Tag Archivio per: sms

Massiva campagna Flubot veicolata in Italia tramite SMS DHL

A partire da lunedì 12 Aprile 2021, nell’ambito del servizio IoC Zone, D3Lab ha registrato in Italia una campagna massiva di tipo smishing rivolta ad utenti Android che, tramite l’invio di messaggi SMS malevoli è finalizzata a rilasciare il malware Flubot.

Il Malware (APK) Flubot sta circolando in quasi tutti i continenti: dall’Europa fino ai paesi asiatici ad esclusione dei paesi dell’ex-Urss, come riportato in una analisi del Cert-Agid che per primo ha diramato la notizia in Italia al fine di sensibilizzare le potenziali vittime.

Continua a leggere

/da

Campagna di Phishing ai danni di Fideuram

Fideuram – Intesa Sanpaolo Private Banking S.p.A., spesso abbreviata semplicemente in Fideuram, è un istituto bancario italiano appartenente al Gruppo Intesa Sanpaolo gestita coi principi del private banking.

Fideuram è soggetta ad attacchi di phishing che riprendono il loro logo e l’interfaccia del homebanking dal 2020, nel week end appena passato abbiamo identificato una nuova campagna a loro danno veicolata tramite dominio creato Ad Hoc.

Questo nuovo clone ha la particolarità, a differenza delle precedenti segnalazioni, di essere visibile esclusivamente da una risoluzione mobile. Ovvero la risoluzione dello schermo di uno smartphone, usualmente i criminale effettuano verifiche sull’user agent mentre in questa segnalazione viene correttamente mostrato il clone se si ha una risoluzione inferiore ai 1024×768.

Continua a leggere

/da

Aggiornamento App: Applicazione malevola per intercettare codici OTP di Intesa San Paolo

Nell’attività di analisi e contrasto al Phishing durante le ultime due settimane abbiamo rilevato la divulgazione di SMS a clienti di Intesa San Paolo i quali invitano gli utenti ad installare un aggiornamento nel proprio smartphone, mediante il seguente messaggio:

Gentile Cliente Gruppo ISP questo è il link per aggiornare l’app di messaggistica e di Intesa San Paolo.

L’aggiornamento veicola una applicazione Android (APK) denominata “Aggiornamento App” ad oggi rilevata in due distinte varianti, com.datiapplicazione.sms e com.sistemaapp.sms.

Continua a leggere

/da

Servizio sms di spesa attivo: il criptico messaggio di Nexi

Da quando, il 10 novembre 2017, Nexi è stata creata i criminali si sono immediatamente mobilitati e già il 14 novembre D3Lab rilevava un primo phishing facente uso del brand/logo del nuovo ente.

Nelle settimane successive molti utenti Twitter ci hanno contattato richiedendo informazioni riguardo un sms ricevuto avente il seguente testo “Servizio SMS di spesa attivato“.

richiesta informazioni riguardo sms NEXI

 

Al momento D3Lab non ha alcuna forma di collaborazione attiva con Nexi, non abbiamo quindi conoscenza delle modalità e procedure operative dell’ente.

Alle prime richieste abbiamo cercato di rispondere con logica:

Nexi è la nuova società/servizio che gestisce le transazione con carte di credito per alcune banche (Popolare di Cremona, Popolare di Intra, Banca Popolare di Lecco, Popolare di Lodi, Banca Popolare di Luino e Varese, Popolare di Verona, l’elenco potrebbe non essere esaustivo). Presumo lei possa essere cliente di una delle banche coinvolte ed avere una loro carta di credito per la quale hanno attivato i servizi di sicurezza (sms al pagamento o prelievo, ecc…) L’sms da lei ricevuto non presenta link, quindi non è pericoloso. Saluti

Nexi è il nuovo servizio nato da CartaSi per la gestione delle carte di credito. Se l’sms non contiene link non c’è da allarmarsi e si può supporre che sia solo una notifica con cui Nexi avvisa il titolare di carta di credito CartaSì di aver attivato su di essa il servizio SMS che vi avvisa quando la usate per un pagamento.

Con sorpresa gli utenti a cui fornivamo questa spiegazione ci rispondevano di non essere possessori di carte di credito CartaSì di conti correnti presso gli istituti del Gruppo ICBPI (Popolare di Cremona, Popolare di Intra, Banca Popolare di Lecco, Popolare di Lodi, Banca Popolare di Luino e Varese, Popolare di Verona).

risposta utente nostra spiegazione sms Nexi

risposta utente nostra spiegazione sms Nexi (anche il giorno di Natale lavoriamo)

risposta utente nostra spiegazione sms Nexi

 

Quindi al fine di poter dare un’informazione il più corretta possibile agli utenti che ci contattavano il 26 dicembre scorso scrivevamo all’account Twitter ufficiale di Nexi richiedendo informazioni.

richiesta informazioni ad account Twitter Nexi

Essendo le richieste arrivate via Twitter abbiamo preferito veicolare il messaggio attraverso il medesimo canale, abbastanza certi che anche altri utenti avessero inoltrato le loro richieste verso tale destinatario, ipotizzando così che il social manager potesse avere una visione d’insieme del problema e dell’esigenza degli utenti di ricevere risposte.

Al momento non abbiamo ricevuto nessuna risposta.

Invitiamo Nexi a dare maggior evidenza al pubblico delle proprie modalità di comunicazione evitando in tal modo che eventuali lacune e spazi vuoti nella comunicazione possano essere abusati dai criminali per la realizzazione di frodi.

/da

SMS di Phishing dal 3424112671

 

SMS Phishing

Nel primo semestre 2016 dalle analisi sul Phishing abbiamo registrato un maggior impiego degli SMS quali veicolo di attacco agli istituti bancari e non solo, in particolare è stato abbondantemente sfruttato il numero 3424112671 come mittente dei brevi messaggi di testo. È probabile che tale numero appartenga ad un Gateway SMS ovvero ad un fornitore di servizi SMS attraverso internet.

I primi messaggi fraudolenti relativi a questo numero di cellulare risalgono ad Ottobre 2015, da allora ad oggi tramite questo numero sono state colpite diverse società:

  • Poste Italiane;
  • WhatsApp;
  • Intesa San Paolo;
  • Facebook;
  • Deutsche Italy Bank;
  • Lottomatica;
  • Banca Marche.

Gli SMS sono un perfetto vettore per il Phishing poiché permettono di scavalcare i filtri antispam delle caselle eMail e catturano maggiormente l’attenzione del destinatario. È un metodo di Phishing meno diffuso e l’utente più inesperto viene tratto in inganno da questa nuova forma di truffa che fino ad ora si era principalmente affermata tramite eMail.

Phishing WhatsApp

Sono diverse le fonti online che citano questo numero e riportano il contenuto degli SMS, la pagina Facebook di “Trutte e Raggiri” lo scorso 8 Aprile 2016 riportava un caso di Phishing ai danni di WhatsApp.

SMS_phishing_23_02_2016

Ma ancor prima a Febbraio 2016 il numero è stato sfruttato per una campagna ai danni di Intesa San Paolo, ed è proprio il gruppo di IT.news.net-abuse su Google a riportare la notizia.

2016.07.21_Screenshot_1532380

Sempre a Febbraio 2016 lo stesso numero, come ci riporta stopting, veniva sfruttato per carpire le credenziali degli utenti della Banca Marche.

2016.07.21_Screenshot_1552480

2016.07.21_Screenshot_1552400

2016.07.21_Screenshot_1552180

Tra ottobre e novembre del 2015 si sono verificati diversi casi ai danni di Poste e WhatsApp secondo i commenti riportati su unknownphone, Poste Italiane che è ancora oggi una vittima del Phishing mediante questo numero. Come possiamo visualizzare da questa segnalazione su Twitter odierna:

2016.07.21_Screenshot_1555270

È importante notare il crescente utilizzo di domini creati ad-hoc, come avevamo già riportato nell’articolo dedicato a PayPal, per carpire ancor più l’attenzione della vittima, rendendo l’inganno più preciso e mirato.

Un estratto dei domini coinvolti è il seguente:

  • postedirect3d.it
  • whatapp.com
  • onlineposte.com
  • myposte3d.co
  • leDB.it
  • myposte5d.it
  • contonet.it
  • whatsapp-italy.net
  • posteinfo.pw
  • posteinfo.us
  • myintesaonline.it

Il Phishing è una complessa operazione ancor oggi in fase di sviluppo e perfezionamento, sfrutta nuove tecniche per carpire le sue vittime e nuovi approcci per risultare più similare al target preso di mira.

/da