisa in tre settori principali:

  • malattia, maternità, invalidità e morte, infortuni sul lavoro e malattie professionali;
  • vecchiaia;
  • famiglia;

gestiti da tre differenti enti:

  • la Cassa nazionale di assicurazione malattia dei lavoratori dipendenti (Caisse nationale d’assurance maladie maternitédes des travailleurs salariés), abbreviato CNAMTS, si occupa del primo;
  • la Cassa nazionale di assicurazione vecchiaia (Caisse nationale d’assurance vieillesse, CNAV ) del secondo;
  • la Cassa nazionale degli assegni familiari (Caisse nationale des allocations familiales, CNAF ) del terzo.

Monitorando il phishing internazionale D3Lab aveva rilevato sin dal 2013 l’interesse dei criminali per la Caisse nationale des allocations familiales,

phishing CNAF url rilevati Continua a leggere

/da