sabato 14 luglio 2012

Un attuale caso di phishing con ingegnoso tentativo di acquisizione di codici OTP (14 luglio)

Rilevato nella serata di ieri un phishing che vede l'utilizzo di sito IT compromesso quale supporto del redirect ad alcuni cloni di phishing, tra cui uno che utilizza una ingegnosa procedura di furto di codici OTP.

Vediamo alcun interessanti dettagli:

Il link su sito IT compromesso


redirige ad altro sito compromesso con whois  


Analizzandone i contenuti 


troviamo un folder che mostra sia la presenza di codice html  relativo a phishing TAM (nota compagnia aerea brasiliana. La sigla TAM sta per Transportes Aereos Meridionais. La sua sede e' a San Paolo. (fonte Wikipedia)), un folder contente il clone relativo al phishing ai danni della banca spagnola Santander,  ma anche numerosi files in formato testo che non sono altro che lunghi elenchi di indirizzi mail. (circa 5.000 indirizzi per singolo file) 


Come si vede dallo screenshot si tratta probabilmente degli indirizzi usati per lo spam ai danni di  TAM considerato che la maggior parte dei domini presenti negli stessi e' .BR ( stessa nazione della compagnia aerea colpita)

Questa la fake pagina TAM presente nel folder esaminato.


Veniamo ora al phishing ai danni di Banca Santander che e' ospitato nel folder identificabile con /s/

Gia' altre volte e' capitato di vedere azioni di phishing che tentano di acquisire in maniera fraudolenta le credenziali di accesso ai conti on-line protetti da autenticazione OTP.
In molti casi si tratta di sistemi OTP che prevedono l'invio di un SMS al cliente della banca contenente un codice di autenticazione generato al momento del la richiesta di transazione, codice di durata limitata nel tempo e valido solo per la transazione attiva al momento.
Per i phishers quindi l'obbiettivo e' quello di venire in possesso del codice OTP ed usarlo subito prima che lo stesso 'scada' per superamento del breve periodo temporale di validita' o perche' utilizzato dal legittimo utente della banca.
Per fare questo si sono adottate diverse modalita' di attacco attraverso l'utilizzo di malware 'dedicato', alcune delle quali ampiamente descritte in questo recedente post , ma anche tecniche tutto sommato  piu' 'semplici', possono servire allo scopo.

E' il caso di questo clone Santander che mostra come prima pagina 'fake' questa di INFO al cliente della banca 


Si tratta della richiesta di installazione di un software che dovrebbe proteggere dal furto 'online' di credenziali di accesso al conto bancario.
Confermando la scelta di installare il programma si passa a questo screen di richiesta codici di accesso al conto


a cui segue la richiesta del numero di cellulare del 'cliente' a cui la banca invia il codice OTP


Chiaramente, in casi reali, il numero e' gia' conosciuto dalla banca e non necessita all'utente  fornirlo nuovamente.

Di seguito abbiamo una pagina di attesa


giustificata come tempo necessario ad eseguire l'elaborazione dei dati inviati  (e' possibile che sia il momento in cui, avuti i dati di accesso al conto, i phisher effettuino direttamente un tentativo di accesso allo stesso).

Subito dopo appare la pagina che dovrebbe poi essere quella 'chiave' di tutto il phishing


Come si vede, viene infatti richiesto il codice  OTP ricevuto dal cliente Santander sul proprio cellulare.
E' probabile, infatti, che l'azione dei phishers,  avendo eseguito in maniera automatica un 'reale' accesso al conto bancario (attraverso i dati sottratti), porti alla generazione ed invio del token OTP di validazione, al reale cellulare del cliente caduto nel phishing.
A questo punto per poter proseguire nel furto 'online' i phishers necessitano del legittimo codice OTP che il cliente ha ricevuto e che quindi richiedono con la pagina vista ora
A seguito dell'invio del codice appare una ulteriore schermata di attesa


che, notate, specifica un delay piu' lungo rispetto valore precedente,  anche di 60 secondi, e questo perche' i phishers stanno effettivamente validando la loro operazione online sul conto bancario preso di mira.

Segue poi una ulteriore richiesta di un codice a 4 cifre 


ed una pagina finale di conferma dell'avvenuta installazione del fake software d protezione del conto.


Come si vede una ingegnosa procedura di phishing che tra l'altro parerebbe essere abbastanza diffusa in rete.

Ricercando ad esempio su Phishtank si trova quest'altro sito IT compromesso (ora non piu' attivo)


 che proponeva identico phishing ai danni di Santander, ma anche altri siti non IT parrebbero aver ospitato od ospitare un layout di phishing Santander  simile a quello analizzato adesso.

Edgar

Nessun commento: