Articoli

mail fraudolenta

Negli ultimi mesi il phishing a danno di clienti Intesa SanPaolo si è molto intensificato. Le metodiche con cui è realizzato sono diverse e spesso queste metodiche, rimanendo costanti nel tempo, permettono di identificare i diversi team criminali.

mail fraudolenta

Risulta interessante esaminare alcune metodiche di realizzazione e per fare ciò partiamo da una serie di url di attacco rilevati nella giornata del 10 marzo 2016:

http://ikf65y8x.triviashootout.com/
http://iek1.scooteraz.com/ek1.png
http://i9j1vsd6x6tpf5.scooteraz.com/
http://iq.sayili.com.tr/
http://i0s2uf5t2n6cl.marisas-ristorante.com/
http://iyi2qodn17.limofind.com/yi2qodn17
http://i4nspxbe.limofind.com/
http://droon99.com/
http://iuo1ldzcegy88hj.berketadilat.com/
http://iy.my-payroll-place.com/
http://iri.mockhoago.net/
http://i3jkd.pcfp.com/
http://i4savz008ar6d.triviashootout.com/
http://droon99.com/
http://droon99.com/
http://droon99.com/
http://www.droon99.com/
http://droon99.com/
http://iu.hollyf5yoursenses.com/
http://sic3x.marisas-ristorante.com/
http://is1n.nsdrc.net/
http://ik.turkeycampout.org/
http://ivuxi2j.mutfakdolabisitesi.com/
http://iys60jzfyy58fp3.ecticon2015.org/
http://sicio3fi41pwy.marisas-ristorante.com/
http://sicjsaay2e7unx.marisastrumbull.com/
http://i.turkeycampout.org/
http://ii2e0lm47i4c8.marisasbrunch.com/
http://i6pqrh5pk.sayilipetrol.com/
http://sicgc.marisastrumbull.com/
http://i04qsijkcg11w5d.wyseonline.com/
http://ii.mutfakdolabisitesi.com/
http://ivuxi2j.mutfakdolabisitesi.com/
http://iww.oto67.com/
http://i61.oto67.com/
http://igpmjqs37vcr.efe-mantolama-tadilat.com/
http://i.dnaland.com/
http://icrgr43kg8.mutfakdolaplarifiyat.com/
http://ii.mutfakdolabisitesi.com/
http://id6hr1nqlm800.sayili.com.tr/
http://ifos4da0.oto67.com/
http://i9s8n50wv5ay.mutfakdolaplarifiyat.com/
http://i01e1c3cg8.mercedesbenz-vietnamstar.com/
http://itbhrm.nsdrc.net/
http://idmfs7jp0d8u0.nsdrc.net/
http://sicsljvky0.limofind.com/
http://ib7jwgdt0ny2rnx.nsdrc.net/
http://ib29u.nsdrc.net/
http://i9imt0k4d41sp.nsdrc.net/
http://i3y258786zx.nsdrc.net/
http://sicwu.limofind.com/
http://idanh9wa.nsdrc.net/
http://i6dlvccs.nsdrc.net/
http://i7vrxkvf5c.marisasrestaurant.com/
http://ik78rolgbfre0lx.mr3webdesign.com/
http://iafuojkm2xn.diamondpfs.com/
http://iv0yn.randrpartnershipinc.com/
http://i6r1x5ocz6o9nfm.blusky.us/
http://link.randrpartnershipinc.com/
http://ip.turkeycampout.org/
http://sicreyxt8.pjsconstruct.com/
http://icrdru0c68f2m4n.dnaland.com/
http://iu2wt4e5wi9.dnaland.com/
http://sicfbt5rr.pjsconstruct.com/scriptlogin
http://ib8houa2z4luco9.turkeycampout.org/
http://iuxtvx84b7o.phoenixhealthcarenow.com/
http://sic1wl6mm1g.randrpartnershipinc.com/
http://i6u0kgd.travcomm.com/
http://link88dex6l8q2n.mr3webdesign.com/
http://linkhzxuulwl6.glenbelushcpa.com/
http://iy1n6z3vswf5952d.phoenixhealthcarenow.com/
http://iwetnbamjchfqoy.click-epti.com/
http://i07e7nc8.indianaaudubon.org/
http://link.marisasristorante.com/
http://linktwsb6vqgjipee3.gaelectricco.info/
http://imvy.nptsampharn-dol.go.th/
http://linknnn4xx.pjsconstruct.com/
http://io0yld7.caosukythuat.net/
http://linke7iu93g557hjhq0.mr3-web.com/
http://sicmkfnu4a6j2di.marisasristorante.com/
http://i9nfk1v4md71.turkeycampout.org/
http://sic8zy.jglandscapingllc.com/
http://ip.travcomm.com/
http://www.droon99.com/
http://iocknfn5.caosukythuat.net/
http://sicmiwydzhkhd2h.marisas-ristorante.com/
http://izu56c.caosukythuat.com/
http://iuo6nakm1y.it-cpr.com/
http://linkp7cfvjjnf3w.randrpartnershipinc.com/
http://sicssw.glenbelushcpa.com/
http://ifyy8u96jf3we9n.travcomm.com/
http://sic1ok.triviashootout.com/
http://ig6xvav2d.caosukythuat.net/
http://siclqz77jpjozlan5.marisas-ristorante.com/
http://ibgnx6.ga-service.com/
http://ircxny75.blusky.us/
http://ix6.caosukythuat.net/
http://itossyv.bismconsulting.com/

Nella barra del browser gli url in questione sono solitamente seguiti da parametri quali “email” ed “id” riportanti indirizzi mail di chi ha ricevuto i messaggi fraudolenti e stringhe alfanumeriche,
http://i7i.mr3-web.com/7i?id=58C6C85C8D25BB64077F7AD88C314B0A&[email protected]&

nonché path (directory e file) usualmente fittizi e gestiti attraverso le policy di rewrite di htaccess.

I parametri quali email ed id potrebbero in realtà permettere ai criminali di verificare gli indirizzi mail reali e di evitare visitatori indesiderati (…visualizzi la pagina solo se eri tra i destinatari della mail…) in realtà tale approccio non risulta usato dall’esame dei kit di phishing sino ad ora recuperati.

Gli url di attacco sopra riportati fanno in realtà riferimento ad un unico clone riproducente grafica e loghi di Intesa San Paolo

pagina clone

(NOTA BENE: Google safe brrowsing evidenzia in rosso che il form verrà trasmesso senza fare uso di https)

posizionato su un server dedicato  (198.12.67.179 ) su cui risiede il dominio DROON99.COM registrato nel 2013:

Domain Name: DROON99.COM
Registrar: GODADDY.COM, LLC
Sponsoring Registrar IANA ID: 146
Whois Server: whois.godaddy.com
Referral URL: http://www.godaddy.com
Name Server: NS75.DOMAINCONTROL.COM
Name Server: NS76.DOMAINCONTROL.COM
Status: ok https://www.icann.org/epp#OK
Updated Date: 13-may-2015
Creation Date: 17-mar-2013
Expiration Date: 17-mar-2017

Lo spazio web di tale dominio presentava qualche tipo di contenuti almeno sino al maggio 2014

contenuti di droon99.com al maggio 2014

successivamente e fino al 5 marzo 2016 si poteva vedere la pagina di default di Apache server su Ubuntu

home page droon99.com al 5 marzo 2016

 

I criminali dopo aver avuto accesso allo spazio web del dominio DROON99.COM ed aver posizionato in esso il clone, hanno violato almeno altri 18 domini

  • triviashootout.com
  • scooteraz.com
  • sayili.com.tr
  • marisas-ristorante.com
  • limofind.com
  • droon99.com
  • berketadilat.com
  • my-payroll-place.com
  • mockhoago.net
  • pcfp.com
  • hollyf5yoursenses.com
  • nsdrc.net
  • turkeycampout.org
  • mutfakdolabisitesi.com
  • ecticon2015.org
  • marisastrumbull.com
  • marisasbrunch.com
  • sayilipetrol.com

posizionati su 7 diversi server in 4 diverse nazioni

  • 65.60.23.41 USA
  • 70.34.35.58 USA
  • 74.54.19.66 USA
  • 198.12.67.179 USA
  • 46.235.8.126 Turkey
  • 112.78.1.28 VietNam
  • 112.121.151.155 Thailand

e accedendo ai pannelli di gestione di questi hanno abilitato il wild card per i domini di livello inferiore e puntando
qualsiasi-stringa.unodei18dominibucati.tld
sul server dedicato con ip 198.12.67.179 contenente DROON99.COM.

 

Tale metodica di attacco offre al criminale diversi vantaggi:

1- creazione di illimitati url di attacco, limitando l’efficacia dei meccanismi di black listing

2- creazione di nomi dominio particolarmente lunghi, che nella barra degli indirizzi di dispositivi smartphone di ridotte dimensioni potrebbero essere visualizzati solo in parte, es:
bancaintesa.sanpaolo.com-areapersonale.login.sayilipetrol.com
ottenendo la visualizzazione solo di parte ingannevole dell’url, come nell’immagine sottostante

visualizzazione fake url su smartphone

 

3- rendere complessa l’azione di take down, diventando necessario non solo contattare i referenti di DROON99.COM, ma anche quelli di tutti i domini usati per i fake url, spiegando loro che le pagine di phishing non sono nei loro siti, ma che il loro pannello di gestione domini è comunque stato (presumibilmente) violato.

 

Tornando ai fatti: ma cosa interessava ai criminali?

Esaminando il clone si rileva la richiesta sia dei dati di login, che di otp e carta di credito.

pagina clone cattura dati carta di credito

 

Nel caso specifico, in base all’esperienza maturata, sembrerebbe probabile che i criminali mirino unicamente ai dati di carta di credito.

L’uso del token OTP non rappresenta per i criminali un problema insormontabile: l’uso di console di monitoraggio (come raccontato nel post “Phishing con operatore per aggirare i token otp“) permette loro di interagire con la vittima, sfruttando le credenziali ricevute

console di monitoraggio del phisher

 

praticamente in tempo reale, consentendo loro di ordinare pagamenti con estrema abilità e velocità.

Tra l’altro uno di questi casi è attivo proprio in questi giorni sempre ai danni di Intesa San Paolo.

Quindi, per concludere: è errato considerare il phishing una minaccia ridicola, sia per le sue potenzialità, sia per le metodiche con cui viene attuato.

console di monitoraggio del phisher

Da tempo si ritiene che l’utilizzo di dispositivi OTP (one time password) sia riuscito a minare le possibilità dei cyber criminali intenzionati ad accedere ai conti correnti degli utenti da cui movimentare i soldi attraverso bonifici, ricariche telefoniche, pagamenti su conti correnti postali, ecc..
E’ innegabile che negli ultimi anni vi sia stato un forte calo dei tentativi di frode di questo tipo, a favore di attacchi di phishing finalizzati a carpire i dati di carta di credito, la cui richiesta può essere inserita in contesti meno allarmanti/sospetti (ricariche telefoniche, acquisto carte ricaricabili, ecc…).

Tuttavia gli attacchi di phishing all’internet banking non sono affatto superati ed hanno anzi visto alcuni gruppi criminali specializzarsi in essi adottando metodiche di interazione diretta con l’utente che consentono loro di sfruttare in tempo reale il token OTP generato dall’utente o dallo stesso ricevuto via sms.

Nel novembre scorso  l’‘attività di analisi di un tentativo di frode a danno di un istituto bancario di livello nazionale ha permesso a D3Lab di recuperare il kit di phishing, l’insieme di file usati dal criminale per proporre in internet le proprie pagine fraudolente, il cui esame ha evidenziato la presenza di un pannello di controllo in stile bot-net.

pannello di controllo del cyber criminale

Mantenendo questo pannello aperto sul proprio browser il cyber criminale riceveva un segnale sonoro ogni qualvolta un utente inserisse le proprie credenziali, avendo così modo di intervenire in tempo reale, sfruttando i diversi token otp richiesti dalle pagine di phishing nel breve lasso di tempo della loro validità e riuscendo in tal modo ad ordinare bonifici e pagamenti.

L’analisi del kit, realizzato in php, denotò la sua estremamente funzionalità, sebbene non presentasse una realizzazione particolarmente complessa e non facesse uso di data base, caratteristica che lo rende facilmente installabile all’interno dei siti violati usualmente usati dai phisher.

Nell’ultimo bimestre 2014 questa tipologia di kit è stato individuato in attacchi di phishing a danno di due istituti bancari nazionali e di una grande gruppo bancario che raccoglie oltre una decina di istituti con diffusione su tutto il territorio nazionale.

L’analisi dei file costituenti il kit recuperato e delle pagine web che le sue varianti propone ha fornito elementi che lasciano ipotizzare una sua origine est-europea. Non è al momento dato sapere se questi kit siano in uso agli stessi soggetti che li hanno realizzati o se siano acquistabili sul mercato criminale e ad operare possano essere soggetti italiani. Ciò che è certo è che chi opera lo fa con estrema rapidità, riuscendo in pochi secondi ad ordinare e autorizzare pagamenti per svariate migliaia di euro.

I tentativi di frode individuati erano attacchi di phishing tradizionale, veicolati attraverso le usuali mail fraudolente, senza che venisse fatto alcun uso di codici malevoli, evidenziando ancora una volta le notevoli potenzialità di questa tipologia di attacchi.

first page in tesav/ directory

Tesco is one of the biggest general merchandise retailer operating worldwide. Since several years Tesco offers phone and bank services.

Tesco Bank is one of the targets of cyber criminals, interested in capturing home banking and credit cards data.

In the Net we can find mainly one phishing kit. It’s composed by 2 folders called tesav/ and tescr/, both containig about a hundred html files, all equal, and different php files, as showed in pictures below.

 two directory in the kit

 

files in tesav/ directory

files in tesav/ directory

files in tescr/ directory

files in tescr/ directory

The two directory show to the visitors phishing pages that use two different tempaltes:

dir tesav template

dir tesav/ step 1

first page in tesav/ directory

 

dir tesav/ step 2

dir tesav/ step 2

 

dir tesav/ step 3

dir tesav/ step 3

 

dir tescr template

dir tescr/ step 1

tesco bank fraud page

 

dir tescr/ step 2

tesco bank phishing page

 

dir tescr/ step 3

tesco bank phishing page

dir tescr/ structure

phishing kit structure

 

In both cases cyber criminals ask for account access data and personal data, but only pages in tescr/ directory ask for credit card data. In all cases, after sending data in the third page, visitors go back to trusted Tesco Bank web site.

D3Lab started monitoring phishing against Tesco Bank users in the beginning of the last August, identifying 58 different kit installation. If each kit presents 200 html pages, the phisher may count on 11600 different fraud url.

Analysing phishing kit is possible determinate that stolen credentials have been sent via mail to criminals .

php file written to send stolen credentials via mail

 

D3Lab identified ten different email addresses (gmail.com, aol.co.uk, hotmail.co.uk, bluemail.com, mail.mn) used by criminals, that could be operating at least in two or three different teams.

Luckily Tesco Bank seems to be very attentive about the on-line fraud problem, in it’s web site it presents several pages about phishing, fraud and how to operate in case them occur:

Guard against phishing;

How to identify a genuine Tesco Bank email;

How Fraud occurs;

How we protect you;

Security and fraud.

Update 2016/11/08 (three years late):

phishing against Tesco Bank users, D3Lab monitoring
tesco bank phishing