Il monitoraggio D3Lab permette di rilevare sempre numerose mails di phishing che puntano a false pagine di login a servizi online di webmail quali Yahoo, Google ecc… ma anche a specifici servizi di gestione mailbox in lingua italiana, come l’attuale spam ai danni di TIM – Alice mail.

Questa è una mail di phishing TIM ricevuta nella primissima mattina di ieri, lunedì 1 agosto,

1mail

che presenta un logo Alice Mail ed un breve testo in lingua italiana che invita a verificare la mailbox TIM Alice.

Il link punta a questa pagina fake di login

2loginfake

dal layout tipico di applicazione per telefonia mobile e dalla struttura molto semplice costituita dai campi di input username e password e dalla possibilità di scegliere tra differenti domini di posta (tim, alice)

Il form non  verifica sia la presenza delle credenziali che la scelta dei domini mail ma semplicemente, dopo aver acquisito i dati richiesti, redirige sul legittimo sito TIM di login a webmail.

4redirect

L’estrema semplicita’ del phishing la vediamo dall’analisi del KIT, che mostra un codice di acquisizione dell’IP del visitatore, delle credenziali e l’ invio via mail al phisher seguito dal redirect sul legittimo sito TIM.

3php_2016-08-01_092046

A conferma della grande diffusione di phishing che tenta di acquisire credenziali di accesso alle webmail, anche di utenti italiani della rete,  attualmente si rileva la presenza di questa mail

7altrawebmail

dal testo in lingua italiana riferito ad una generica webmail, il cui link punta a questo form che non presenta specifici loghi di servizio di webmail.

8altra login

In alternativa alla pagina fake di login dal contenuto ‘generico’ per colpire il maggior numero di utenti webmails abbiamo anche una grande presenza online di pagine con scelta multipla di selezione dell’email provider come in questa pagina di fake login Google, ma con possibilità di scelta che varia da Gmail, Yahoo, Hotmail, AOL ed anche un generico Others.

googlewebmlog

Le azioni che i criminali potranno effettuare una volta entrati in possesso delle credenziali di accesso alla web mail sono molteplici:

  • in presenza di account usati a fini aziendali, per esempio google app for business, i criminali potrebbero aver accesso

    • a documenti aziendali presenti in allegato, informazioni riservate e/o codici di accesso a sistemi, portali, ecc.. comunicati via mail, o ancora ai documenti aziendali caricati su Google Drive;

    • monitorare lo scambio mail con verso eventuali clienti, intercettare l’invio di fatture/richieste di pagamento, che modificate dai criminali e inviate nuovamente al cliente porterebbero alla distrazione dei pagamenti (attacco man in the mail);

  • individuare i referenti della filiale di banca presso cui il titolare della mail box si server per inviare loro richieste di bonifico via mail, ovviamente verso conti gestiti dai criminali;

  • usare la mail box per diffondere spam, malware, phishing, ecc…

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Rispondi