L’activité de monitorage au niveau international a permis au D3Lab de relever de nombreuses attaques de phishing aux dépens d’Orange S.A., la plus grande société de télécommunications française opérant dans le domaine de la téléphonie mobile fixe et comme fournisseur d’accès Internet, une des principales entreprises mondiale dans ce secteur.
On relève une augmentation considérable des attaques gérées depuis 2014, notamment cette année, où on compte 412 cas avérés jusqu’à aujourd’hui.
L’attività di monitoraggio a livello internazionale ha consentito a D3Lab di rilevare numerosi attacchi di phishing a danno di Orange S.A., la maggior società di telecomunicazioni francese operante nel campo della telefonia mobile, fissa e quale internet service provider, una delle principali aziende mondali del settore.
Gli attacchi gestiti dal 2014 rilevano un notevole incremento soprattutto quest’anno con 412 casi acquisiti sino ad oggi.
Il Banco Santander è un gruppo bancario di origine spagnola operante principalmente in Spagna ed in Sud America. Tale gruppo risulta tuttavia operante anche in altri paesi europei come Germania ed Italia dove è presente come Santander Consumer Bank (per essere precisi in Germania come Santander Consumer Bank AG).
Durante la notte, svolgendo l’analisi di un caso di phishing a danno di clienti D3Lab abbiamo individuato sul medesimo host, realizzati con le medesime modalità, altri due siti clone relativi a Banca Popolare di Spoleto (Phishing ai danni della Banca Popolare di Spoleto) ed a Santander Consumer Bank, ramo italiano del gruppo spagnolo.
si tratta in entrambi i casi di enti che in base ai rilievi D3Lab non erano ancora stati aggrediti dai criminali, almeno non in tempi recenti.
La modalità con cui l’attacco è strutturato è piuttosto insidiosa in quanto consente ai criminali, sfruttando il tag meta del codice html, di visualizzare nella barra degli indirizzi del browser un url
posticcio, che può essere fatto coincidere con l’effettivo url del portale di internet banking dell’istituto al fine di potenziare l’inganno ai danno delle potenziali vittime che potrebbero non far caso alla dicitura data:text/html: che precede l’indicazione del corretto protocollo https o http nel caso di uso di frame da parte degli istituti.
Lo screenshot di apertura, che evidenzia con colori questa particolarità del testo visibile nella barra degli indirizzi, mostra come i criminali siano interessati ai dati di accesso all’account di internet banking: nella prima pagina fraudolenta infatti richiedono il codice utente, lo user name, ed i caratteri 1, 2, 5, 7 e 10 della password. Inviati tali dati a pagine php residenti in altro host compromesso gli uetenti visualizzano una seconda pagina fraudolenta in cui oltre al
codice utente (già richiestogli) devo inserire i caratteri 3, 4, 6,8 e 9 della password, asteriscati nella prima richiesta, fornendo così ai criminali, con questo secondo inserimento di dati, tutti e 10 i caratteri della password.
Non ci è dato sapere se tali informazioni siano sufficienti ai criminali per disporre operazioni, ma anche non lo fossero il solo fatto che abbiano investito tempo e risorse nella realizzazione del kit lascerebbe ipotizzare che grazie alle informazioni che potrebbero carpire dall’account utente sia per loro possibile avviare per passi successivi ulteriori azioni fraudolente, magari con contatti telefonici nei confronti delle vittime.
Si raccomanda agli utenti la massima attenzione.
Durante l’analisi notturna abbiamo individuato un nuovo ente coinvolto nel Phishing, la Banca Popolare di Spoleto appartenente al Gruppo Banco Desio è un nuovo target per i Phisher e per i relativi cliente della banca.
Il kit sfrutta la codifica base64 per offuscare il sito internet utilizzato per diffondere il Phishing, l’utente riceve una eMail contenete uno short-link che rimanda ad una pagina PHP caricata su un sito compromesso tale pagina inoltrerà nuovamente l’utente ad una pagina locale generata sfruttando la capacità dei recenti browser di visualizzare e decodificare una pagina html in base64. Come è possibile notare nell’immagine di apertura nella barra dell’indirizzo non è presente un normale URL ma una porzione della stringa che genera la pagina HTML locale, per offuscare ulteriormente il tentativo di Phishing la stringa riporta inizialmente https://ihb2.cedaci.it/… che è effettivamente il sito legittimo del homebanking.
Invitiamo come di consueto gli utenti alla massima attenzione quando ricevono eMail di richiesta convalida credenziali.
L’attività di monitoraggio D3Lab ha consentito di individuare un tentativo di frode volto a colpire i clienti di CartaSi attraverso un messaggio di posta elettronica, con il quale l’utente viene invitato ad aggiornare i dati della carta di credito per motivi di sicurezza.
Un gruppo di criminali informatici in queste ore sta inviando centinaia di eMail ai danni della compagnia aerea Alitalia: l’utente viene avvisato che in cambio della compilazione di un questionario di gradimento dei servizi offerti dalla compagnia riceverà un rimborso di 80 €. Il promesso rimborso verrà accreditato sulla Carta di Credito del cliente, pertanto concluso il questionario vengono richieste le informazioni personali della vittima, il numero della carta di credito, la data di scadenza, il CVV e il SecureCode.
I dati forniti verranno sfruttati per effettuare acquisti o prelievi di denaro ai danni della vittima, non certamente per emettergli l’atteso rimborso.
Il kit costruito dai Phisher genera ad ogni accesso una nuova cartella casuale, generando da prima un numero casuale tra 0 e 100000, successivamente viene generato Hash MD5 di tale numero e infine codificato in base64. Un esempio della funzione sfruttata dai Phisher:
$random=rand(0,100000);
$md5=md5("$random");
$base=base64_encode($md5);
$dst=md5("$base");
function recurse_copy($src,$dst) {
...
...
Una volta generata la directory casuale all’interno di essa viene copiato il Kit di Phishing che la vittima visualizzerà. Questa tecnica è utile per eludere le BlackList e quindi l’avviso all’utente che sta visitando una possibile pagina fraudolenta poichè l’URL varierà ad ogni accesso.
Concludiamo con una galleria fotografica delle pagine di Phishing ai danni di Alitalia.
In seguito all’attacco rilevato nei giorni scorsi a danno di Cassa di Risparmio di Cesena, D3Lab ha eseguito un’analisi approfondita riguardante il dominio coinvolto.
Analizzando l’host si rileva che è stato creato in data 30-07-2015 come evidenziato nello screenshot sottostante e che risulta essere posizionato su un server ecuadoregno. Continua a leggere
Capita abbastanza spesso che l’azione di monitoraggio D3Lab dei casi di phishing rilevi files, quasi sempre in formato txt, contenenti dettagli sulla connessioni al clone da parte di chi è caduto nel phishing.
Detti files sono raggiungibili e scaricabili direttamente dal browser e presentano una ampia varietà di dati che vanno da un semplice elenco di indirizzi IP di chi ha visitato il clone di phishing (a volte con il dettaglio della geo-referenziazione) Continua a leggere
Il monitoraggio di phishing internazionale ha consentito d individuare nella prima mattina odierna un tentativo di frode a danno di un nuovo ente, la Société Marseillaise de Crédit, banca principale del sud est della Francia con oltre 175 filiali di proprietà della francese Crédit du Nord.
Le monitorage du phishing international a permis de relever aujourd’hui en début de matinée une tentative de fraude aux dépens d’une nouvelle institution, la Société Marseillaise de Crédit, l’une des principales banques du sud est de la France où sont ouvertes 175 filiales appartenant à la banque française Crédit du Nord.
