Articoli

Nella quotidiana attività di monitoraggio dei Social Network effettuata per individuare le segnalazioni da parte di utenti della comunità di eMail o SMS di Phishing abbiamo rilevato un crescente numero di utenti che lamentava di essere stati truffati tramite Facebook a seguito di un contatto con la pagina ufficiale Postepay di Poste Italiane.

A quanto si è potuto appurare le vittime contattano la pagina certificata Postepay tramite l’invio di un messaggio pubblico, usualmente per chiedere supporto o per segnalare eventuali malfunzionamenti dei servizi da loro sottoscritti. Il social care ufficiale di Poste Italiane provvede a rispondere all’utente pubblicamente e nel caso vi fosse la necessità di effettuare ulteriori verifiche lo inviata ad inviare un messaggio privato alla pagina ufficiale contente il codice fiscale e il numero di cellulare. Il truffatore rilevando il messaggio pubblico dell’utente e la relativa risposta ufficiale del social care anticipa l’utente inviandogli un messaggio privato tramite un falso profilo Facebook simulando un vero operatore del servizio clienti. Il falso profilo invia inizialmente un messaggio alla vittima identificandosi tramite un nominativo ed un codice operatore e chiederà alla vittima come può essere utile per la risoluzione del problema. Instaurata la comunicazione il truffatore procede a richiedere il codice fiscale alla vittima, tramite tale dato è possibile determinare se la vittima è registrata o meno sul portale online di Poste Italiane. Qualora l’utente sia già registrato al portale online il truffatore procede a richiedere ulteriori dettagli alla vittima fingendosi interessato a risolvere il reale problema, realmente l’intento è quello di circuire il cliente di Poste Italiane al fine di eseguire addebiti illeciti sulla sua carta di credito prepagata con la complicità dello stesso cliente ignaro della truffa.
Qualora l’utente non sia registrato, il truffatore procederà alla registrazione sul portale di Poste Italiane assieme alla vittima al fine di associare la carta prepagata al nuovo profilo ed eseguire la procedura già descritta nel precedente punto.
Il truffatore è in grado di identificare se la vittima è registrata o meno al portale di Poste Italiane sfruttando la funzione di recupero credenziali, infatti il portale online riporta chiaramente se il codice fiscale è associato ad un cliente o meno.

Abbiamo dato evidenza della nostra analisi a Poste Italiane la quale ci informa che il Computer Emergency Response Team del Gruppo Poste Italiane è a conoscenza del fenomeno e lo sta contrastando con tutti i mezzi a sua disposizione. Il servizio di Brand Protection fa monitoraggio dei canali social per verificare che non vi siano usi impropri dei marchi Poste Italiane. Una volta identificati profili che utilizzano il marchio impropriamente, fa richiesta al canale social per il blocco del profilo stesso. Purtroppo i profili vengono spesso chiusi e aperti in diversi momenti, creando difficoltà nella identificazione e segnalazione. Si fa presente che Poste Italiane ha già informato i propri clienti riguardo tale fenomeno fraudolento, attraverso i canali di comunicazione a sua disposizione.

Simulazione

Al fine di rilevare complessivamente la procedura seguita dai truffatori abbiamo simulato tramite un profilo Facebook la necessità di ricevere supporto dalla pagina Postepay di Poste Italiane. Il 22 Giugno abbiamo inviato il seguente messaggio per richiede al social care su una ipotetica impossibilità di eseguire un pagamento su un noto sito di e-commerce.

Dopo alcuni minuti il profilo “Valentina Minni” con foto profilo ritraente un logo di Poste Italiane provvede a richiederci l’amicizia. Link profilo: https://www.facebook.com/valentina.minni.3939 (copia http://archive.is/omi58)

Il falso profilo di Valentina Minni inizia successivamente a scriverci tramite Facebook Messanger, presentandosi inizialmente con un falso codice operatore e ci chiede come può aiutarci. Spiegata la nostra, falsa, problematica riguardante l’impossibilità di effettuare un pagamento causa blocco del 3D Secure il falso operatore ci avvisa che tale servizio va attivato e ci invita ad indicargli il nostro codice fiscale.

Fornendogli un Codice Fiscale generato in maniera casuale ma attinente al nome del profilo Facebook, il truffatore ci avvisa che non siamo registrati sul sito di Poste Italiane e ci invita ad effettuare la registrazione assieme a lui al fine di attivare il 3D Secure.

Come scusa abbiamo indicato che la carta prepagata era intestata alla moglie della probabile vittima e che normalmente venivano sfruttate le credenziali della signora per eseguire il login al portale di Poste.

 

Dopo alcuni secondi dall’ultimo messaggio il profilo Facebook del truffatore è stato sospeso, probabilmente a seguito della segnalazione di un’altra probabile vittima.

Il truffatore non si da per vinto e dopo pochi minuti veniamo contattati nuovamente da un secondo profilo, sempre denominato Valentina Minni ma avente un ID Facebook differente.
Link profilo: https://www.facebook.com/valentina.minni.376 (copia http://archive.is/BRniX)

Abbiamo messo noi ora in atto una tecnica di ingegneria sociale per poter carpire maggiori dettagli del truffatore. Con la scusa di avere i documenti della moglie su DropBox abbiamo condiviso un link al truffatore, enfatizzando la comunicazione con messaggi di vita quotidiana della vittima completamente insignificanti nella risoluzione della problematica.

Il link riportato nella realtà non portava ad alcun documento DropBox ma ad una pagina inesistente sul portale di file sharing, passando però da una pagina intermedia che aveva il compito di carpire alcuni dettagli del truffatore.

Nello specifico abbiamo potuto stabilire l’User Agent del truffatore e il suo indirizzo IP. Il primo dato ci mostra che sfrutta un computer con Microsoft Windows, presumibilmente Windows 7, e il browser Google Chrome, mentre il suo indirizzo era 151.57.29.28.

Tale indirizzo IP risulta essere Italiano e un sevizio di geolocalizzazione lo identifica nelle vicinanze di Napoli.

Questa indicazione, che potrebbe essere certamente falsificata tramite l’uso di Proxy, VPN o rete TOR, convalida un altro sospetto che avevamo fin dall’inizio, ovvero che il truffatore parla un Italiano perfetto, conosce anche la forma di cortesia è l’uso dei pronomi Lei usualmente sconosciuta o di difficile apprendimento per una persona straniera.

Successivamente abbiamo continuato la conversazione, poiché totalmente ignari dell’operazione di tracciatura da noi svolta, scusandoci per non essere riusciti a inviargli i documenti e rimandando la conversazione non appena la finta moglie sarebbe rientrata dal lavoro.

I truffatori hanno poi sottolineato l’importanza della presenza della signora e del suo cellulare poiché fondamentale per concludere l’operazione di attivazione del servizio, ovvero fondamentale per poter ricevere il codice OTP di disposizione di una ricarica postepay.

Concludiamo invitando gli utenti a prestare massima attenzione e di verificare di essere in contatto con la pagina ufficiale di Poste Italiane, sfruttando la funzionalità del badge di verifica offerta da Facebook.

 

Il Rapporto Clusit 2017 indica un forte aumento delle attività di Phishing nel nostro paese ed è quindi sempre più importante focalizzare l’attenzione di tutta la popolazione su questa attività di frode.

Le aziende devono prevedere attività di formazione per tutto il personale al fine di evitare la divulgazione di documenti riservati, diffusione di ransomware, movimentazioni bancarie illecite o qualsiasi altra attività che può fortemente destabilizzare l’andamento economico di una società.

Questo invito è maggiormente rimarcato per tutte le aziende che hanno un contatto diretto con il consumatore, attraverso i Call Center o Social Care, le quali non devono solamente prevenire un attacco diretto ma evitare che i propri clienti vengano truffati da attività di Phishing con loghi e marchi dell’azienda.

Il consumatore, ignaro del Phishing, ingenuamente penserà che l’addebito inconsueto sulla sua Carta di Credito sia stato eseguito dall’azienda vittima di Phishing e non da un team di Phisher. Creando un danno di immagine rilevante.

Il 22 Marzo abbiamo rilevato su Twitter un imbarazzante situazione del Social Care di TIM, il quale ha invitato un utente a visitare una eMail di Phishing perché la ritenevano lecita.

Lunedì 20 Marzo l’utente Damiano Achilli riceve via eMail la seguente comunicazione:

 

Insospettito da alcuni errori grammaticali decide di chiedere al supporto TIM una conferma, se l’eMail sia legittima o meno:

 

Il servizio clienti conferma la legittimità della comunicazione e l’utente procede a richiedere il rimborso compilando il modulo online.

La risposta del servizio clienti TIM è stata rimossa, ma conteneva quanto segue: “@Damiano_Achilli ciao, si confermiamo ? Buona giornata #TIM4U”.

Damiano fidandosi della risposta ricevuta, perderà 60€ che vengono illecitamente sottratti dalla sua Carta di Credito Prepagata. Si trattava palesemente di una attività di Phishing, con l’utilizzo della codifica base64 come abbiamo visto recentemente in un altro articolo.

Sfruttando Google Cache riusciamo a visualizzare la risposta, che potete vedere anche nel seguente screenshot:

Lo stesso Damiano ci ha inviato due screenshot che ha personalmente effettuato:

 

 

Al fine di dare maggiore evidenza ai dati sopra presentati abbiamo proceduto acquisendo la pagina di Twitter presente nella cache di Google attraverso Hashbot:

 

acquisizione via hashbot

da cui si rileva nuovamente il testo della risposta data dall’account TIM_Official

 

Una ulteriore forma di acquisizione attraverso terze parti è stata effettuata usando le funzionalità di archive.is e qui http://archive.is/7klQT potete vedere sia la pagina che lo screenshot, con la risposta di TIM_Official a Damiano in terza posizione.

Infine abbiamo acquisito il tutto anche con wireshark tramite la visualizzazione della cache di Google, senza fare uso di https.

file: risposta_cancellata_TIM_Official_a_Damiano_Achilli.pcap
sha256: 91b42e0609b76820e9283574c32f84ea3d726a3eb72b7efb0a057000aa96d799

Sfruttando l’opzione File > Export Objects> HTTP di wireshark è possibile estrapolare la pagina web ricevuta in risposta da Google (file packet_1230.txt, sha256 79da9bbbcc4a520fb97c3f7c73f9355ba9fbe913b60b047ca5dbff5f45e1cf60):

 

estrazione pagina da file pcap

 

risposta di TIM_Official all'utente

 

L’accaduto evidenzia quanto la formazione degli operatori destinati a supportare il consumatore (Call Center, Social Care, Personale di Filiale, ecc…) in materia di truffe e frodi sia necessaria a salvaguardia la sicurezza e dell’immagine delle società. La soluzione non passa certo per tweet cancellati.

Update 24 marzo 2017 – 14.37

Damiano, vittima della frode, ci ha raccontato di aver ricevuto notifica del pagamento effettuato dai criminali con la sua carta di credito, nella quale veniva indicato l’acquisto di servizi presso l’ISP francese AMEN.FR

58d14d48abdfa WWW.AMEN PARIS FR N. 654831

Amen.fr è una controllata di Dada Spa, società a cui fa capo pure l’italiana Register.it. E’ quindi presumibile che il criminale abbia usato la carta di credito della vittima per acquistare servizi web da riutilizzare in truffe future.

La TIM è doveroso indicare come la società, attraverso le pratiche burocratiche di rito, si sia impegnata a rimborsare Damiano attraverso i servizi da TIM lui acquistati. Tutto è bene ciò che finisce bene.