Già in passato avevamo parlato (Phishing con operatore per aggirare i token otp) di kit di phishing che permettevano all’operatore della struttura criminale di interagire con la vittima sfruttando il token otp in tempo reale.
Questa tipologia di kit, rilevata nell’autunno 2014, è nel tempo stata impiegata a danno dei clienti di Banca Intesa, Cariparma, Ubi Banca. Continua a leggere
Le attività svolte dal D3Lab nel rilevamento e contrasto al Phishing hanno permesso di scoprire l’utilizzo fraudolento dei loghi e del nome di un nuovo ente, Cassa di Risparmio di Cesena, ai danni degli utenti customers.
Il sito clone che vedete nell’immagine di apertura permette al Phisher di raccogliere le credenziali (Codice ID e Password) della vittima che ha precedentemente ricevuto una eMail di richiesta conferma dati. A differenza del sito originale che nel footer presenta l’orario corrente, nel clone è presente la data fissa del 1 Agosto 2016, probabile è la data in cui il Phisher ha clonato il sito autentico e quindi creato il kit di Phishing.
Digitate le credenziali l’utente viene reindirizzato al file check3.php tramite una chiamata POST contenente le credenziali digitate, tale file ha presumibilmente il compito di inviare a mezzo eMail le credenziali al Phisher e successivamente re-indirizzare il visitatore al sito ufficiale dell’istituito di credito.
Come sempre invitiamo gli utenti alla massima attenzione quando pervengono tramite eMail o SMS richieste di conferma dati.
Il monitoraggio D3Lab permette di rilevare sempre numerose mails di phishing che puntano a false pagine di login a servizi online di webmail quali Yahoo, Google ecc… ma anche a specifici servizi di gestione mailbox in lingua italiana, come l’attuale spam ai danni di TIM Alice mail.
Questa è una mail di phishing TIM ricevuta nella primissima mattina di ieri, lunedì 1 agosto,
Daniele, il Co-Founder di Dimension srl, ha recentemente raccontato sul suo profilo Facebook di aver subito un tentativo di Phishing a seguito del furto del suo smartphone iPhone.
Riepiloghiamo nel dettaglio l’accaduto, il 22 Luglio Daniele è andato al concerto dei The Chemical Brothers a Milano durante l’evento gli è stato sottratto l’iPhone che teneva in tasca si è accorto del furto grazie all’avviso di mancato collegamento con l’Apple Watch che portava al polso. Il concerto è ormai stato rovinato e trascorre tutta la sera a guardare l’orologio con la speranza di riprendere il segnale Bluetooth del cellulare con l’aspettativa di individuare nelle vicinanze il suo telefono e forse anche i malfattori.
Uscendo dal concerto Daniele si preoccupa di localizzare tramite il servizio Trova iPhone il proprio dispositivo, ma purtroppo il telefono non viene individuato probabilmente perché hanno provveduto a spegnerlo. Conseguentemente decide di attivare la modalità Smarrito attraverso il portale iCloud, tale modalità permette di bloccare il dispositivo con un codice di quattro cifre, far apparire un messaggio personalizzato nella lock-screen e tenere traccia di eventuali future posizioni del telefono se per caso venisse riacceso.
In questo stato l’iPhone è inutilizzabile. Anche un eventuale ripristino del dispositivo tramite iTunes impedirebbe ai ladri di completare la procedura di attivazione, Apple ha infatti introdotto da iOS 8 un ulteriore step di sicurezza per prevenire la riattivazione. Se sull’iPhone è attiva la funzione Trova iPhone e un utente ripristina il dispositivo alla riaccensione vengono chieste le credenziali Apple dell’utente (username, password ed eventuale procedura Two Factory Authentication). Anche Android Marshmallow ha introdotto tale novità.
Daniele fortunatamente aveva attivato il Trova iPhone e quindi i ladri erano impossibilitati nel completare la procedura di ripristino del telefono per poi usarlo/rivenderlo. Per poter completare la procedura necessitavano delle credenziali di Daniele, credenziali che hanno tentato di ottenere mediante il Phishing via SMS, l’iPhone come ormai altri smartphone ha una modalità Emergenza che se correttamente configurata attraverso l’applicazione Salute permette di mostrare la propria Cartella Clinica nella quale è possibile memorizzare diverse informazioni come la propria data di nascita, altezza, peso, gruppo sanguigno e i contatti per l’emergenza. Ovvero quei contatti che un soccorritore dovrebbe chiamare in caso di urgenti necessità.
Daniele aveva correttamente configurato la modalità d’emergenza inserendo il numero di cellulare della compagnia, tale numero era l’unica informazione utile ai criminali per effettuare un attacco di Phishing e rubare l’ID Apple e la Password. Attacco che non si è fatto attendere, dopo alcuni giorni sul cellulare della compagna è arrivato il seguente SMS che riporta le medesime caratteristiche e modello dell’iPhone di Daniele il che esclude ogni eventuale coincidenza.
Il testo del messaggio è il seguente:
Il tuo smarrito iPhone 6S Oro 64GB è stato localizzato oggi alle 03:14pm on July 26, 2016. Controllare la posizione su http://lcloud.lt/?location=278d3
Questo e un messaggio automatico da Apple™
Analizzando il messaggio notiamo immediatamente degli errori grammaticali come “il tuo smarrito”, inoltre l’orario e la data vengono espressi nel formato Inglese riportando il PM e anteponendo il mese al giorno, un corretto messaggio in Italiano avrebbe riportato la data nel formato 24H e il giorno prima del mese. Analizzando invece il sito internet indicato ci accorgiamo che è stata sfruttata la somiglianza grafica del carattere i con il carattere l per far credere all’utente di accedere ad un sito autentico, se riportiamo in maiuscolo il nome LCLOUD notiamo subito l’evidente differenza rispetto al nome originale ICLOUD ma scrivendo la elle (l) in minuscolo è facile confondere l’utente distratto che leggerà nella fretta una i.
Visitando il sito LCLOUD.LT appare un perfetto clone del portale Apple, clone che si adatta automaticamente alla lingua del visitatore come abbiamo già visto per i casi ai danni di PayPal.
Un whois sul dominio di Phishing ci riporta che è stato registrato il 18 Maggio 2016 dall’utente Konstantin Verhovoda avente eMail [email protected], ma come abbiamo già evidenziato in passato durante la registrazione di un dominio non è necessario fornire i documenti di identità e quindi tali informazioni sono facilmente falsificabili.
Notiamo inoltre che il dominio in poco più di 2 mesi ha cambiato due volte la configurazione DNS e il registrante è il provider EPAG.
Se Daniele fosse cascato nell’attacco di Phishing i criminali potevano completare la procedura di ripristino e successiva attivazione e quindi poter vendere o usare il telefono sottratto al concerto.
Ma in quanti ci cascano? Vale veramente la pena ai criminali organizzare un attacco di Phishing?
Non possiamo darvi una risposta certa, ma analizzando l’intera vicenda sicuramente potrete trarre le vostre conclusioni.
Innanzitutto la registrazione di un dominio Lituano (.lt) varia da 15 ai 89euro in base al provider scelto, sappiamo che il Phisher ha sfruttato EPAG come registrante e tale Provider richiede 79euro all’anno per un dominio con estensione .LT. Il sito è inoltre ospitato su un server avente IP 95.46.114.168, attraverso un Reverse Ip Lockup identifichiamo che su tale server è presente il solo dominio LCLOUD.LT e un errore di configurazione del kit di Phishing ci fornisce ulteriori dettagli sulla configurazione del server e dei relativi servizi utilizzati:
Deprecated: mysql_connect(): The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead in /var/www/www-root/data/www/lcloud.lt/
Il Phisher ha acquistato un dominio creato ad-hoc, un server o un Virtual Server attraverso il provider Time Host. Ma non solo, se riguardiamo lo screen del SMS creato da Daniele ci accorgiamo inoltre che SMS non è stato spedito da un numero qualsiasi, ma è stato personalizzato con la dicitura FindMyPhone. Solitamente chi vende online servizi di SMS offre la personalizzazione del mittente ad un costo aggiuntivo e inoltre si vendono pacchetti di SMS non l’invio di uno solo, questa può essere la conferma che sia una pratica consolidata. Tramite il sito Italiano BeSMS apprendiamo che l’invio di 100 SMS con mittente personalizzato ha un costo di 7,99euro.
Pertanto il Phisher nella migliore delle ipotesi per tentare l’attacco a Daniele ha dovuto sostenere le spese di acquisto del dominio, 79euro, l’acquisto di un Server, circa altri 15euro se è un server virtuale e almeno 8euro di SMS per un totale di 102euro. Rischiando che questi 100€ vengano “brucati” nel giro di poche ore, bruciati poichè occasionalmente quando il sito viene riportanto nelle Black List pubbliche di Phishing il provider o il registrante del dominio sospendono la fruizione del servizio mandando all’aria l’intera operazione.
Infine bisogna considerare l’importante lavoro di creazione del Clone Apple, il quale dopo una nostra analisi ha le seguenti caratteristiche:
Il clone non sapiamo se è stato sviluppato dal Phisher o magari l’hai acquistato nel Deep Web, certamente sono servite qualche ore per svilupparlo.
Notiamo quindi un importante dispiego di energie e denaro per riuscire a sbloccare l’iPhone di Daniele, e chissà quanti altri. Ne vale la pena, vale la pena rischiare di spendere 100euro per nuovi domini/server e nella peggiore (migliore per gli utenti) delle ipotesi vederseli bloccare dopo due giorni? Certo, un iPhone 6S nel mercato dell’usato privo di scatola originale vale circa 400euro ovvero quattro volte tanto la spesa sostenuta dal Phisher.
Concludiamo con una galleria di screenshot del Kit presente all’indirizzo lcloud.lt:
Per anni i criminali ci hanno portato sulle pagine di phishing inondandoci di false mail. Negli ultimi due anni, data la diffusione di smartphone che consentono una agevolo navigazione sul web, hanno cominciato a veicolare i propri attacchi attraverso SMS, senza tralasciare l’uso di sistemi di messaggistica istantanea quali WhatsApp, o sfruttando l’enorme diffusione dei social network.
Nell’ultimo trimestre si è invece assistito ad un crescente numero di campagne di phishing attraverso le tecniche di marketing sui social network, la cui più banale applicazione è l’acquisto di “spazi pubblicitari” da mostrare agli utenti che effettuano ricerche con specifiche parole.
Dopo i casi verificatesi nell’arco del trimestre a danno di istituti nostri clienti in data odierna, effettuando i monitoraggi di prassi su questo “canale di diffusione”, abbiamo rilevato una campagna di phishing in atto a danno di UBI Banca.
Nel primo semestre 2016 dalle analisi sul Phishing abbiamo registrato un maggior impiego degli SMS quali veicolo di attacco agli istituti bancari e non solo, in particolare è stato abbondantemente sfruttato il numero 3424112671 come mittente dei brevi messaggi di testo. È probabile che tale numero appartenga ad un Gateway SMS ovvero ad un fornitore di servizi SMS attraverso internet.
I primi messaggi fraudolenti relativi a questo numero di cellulare risalgono ad Ottobre 2015, da allora ad oggi tramite questo numero sono state colpite diverse società:
Gli SMS sono un perfetto vettore per il Phishing poiché permettono di scavalcare i filtri antispam delle caselle eMail e catturano maggiormente l’attenzione del destinatario. È un metodo di Phishing meno diffuso e l’utente più inesperto viene tratto in inganno da questa nuova forma di truffa che fino ad ora si era principalmente affermata tramite eMail.
Sono diverse le fonti online che citano questo numero e riportano il contenuto degli SMS, la pagina Facebook di “Trutte e Raggiri” lo scorso 8 Aprile 2016 riportava un caso di Phishing ai danni di WhatsApp.
Ma ancor prima a Febbraio 2016 il numero è stato sfruttato per una campagna ai danni di Intesa San Paolo, ed è proprio il gruppo di IT.news.net-abuse su Google a riportare la notizia.
Sempre a Febbraio 2016 lo stesso numero, come ci riporta stopting, veniva sfruttato per carpire le credenziali degli utenti della Banca Marche.
Tra ottobre e novembre del 2015 si sono verificati diversi casi ai danni di Poste e WhatsApp secondo i commenti riportati su unknownphone, Poste Italiane che è ancora oggi una vittima del Phishing mediante questo numero. Come possiamo visualizzare da questa segnalazione su Twitter odierna:
È importante notare il crescente utilizzo di domini creati ad-hoc, come avevamo già riportato nell’articolo dedicato a PayPal, per carpire ancor più l’attenzione della vittima, rendendo l’inganno più preciso e mirato.
Un estratto dei domini coinvolti è il seguente:
Il Phishing è una complessa operazione ancor oggi in fase di sviluppo e perfezionamento, sfrutta nuove tecniche per carpire le sue vittime e nuovi approcci per risultare più similare al target preso di mira.
In data odierna abbiamo individuato un tentativo di frode a mezzo di posta elettronica a danno dei clienti di Credito Valtellinese
Il messaggio di posta elettronica fraudolento presentava le seguenti caratteristiche:
Oggetto: Password Scaduta
Mittente: “Credito Valtellinese” <[email protected]>
Testo del messaggio
————————————————————————
Attenzione. La tua password è scaduta, per poter completare il login, accedi cliccando qui
————————————————————————
Il collegamento ipertestuale presente nella mail svolge una funzione di redirect che porta i visitatori a una pagina fraudolenta dove vengono richiesti i dati di login dell’account.
Dalle analisi effettuate si è rilevato, nel primo trimestre dell’anno in corso, due attacchi di phishing isolati, forse il test di funzionamento del kit impiegato per la massiccia campagna di phishing rilevata nel mese di Giugno.
I criminali autori di questi attacchi sembrano prediligere l’impiego di host posizionati nel sud est-asiatico (Indonesia e Korea).
Durante l’analisi quotidiana delle attività di Phishing nazionali ed internazionali abbiamo rilevato una nuova campagna ai danni del Gruppo Hera Coom, i Phisher sfruttano il logo e il nome della società leader nei servizi ambientali, idrici ed energetici con sede a Bologna per carpire vittime con la stessa tecnica che abbiamo visto recentemente anche per il gruppo Edison.
L’utente informato mediante eMail che ha diritto ad un rimborso dal Gruppo Hera per un errato conteggio della sua fattura viene invitato a visitare un sito internet per completare la procedura di rimborso. Il sito internet fraudolento che vediamo nell’immagine di apertura richiede all’utente di digitare i suoi dati personali e i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società Bolognese. I dati inseriti nel sito fraudolento verranno sfruttati per addebitare cifre indesiderate sulle carte di credito delle vittime e non per accreditargli l’atteso rimborso.
Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.
Nella nostra attività di monitoraggio e contrasto al Phishing abbiamo rilevato nel primo trimestre dell’anno una vasta campagna di Phishing ai danni di PayPal con la registrazione di multipli domini creati ad-hoc come i seguenti dei quali alcuni con valido certificato SSL:
PayPal è da sempre un obiettivo primario per i Phisher ma i recenti cloni hanno attratto la nostra attenzione per l’importante precisione e cura con cui sono stati realizzati. Rispecchiano a 360 gradi il sito ufficiale, adattando la grafica e la lingua in base alla provenienza del navigatore. Ma ad attirare ancor di più la nostra attenzione è stata la tempestività con cui adattavano il design/layout del kit rispetto al sito originale, con sempre le dovute variazioni geografiche. Abbiamo quindi deciso di analizzare e approfondire le tecniche utilizzate in questo Kit recuperato su un server compromesso avente il Directory Listing di Apache abilitato.
Le seguenti tre immagini rappresentano a sinistra il sito ufficiale di PayPal e a destra quello generato dal kit in base alla lingua di navigazione dell’utente, usualmente il Phisher crea diversi Kit in base al target linguistico degli utenti ma in questo caso il kit risulta unico, anche l’indirizzo web, e il codice adatta l’interfaccia grafica in maniera completamente automatica. Per ottenere questo risultato il codice PHP sviluppato identifica inizialmente la geolocalizzazione dell’utente ed in base ad essa effettua uno Web scraping (salvataggio di una pagina web) del sito originale di PayPal selezionando la corretta lingua, l’output verrà poi editato per adattare l’invio delle credenziali al Phisher e non a PayPal.
L’interfaccia del sito originale e del clone in lingua Russa
L’interfaccia del sito originale e del clone in lingua Francesce
L’interfaccia del sito originale e del clone in lingua Italiana
Analizzando il Kit abbiamo potuto osservare le seguenti caratteristiche:
La generazione di una nuova path per ogni accesso è affidata alla seguente porzione di codice, all’accesso viene generato un numero casuale compreso tra 0 e 100000 concatenato all’IP del visitatore e successivamente generato l’HASH MD5 di tale stringa:
$random = rand(0,100000).$_SERVER['REMOTE_ADDR']; $dst = substr(md5($random), 0, 5);
La geolocalizzazione viene eseguita sfruttando le API pubbliche di Geoplugin.net:
$ip = $_SERVER['REMOTE_ADDR'];
$details = simplexml_load_file("http://www.geoplugin.net/xml.gp?ip=".$ip."");
$negara = $details-&amp;gt;geoplugin_countryCode;
$nama_negara = $details-&amp;gt;geoplugin_countryName;
$kode_negara = strtolower($negara);
Per bloccare gli utenti viene analizzato l’hostname del navigatore o l’indirizzo IP:
$hostname = gethostbyaddr($_SERVER['REMOTE_ADDR']);
$bannedIP = array("^81.161.59.*", "^66.135.200.*", "^66.102.*.*", ecc ecc)
$blocked_words = array("above","google","softlayer","amazonaws","cyveillance","phishtank","dreamhost","netpilot","calyxinstitute","tor-exit", "msnbot","p3pwgdsn","netcraft","trendmicro", "ebay", "paypal", "torservers", "messagelabs", "sucuri.net", "crawler");
La seguente porzione di codice sfrutta la funzione file_get_contents() di PHP per eseguire uno Web Scraping del sito ufficiale di PayPal ed adattarlo alle necessità del Phisher
$url&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp; = "https://www.paypal.com/{$codecountry}/webapps/mpp/home";
$options = array(
'http' =&amp;gt; array(
'method' = "GET",
'header' = "User-Agent: " . $_SERVER['HTTP_USER_AGENT'] . ""
)
);
$originalcodemoreart = stream_context_create($options);
$natija = file_get_contents($url, false, $originalcodemoreart);
...
...
$chof = str_replace($jibsafha . "cgi-bin/signin", $loging, $chof);
$chof = str_replace($get_form, '
&amp;lt;form action="signin" method="post" ', $chof);
...
...
Porzione di codice che ha il compito di verificare, mediante il sito ufficiale di PayPal, se le credenziali digitate sono corrette:
$loggedIn = curl("https://www.paypal.com/webscr?cmd=_account&amp;nav=0.0");
if ($title == "Security Measures - PayPal") {
} elseif (stripos($loggedIn, 'PayPal balance') !== false || stripos($loggedIn, 'Log Out&lt;/a&gt;') !== false) {
L’analisi delle evidenze nel codice e nei commenti del Kit ci ha permesso di identificare il nickname del Phisher, probabilmente di provenienza Araba, e la sua pagina su Facebook. Pagina con oltre 2mila like, la quale viene sfruttata per diffondere nuove versioni del Kit e fornire suggerimenti ai Phisher novelli.
Sfogliando la sua breve galleria fotografica troviamo un bozzetto su carta della grafica di una pagina da clonare, questa immagine ci conferma l’importanza e la precisione che contraddistingue questo Phisher nei suoi progetti.
Infine il Phisher ha un canale ufficiale su YouTube dove ha pubblicato una video guida sul funzionamento del Kit e le istruzioni per configurare il corretto invio delle credenziali all’eMail desiderata.
Il Phishing è una complessa operazione ancor oggi in fase di sviluppo e creazione, sfrutta nuove tecniche dell’Ingegneria Sociale per carpire le sue vittime e nuovi approcci di programmazione per risultare sempre più similare al target preso di mira.
In data odierna nelle nostre quotidiane attività di ricerca e contrasto al Phishing abbiamo individuato l’utilizzo fraudolento dei loghi e del nome di un nuovo ente, Edison spa, ai danni degli utenti.
L’utente riceve una finta comunicazione con i loghi dell’azienda Edison dove viene informato che gli spetta un rimborso per un errato conteggio della sua fattura, viene invitato a visitare un sito internet dove dopo aver digitato i suoi dati personali (Nome, Cognome, Codice Fiscale, Data di Nascita, Residenza, Cellulare ed eMail) viene reindirizzato in una nuova pagina dove poter scegliere 4 Istituti Bancari a sua scelta, una volta selezionata la Banca per completare la falsa procedura di rimborso dovrà inserire i dati della propria Carta di Credito con la falsa promessa di ricevere un accredito da parte della società energetica.
Come sempre invitiamo gli utenti alla massima attenzione quando si naviga su internet.