mercoledì 31 agosto 2011

Phishing CartaSi (31 agosto)

Sempre molto attivo il phishing ai danni di CartaSi che sfrutta ad esempio mail come questa ricevuta ieri

ed il cui form allegato utilizza un codice PHP

ospitato su server

Una analisi del folder che ospita il file php di invio credenziali eventualmente sottratte dai phishers, rivela anche la presenza di codice e subfolder collegati a phishing Paypal in lingua inglese.

Si tratta in ogni caso, anche se di mail attuale, di phishing probabilmente attivo da molto tempo come rivelano le date dei files presenti.

Edgar

martedì 30 agosto 2011

Aggiornamento - Phishing ai danni di Cariparma – Credit Agricole (30 agosto)

Il sito USA che ospitava il clone presenta attualmente questa pagina di sospensione dell'account

per cui i phishers hanno velocemente modificato il codice di redirect (sempre attivo sul sito Thai visto prima) puntando ad un clone Cariparma ora ospitato su

e 'naturalmente ' gestito con Innova Studio A.M.

Da questo dettaglio dei contenuti possiamo vedere la data attuale dei due codici di phishing


Edgar

Phishing ai danni di Cariparma – Credit Agricole (30 agosto)

Denis Frati mi segnala l'attuale presenza di un codice di redirect attivo su sito Thai

che utilizza, ma ormai non e' piu' una novita', Innova Studio Asset Manager, per la gestione dei contenuti

Come si nota dallo screenshot e' stato uploadato attraverso l'Asset Manager un codice htm che redirige a semplice clone su sito USA (solo 2 files)
La falsa pagina di login Cariparma-Credit Agricole
evidenzia ancora l'utilizzo di Innova Studio A.M. per la gestione dei contenuti.

Questo un dettaglio del falso login Cariparma

Si tratta di azione sempre portata dai medesimi phishers attivi, da molto tempo, negli attacchi a banche locali IT, come conferma anche la consueta mail di invio credenziali eventualmente sottratte a chi fosse caduto nel phishing.

Da notare che dopo il 'fake' login si viene rediretti sul reale sito Cariparma alla pagina che descrive un sistema di sicurezza per l'home banking.

Edgar

lunedì 29 agosto 2011

Aggiornamento phishing ai danni di banche IT a diffusione regionale. Ancora Cassa di Risparmio di Volterra (29 agosto)

A 10 giorni dal suo utilizzo (questo il post) e' nuovamente attivo (segnalatomi da Denis Frati) questo sito con Innova Studio Asset Manager


che ripropone un redirect a clone C.R.Volterra ospitato su sito con whois 'da queste parti'

Il sito Thai utilizza ancora una volta Innova Studio Asset Manager attraverso il quale viene gestito l'upload dei contenuti di phishing,

Edgar

Phishing Lottomatica (29 agosto)

Si tratta di questa mail di phishing Lottomatica che propone un bonus da 50 euro

e che presenta un form in allegato

Interessante il source del form con un commento relativo al setup del link a codice php


che viene tradotto con Google correttamente a partire dalla lingua romena.
Il codice php relativo e' ospitato su sito creato attraverso un servizio di free web hosting con whois

e di cui vediamo un dettaglio delle pagina di registrazione probabilmente utilizzata dai phishers

Il redirect, una volta introdotti i codici di login, punta a questa pagina del reale sito Lottomatica,

scelta per creare una 'situazione ingannevole' in quanto viene segnalato un errore e la richiesta di riprovare un nuovo login che questa volta andra' a buon fine visto che ci troviamo adesso, sul reale sito Lottomatica.

Edgar

venerdì 26 agosto 2011

Un particolare clone online. Phishing Alitalia (26 agosto)

Si tratta di un clone che riproduce fedelmente la pagina di accesso al Programma Millemiglia dedicato ai clienti Alitalia.

Il clone e' incluso su sito di squadra di calcio tedesca

con whois

e che parrebbe essere sviluppato in Joomla.

Per quanto si riferisce al link di phishing, e' presente su mail, di cui vediamo il testo come proposto da sito online di info sul phishing

Il testo, in inglese, fa riferimento ad un addebito sulla nostra carta di credito, relativamente ad un pagamento di biglietto aereo, senza riportare comunque ulteriori dettagli sul volo.


La pagina clone presenta solo la richiesta di user code e PIN

e riproduce perfettamente l'originale Alitalia, a cui veniamo rediretti dopo il 'fake' login

Non essendo cliente Alitalia non conosco quali dati personali siano proposti dopo aver effettuato il reale login ma non credo vengano visualizzate in chiaro credenziali personali sensibili quali i codici di carta di credito e/o altri dati riservati per cui una delle possibilita' potrebbe essere l'acquisizione di dati personali da utilizzare per successivi tentativi di truffa online mirati allo specifico utente Alitalia caduto nel phishing.

Edgar

giovedì 25 agosto 2011

Ingannevole phishing Banca Monte dei Paschi di Siena con riferimento al dispositivo OTP nella pagina clone di login (25 agosto)

Come rilevato ieri, in questo post, l'utilizzo di dispositivi hardware per la generazione di codici di accesso al conto bancario online e' sempre piu' diffuso e certamente aumenta l'affidabilita' delle transazioni effettuate attraverso la rete con un maggiore contrasto al phishing.

Questo non vuole dire che il phishing sia destinato a 'sparire' dalla rete ma piuttosto che assisteremo probabilmente ad un progressivo aumento dal phishing orientato ad acquisire credenziali di accesso ai conti online a quello volto a sottrarre i codici personali di carta di credito.

Un nuovo esempio, molto curato nei dettagli e che in parte coinvolge anche l'utilizzo del dispositivo OTP (chiaramente solo per creare un phishing piu' ingannevole), lo vediamo nel caso ai danni di Banca Monte dei Paschi di Siena che andiamo ad analizzare.

Si tratta di un phishing che ricorda nella sua struttura un altrettanto accurato ed ingannevole phishing ai danni di Unicredit Banca visto il 18 agosto ed esaminato in questo post.

L'attuale phishing sfrutta un servizio di free web hosting USA che permette di creare un proprio sito personale

I phishers hanno usato questa possibilita' creando un clone ingannevole gia' nel nome attribuito al sito e che presenta come pagina di accesso questo login

Come particolare interessante c'e' da notare che in realta' l'attuale login MPS vede un differente logo nella pagina di accesso al conto online, a causa di una variazione proprio del nome del servizio MPS

Questo il logo sul phishing


mentre questo l'originale MPS


In ogni caso il nome utilizzato per il sito di phishing richiama quello del logo presente sul clone .

Dopo aver effettuato il login 'fake' viene proposto questo form dove si chiede di generare la password OTP (one time password) per proseguire nell'accesso al sito


Naturalmente visto che detta password, come indicato anche sul reale sito MPS “…....vale solo per un accesso e scade dopo trenta secondi...” appare poco probabile che i phishers possano utilizzarla in tempo reale per accedere al conto ma piuttosto la richiesta tende a rendere piu' credibile l'azione di phishing.

A questo punto appare una finestra di INFO riguardo ad una '...anomalia....' riscontrata sia sul nostro range IP che sull'user agente relativo al browser usato, cosa praticamente identica al caso visto in precedenza ai danni di Unicredit Banca (18 agosto)

Se si accetta di confermare la richiesta di verifica per eliminare l''anomalia' si viene portati su questa pagina

dove vengono richiesti i dati relativi alla nostra carta di credito

Successivamente tramite pagina di INFO che indica la necessita' di effettuare un nuovo login

si viene rediretti in maniera automatica sul reale sito di login MPS dove notiamo , come gia' osservato in precedenza che, pur restando lo stesso layout del clone, appare un diverso logo relativo la servizio di internet banking.

Edgar

Nuovamente phishing Cassa di Risparmio di Volterra. Aggiornamento (25 agosto)

Un nuovo redirect si aggiunge a quello presente da ieri

sempre sul medesimo sito che usa Asset Manager Innova Studio

Il nuovo redir punta, come quello visto ieri e tuttora attivo, sempre a clone Cassa di Risparmio di Volterra ospitato sul servizio di hosting USA

ma ora con nuovo differente percorso alle pagine copia.(come sempre per evitare black-listing degli indirizzi di phishing)

Edgar

mercoledì 24 agosto 2011

Nuovamente phishing Cassa di Risparmio di Volterra. La mail (24 agosto)

Ecco una mail di phishing ricevuta da poco e collegata all'attuale phishing Cassa di Risparmio di Volterra descritto nel precedente post.

Come si vede dallo screenshot il testo del messaggio e' 'aggiornato' a data attuale.

Una analisi dell'header:

mostra IP di probabile origine del messaggio identico ai numerosi precedenti, relativi a phishing ai danni di banche locali IT e sempre gestiti dai medesimi phishers.

Come ulteriore dettaglio possiamo verificare che il sito fake Cassa di Risparmio di Volterra , come si vede spesso, e' stato creato utilizzando HTTrack

e mostra source creato in data non recente (dicembre 2010)


Attualmente il clone

ha cambiato folders sul server passando da

a

come sempre per evitare eventuali black-listing dell'indirizzo finale di phishing.

Edgar

Nuovamente phishing Cassa di Risparmio di Volterra che rivela anche un interessante phishing VISA (24 agosto)

Sempre colpite ciclicamente le stesse banche a diffusione prevalentemente regionale, gia' interessate in passato da phishing.

Ritorna infatti un phishing CR Volterra che sfrutta ancora una volta una gestione del redirect tramite Asset Manager Innova Studio


ospitato su sito con whois

La cosa piu' interessante non e' tanto il reiterato utilizzo di Asset Manager quanto la presenza ,nello stesso folder che ospita il redir CR Volterra, anche di un codice php che rivela un redirect a reale sito VISA USA

Si tratta di un file che probabilmente viene sfruttato per l'invio di credenziali eventualmente sottratte da phishing VISA che presenta data di ieri (notate anche, evidenziato in giallo, il redirect a clone CR Volterra)


ed i cui contenuti rivelano un indirizzo mail simile a quelli usati negli attacchi attuali a banche locali IT, cosa che farebbe pensare che il medesimo gruppo di phishers che colpisce banche IT si stia 'dedicando' anche ad obiettivi non italiani.

Tornando al phishing Cassa di Risparmio di Volterra abbiamo il clone ospitato sul consueto dominio con hosting USA

creato in data attuale, clone di cui vediamo un dettaglio con evidenziato il nome del folder che viene variato dai phishers costantemente per evitare eventuali black-list

Edgar