In questo recente post avevamo visto come attraverso una, tutto sommato semplice sequenza di pagine di phishing, si tentasse di accedere a conto bancario online protetto da password OTP.
La cosa si ripete, sempre ai danni della medesima banca spagnola anche se dal testo in portoghese parrebbe essere phishing rivolto ad utenza brasiliana della banca (viste anche le info a fondo pagina web con riferimenti al Brasile)
Tramite redirect che sfrutta servizio di URL Shortener
si viene trasferiti sul clone di phishing ospitato su noto servizio di free hosting italiano (come succede spesso in casi di phishing.)
Si tratta, come gia' rilevato, di un sistema di acquisizione di token inviato via SMS al momento della transazione e che procede con una sequenza temporale gia' vista
1) richiesta dati personali e di accesso al conto attraverso fake sito della banca
2) accesso al conto da parte dei phishers probabilmente in maniera automatica sfruttando i dati sensibili appena acquisiti
3) fake pagina di attesa durante la quale i phishers effettuano le operazioni sul conto
4) richiesta password dispositiva e se la transazione fraudolenta attivata dai phishers ha generato un legittimo token OTP visualizzazione di un messaggio di avvertimento e pagina di attesa della ricezione del token sul cellulare
5) pagina di richiesta del token ricevuto che una volta in possesso dei phishers viene utilizzato per validare la transazione
Ecco alcuni screenshot della particolare sequenza di phishing
Abbiamo la richiesta iniziale dei dati di accesso in genere con il pretesto di attivare una protezione internet del conto, di riattivare un account sospeso ecc..........
Da notare che viene acquisito anche il numero di cellulare che potrebbe al limite essere utilizzato per 'confermare' l'operazione eseguita attraverso fake SMS inviato al cellulare di chi fosse caduto nel phishing.
Segue pagina di attesa (elaborazione dati in corso e probabile accesso al conto da parte dei pishers) e successiva info dell'invio al cellulare dell'utente di password tramite SMS
con ulteriore pagina di attesa SMS
e richiesta finale del token 'legittimo' appena ricevuto via SMS
A questo punto i phishers possono confermare la transazione attraverso il token SMS legittimo appena sottratto.
Come gia' detto, un sistema abbastanza semplice, almeno dal lato utente, simile ai piu' tradizionali phishing e che invece vede probabilmente la sua complessita' nei codici che da remoto devono acquisire i dati personali di accesso al conto, gestire la 'fake' transazione ed utilizzare il token SMS sottratto
Da notare anche che da una analisi del profilo utente questo 'account' free che ospita il phishing parrebbe registrato sul servizio di free web gia' da qualche tempo
Edgar
Nessun commento:
Posta un commento