venerdì 22 giugno 2012

Phishing Telepass altamente ingannevole attraverso l'uso di dominio .LT e clone estremamente curato nei dettagli (22 giugno)

Segnalato sul Database Segnalazioni di Antiphishing Italia ritorna dopo qualche tempo il phishing ai danni di Telepass, il noto sistema di riscossione automatica del pedaggio autostradale.

Occorre evidenziare che  si tratta della ennesima azione di phishing volta a sottrarre credenziali di carta di credito ed altri dati personali (utili ai phishers per ulteriori eventuali azioni  fraudolente) e che vede il sempre piu' diffuso l'utilizzo di  siti clone non di banche, ma di aziende (scommesse online, compagnie di telefonia soprattutto mobile , compagnie aeree ecc.....)  la cui attivita' prevede in molti casi l'uso di pagamenti attraverso carta di credito.

Per quanto si puo' rilevare dal testo del messaggio mail presente sul DB Segnalazioni parrebbe trattarsi di contenuti simili a quelli visti per phishing ai danni di banche con la differenza che invece di un accesso al conto questa volta verra' disabilitato "…........l`apparato Telepass …......"

Ecco il testo con qualche evidente errore grammaticale .....

Gentile Cliente,

Siamo spiacenti di informarvi che la prossima fattura non va a fine perche' i dati anagrafici sono scaduti o non corretti.

Per vietare la sospensione di utilizzoooo Telepass, inserisci i tuoi dati personali e la tua carta di credito se ? CartaSi, Agos, American Express, Bancoposta (per i clienti con conto corrente si prega di andare a un Punto Blu) . Se i dati non sono aggiornati su cinque giorni lavorativi l`apparato Telepass sar? disabilitato dall'uso.

Si prega di accedere al suo conto e confermare i vostri dati personali.

Non disponendo fisicamente della mail originale non e' stato possibile  effettuare una analisi degli headers present (IP di provenienza ecc......)

Questo un whois del sito clone Telepass


la cui data di registrazione risulta attuale


La pericolosita' del clone  Telepass risulta evidente se si considera che:

1) L'URL utilizza il dominio disponibile per la Lituania  ( .lt) 
Come si vede la similitudine tra .it ed .lt  rende altamente ingannevole l'URL risultante.

2) L'estrema cura  dei dettagli delle pagine che richiedono i dati personali e i numeri di carta di credito,
Qui siamo in presenza di piu' pagine dal layout curato nei minimi particolari e non della solita singola pagina d phishing molto spesso dal layout copia dell'originale,  solo 'abbozzato'.

3) Il fatto che trattandosi non di sito di banca ma di azienda tutto sommato sino ad oggi poco coinvolta in azioni di phishing, gli utenti possibili target dei phisher non penseranno che si  tratti di un clone del reale sito ma di pagine legittime.

Ecco alcuni dettagli della sequenza di pagine fake proposte che vede dopo l'apertura della fake  homepage Telepass,


 il passaggio , dopo qualche secondo ed in maniera automatica, alla scelta della carta di credito da utilizzare



seguono le istruzioni d'uso



successive richieste di anagrafica ed altri dati



e differente pagina di richiesta credenziali a seconda della carta selezionata in precedenza






 
 
Per terminare una pagina di info sulla corretta conclusione delle operazioni effettuate


La conferma quindi della tendenza di phishing sempre piu' orientati  all'acquisizione di credenziali di Carta di Credito attraverso l'uso di cloni ai danni non necessariamente di Istituti Bancari ma  piuttosto di aziende che propongono servizi gestibili direttamente on-line.

Edgar

Nessun commento: