venerdì 13 dicembre 2013

Phishing Carrefour via SMS. Una interessante segnalazione da parte di un lettore del blog (13 dicembre)

Attivo ormai da tempo il phishing che sfrutta un fake 'bonus in denaro  per le famiglie' con riferimento al Ministero italiano dello Sviluppo Economico (vedi questo post).
Il phishing e' passato in questi mesi dal fake bonus come “ …. Carta Carburante per nucleo familiare, in un' unica soluzione, per l'importo massimo di Euro 100,00 equivalenti a 500 Euro.....”  al “ … bonus da 500 Euro attraverso carta prepagata Carrefour....” sempre utilizzando sia URLs ingannevoli ma anche layouts di pagina molto curati nei forms di acquisizione dati.
In riferimento alla diffusione del phishing  che andremo brevemente ad analizzare, anche se negli ultimi giorni rilevavo negli accessi ai post del blog un particolare interesse dei lettori per quelli relativi a phishing “Bonus Carrefour”, non avevo ancora ricevuto mail relative a questo caso.

Un particolare ringraziamento va quindi al lettore del blog che mi ha segnalato (utilizzando il DB Segnalazioni del blog raggiungibile qui) un attuale phishing Carrefour che si distingue per il particolare 'mezzo' utilizzato per diffondere il link al fake sito.

Come vediamo dalla segnalazione 


il lettore ha ricevuto sul suo telefono cellulare un SMS che informa del buono omaggio Carrefour, ottenibile linkadosi al sito, dal nome ingannevole, indicato nel messaggio.

Anche se non diffuso come il phishing tramite fake e-mail il sistema dell'uso di messaggi ai telefoni cellulari puo' essere sicuramente una alternativa considerando anche che molti dei dispositivi di telefonia mobile consentono di connettersi alla rete e di caricare pagine web.

E' probabile che l'utilizzo di messaggi SMS con link a siti o  pagine di phishing sia per sua stessa natura piu' mirato ad utenza italiana della rete e questo spiega anche come, la segnalazione del lettore sia utile, per permettere l'analisi del caso odierno.

Vediamo qualche dettaglio:

Come gia' visto in passati phishing con 'Bonus', il sito clone sfrutta frame per mostrare una url ingannevole mantenendo l'intero codice del clone su altro sito hostato in USA e registrato da qualche tempo.


L'URL presente nel messaggio SMS, che punta alla pagina con frame, e' stata creata invece in data molto recente (notate nome italiano di registrant)


e presenta whois con IP italiano (hosting IT)


In pratica il phisher usa la pagina su hosting IT per ospitare un frame che linka e propone tutti i contenuti del phishing presenti sul sito USA


La cosa e' del tutto trasparente per l'utente finale che vedra' l'url ingannevole


mentre, come detto, il reale contenuto di phishing sara' su 


Questo un dettaglio della pagina iniziale con la descrizione del 'bonus' e su come ottenerlo


Continuando nella sequenza delle pagine di phishing ecco il form di richiesta dati personali 


con in particolare la verifica del codice fiscale


non solo come lunghezza della stringa di caratteri immessa nel form ma anche, cosa che si vede di rado, la verifica di correttezza del C.F. tramite opportuno algoritmo.


Si passa poi, dopo breve fake messaggio di attesa,


alla pagina di richiesta numero di carta di credito e dati relativi ( data scadenza,  ecc....)


e quindi alla pagina di verifica dei dati inseriti


Segue una fake pagina “verified by VISA


per terminare con pagina di conferma  



e successivo redirect sul reale sito Carrefour.


Un phishing quindi molto curato nei dettagli, che potrebbe essere anche  molto ingannevole, specialmente in un periodo come quello attuale di persistente crisi economica.
L'uso poi di SMS, per diffondere il link al fake sito 'Carrefour', potrebbe ulteriormente accentuare la natura ingannevole dell'azione di phishing e, in ogni caso, ampliare il target del phishing colpendo anche utenti internet non inclusi nelle diffuse liste di indirizzi mails di spam di phishing. 

Sono disponibili numerosi posts di aggiornamento sull'argomento trattato nel post e precisamente:

Phishing Carrefour via SMS. Una interessante segnalazione da parte di un lettore del blog. AGGIORNAMENTO(14 dicembre)


Phishing Carrefour via SMS. Un nuovo dominio attivo dal 16 dicembre. Uso di protocollo HTTPS (18 - 19 dicembre)

Un breve aggiornamento sui siti di phishing Carrefour (28 dicembre)

ed il post del 2/1/2014 su presenza di un nuovo numero SMS e nuovo dominio creato il 31 dicembre.

Nuovo dominio ingannevole Carrefour legato alla diffusione di SMS che puntano a sito di phishing (02 gennaio)

Aggiornamenti:
Dal 4 gennaio e' attivo un nuovo dominio di phishing Carrefour descritto in questo post.

Ricordo che per chi volesse segnalare casi di phishing, distribuzione malware, siti dai contenuti dubbi ed hacking e' sempre disponibile il form cliccando QUI.
Nel limite del tempo a disposizione  i casi piu' interessanti saranno oggetto di un post di analisi pubblicato sul blog.

Edgar

4 commenti:

Unknown ha detto...

ricevuto solo oggi questo messaggio sul cellulare XD le studiano proprio tutte!!

JJ ha detto...

Grazie a Dio mia mamma ha chiesto info a me prima di procedere. ma come si può denunciare questa frode!? il sito ingannevole è ancora attivo!

giulcenc ha detto...

E' arrivato stamattina anche a me, con mittente 3246843360

saverio otranto ha detto...

arrivato anche a me