Tag Archivio per: Telegram

Acquista una carta di credito rubata con un click

Il Threat Intelligence Team di D3Lab, nelle sue quotidiane attività di analisi e contrasto alle frodi online ha rilevato la diffusione di una campagna di phishing multibanca ai danni rispettivamente di Banco Popolare di Milano BPM, Illimity Bank e Bunq.

Banco BPM S.p.A. è un gruppo bancario italiano di origine cooperativa, presente in tutta Italia con l’eccezione dell’Alto Adige caratterizzato da un forte radicamento locale, in particolar modo in Lombardia (dove è il maggiore operatore con una quota del 15%), in Veneto ed in Piemonte.

Illimity Bank S.p.A è la banca di nuova generazione, senza vincoli, nata dalla fusione tra SPAXAS e Banca Interprovinciale SPA, è quotata anche in Borsa e fornisce credito ad imprese ad alto potenziale.

Bunq B.V. è un’azienda fintech con una licenza di operatore bancario europea. Offre servizi bancari sia ai residenti che alle imprese dei paesi europei attraverso un modello di abbonamento al servizio.

I Kit di phishing in questione sono molto simili e funzionano allo stesso modo. In particolare siamo partiti analizzando quello ai danni di Illimity Bank.

Continua a leggere
/da

Phishing: Analisi del clone e rivendita del kit su Telegram

Il Threat Intelligence Team di D3Lab, nelle consuete attività quotidiane di analisi e contrasto alle frodi online ha rilevato nella giornata del 2 Novembre la creazione di un nuovo dominio Ad Hoc contenente un sito di phishing ai danni di ING Bank.

ING Bank è parte di ING Group (www.ing.com), gruppo bancario di origine olandese che offre servizi e prodotti bancari in più di 40 Paesi tra Europa, America del Nord, America Latina e Asia.

Continua a leggere
/da

Il Phisher invia le credenziali delle vittime tramite Telegram

Nella analisi odierna del Phishing e relativo contrasto abbiamo identificato una campagna di Phishing ai danni di Saman Bank con l’invio delle credenziali carpite tramite Telegram.

Usualmente i Phisher si inviano le informazioni carpite a mezzo eMail, tramite dei Command and Control o più raramente mediante IRC.

In questo kit di Phishing invece il Phisher sfrutta le API di Telegram per inviarsi le credenziali attraverso un Bot, abbiamo potuto analizzare il kit di phishing poiché è stato dimenticato in formato compresso sul sito web compromesso.

Nell’immagine precedente potete vedere parte del codice del kit in cui viene richiamata la funzione Telegram per poter inviare le informazioni carpite tramite le API.

Il kit conteneva anche la configurazione del BOT permettendoci di identificare il Nick del Bot e del Phisher; i messaggi vengono inviati tramite messaggi privati e non condivise in un canale o gruppo.

Di seguito trovate un esempio dei dati che vengono forniti al Phisher mediante il bot:

 

/da

Telegram: Server eMail autentico sfruttato per inviare Phishing

screen_2

 

Nell’attività di analisi del Phishing abbiamo rilevato l’utilizzo del server eMail di Telegram e della loro casella di Supporto per inviare Phishing ai danni degli utenti Apple.

Nelle procedure consolidate di analisi del Phishing che svolgiamo da quattro anni lo scorso 4 Ottobre verificando una eMail di Phishing ai danni degli utenti Apple abbiamo notato l’insolito mittente “[email protected]”. Insolito perché usualmente il mittente di una eMail di Phishing viene falsificato per rendere la comunicazione ancor più veritiera con l’eMail dell’ente in oggetto. In questo caso una eMail che potrebbe ingannare maggiormente l’utente sarebbe stata: [email protected]/.com. Telegram nonostante sia nella TOP 50 delle applicazioni maggiormente scaricate nell’Apple Store non ha certamente collegamenti societari con Apple.

Analizzando successivamente l’header della mail e più precisamente i nodi di rete coinvolti si nota che la mail di Phishing è stata inviata all’effettivo mail server di Telegram da una VPS britannica ed infine consegnata al destinatario. Il server eMail di Telegram “mail.telegram.org” avente IP 149.154.167.33 risulta quindi coinvolto nell’invio di Phishing.Mail Ops Telegram

Anche una ulteriore analisi attraverso un Reverse DNS ci conferma che all’IP 149.154.167.33 è associato il sotto-dominio mail.telegram.org

ping_dig_nslookup

Verificando inoltre le zone DNS del dominio telegram.org troviamo un ulteriore conferma dell’autenticità del sotto-dominio e del server sfruttato per inviare l’eMail.

dig_any

Pertanto il Server Mail e un Account Mail di Telegram è stato sfruttato per inviare Phishing!

Ma come è stato possibile? Il Phisher ha ottenuto la password dell’account [email protected] e sfruttato per inviare la posta?

No, come si può vedere dall’immagine di apertura il server SMTP non era configurato correttamente e non richiedere l’autenticazione, funzionando come un Open Mail Relay! 

Un Open Mail Relay è un server SMTP configurato in modo tale che permetta a chiunque di inviare eMail attraverso esso, questa era la configurazione di default nel passato dei principali server mail ma a seguito dell’utilizzo fraudolento da parte di spammer e phisher ad oggi viene normalmente chiesta l’autenticazione per l’invio di una eMail. Risultava quindi possibile inviare eMail attraverso la casella [email protected] a chiunque.

A conferma di tale ipotesi vediamo di seguito una scansione positiva eseguita con il noto software nmap e lo script per la verifica dell’Open Relay.

nmap_open_relay

Abbiamo provveduto ad avvisare Telegram alle 20 del 4 Ottobre, e dopo soli 30 minuti, con grande tempestività, il team di Telegram era già intervenuto riconfigurato il loro server SMTP, rispondendo alla nostra segnalazione ringraziandoci.

I Phisher hanno usato il server SMTP per inviare Phishing, ma questa errata configurazione poteva certamente essere sfruttata per inviare comunicazioni di carattere amministrativo (Man in the Mail) o uno Spear Phishing mirato ad altri dipendenti Telegram o società che collaborano strettamente con loro.

/da