mercoledì 8 agosto 2012

Un ulteriore tentativo di acquisire token SMS ma questa volta ai danni di banca asiatica.(8 agosto)


Segnalato in rete un phishing che ripropone l'acquisizione di token inviato via SMS e che sfrutta probabilmente un sistema automatizzato per utilizzare la chiave token di sicurezza acquisita dal clone.
Non e' comunque neanche da escludere che, piu' semplicemente,  ci sia un intervento umano per processare i dati appena raccolti ed effettuare la transazione fraudolenta ai danni di chi fosse caduto nel phishing.
In ogni caso dal punto di vista dello svolgimento temporale  del phishing abbiamo  sempre mails di spam con messaggio che informa di problemi di sicurezza o di accesso al conto, a cui segue invito ad effettuare il login per ovviare all'inconveniente.
Una volta aperta la pagina clone avremo la richiesta dei codici di accesso, quella del token inviato via SMS e pagina finale con info sulla corretta riuscita della manutenzione del conto con redirect su reale sito della banca.
Per quanto si riferisce alla banca colpita dal phishing si tratta di un gruppo bancario la cui attivita' interessa parte del sud est dell'Asia e che dispone di una vasta rete di filiali con 1.100 sportelli in tutta la regione.

Vediamo alcuni dettagli:

Il clone ospitato su sito WordPress compromesso e con  IP


mostra questa prima pagina di login (notate le info a destra nella pagina che illustrano il metodo TAC (Transaction Authorization Code) ossia l'uso di token trasmesso via SMS al momento della richiesta di transazione)


Segue una richiesta di password giustificata con l'impossibilita' di visualizzare un codice di accesso definito come SecureWord  (notare la finestra vuota senza il testo presente)


Variando contrasto e luminosita' dello screenshot si puo' comunque vedere come si sia semplicemente cancellato il codice presente sull' 'originale' pagina del sito allo scopo di simulare l'assenza del codice.


Tornando al phishing si passa poi ad ulteriori richieste di credenziali di verifica dell'account 


a cui fa seguito questa schermata di info


Si nota come venga proposta una breve attesa a cui seguira' l'invio sul telefono del token SMS che dovra' essere digitato nel form seguente.
Se il token viene richiesto a fronte di una  operazione sul conto e' probabile che questo sia il momento in cui i phishers effettuano il tentativo di accesso al conto, cosa che a sua volta generera' l'invio in automatico del token da parte della banca.

Questa la successiva richiesta del codice ricevuto da chi e 'caduto nel phishing


e che dovrebbe permettere asi phishers di completare l'operazione fraudolenta di accesso al conto e relativa transazione.
Di seguito appare questa ulteriore schermata di attesa nella quale si viene informati di non accedere al conto per i prossimi 30 minuti onde evitare problemi con le operazioni in corso di manutenzione del database.


E' evidente che i phishers vogliono prendersi il tempo di completare la loro azione senza che magari il cliente acceda al conto in modo legittimo, veda l'eventuale addebito ed avverta la banca nel tentativo di bloccare l'operazione fraudolenta.
Sulla pagina e' presente anche una scelta che punta al reale sito della banca.


Quindi, ancora una volta, un phishing abbastanza semplice ma forse anche efficace nel bypassare la protezione OTP sia che venga attraverso dispositivi generatori di tokens  hardware che codici tokens SMS via cellulare.
Tutto lascia pensare che, se l'efficacia di questa procedura di richiesta tokens sara' confermata, potremmo vedere nei  prossimi mesi, insieme alla diffusione sempre piu' ampia dell'uso di dispositivi OTP, anche un notevole aumento di questo genere di phishing. 

Edgar 

Nessun commento: