Torna il phishing a danno di Carrefour Banca

Lo scorso anno vi avevamo raccontato del phishing a danno di Carrefour Banca rilevato tra gennaio e febbraio, ieri a circa un anno di distanza i criminali tornano a colpire gli utilizzatori delle carte Carrefour.

L’analisi del caso trae spunto da un tweet di @illegalFawn ricercatore sempre attento a questa tipologia di minacce

Rispetto ai casi di phishing rilevato lo scorso anno la grafica risulta meno curata e il kit sfrutta il sistema delle sub directory con nomi random, create per ogni nuova visita.

Dopo aver inserito i dati di carta di credito nella prima pagina si passa all’inserimento dei dati anagrafici in un form a cui fanno da contorno i loghi di Carrefour e di Mastercard.

Nell’ultima pagina i criminali ringraziano per aver inserito le informazioni rassicurando l’utente riguardo lo sblocco della carta e rimandando al numero di telefono di Carrefour Banca per eventuali richieste, indicando il numero di contatto per chi chiama dall’estero.

 

L’indicazione del provider 000webhost.com è in realtà fuorviante, in quanto il sito compromesso utilizzato è in realtà in hosting presso un altro provider.

La campagna sembrerebbe tuttavia non essere ad opera di criminali italiani:

al termine di tutto il processo si viene indirizzati verso l’effettivo sito web di Carrefour Spagna

il codice del kit sembrerebbe un adattamento di codice precedentemente realizzato per colpire i clienti della succursale spagnola di Carrefour

 

 

L’ultima particolarità del caso è dovuta alla presenza, in parallelo al clone di Carrefour Banca, di due cloni rispettivamente finalizzati a colpire i clienti di Bank of America e Crédit Agricolé.

 

Come sempre si sollecita l’utenza a porre attenzione ai domini riportati nella barra degli indirizzi del browser e ad utilizzare le funzionalità anti-frode presenti nei moderni browser.