> Da: Mirko Security <[email protected]> > Data: 03 gennaio 2015 11:09:43 CET > A: [email protected] > Oggetto: [ml] Phishing CartaSi **** CONTIENE LINK A SITI DI PHISHING **** > Rispondi a: [email protected]
> Oggi sono arrivati 2 SMS, uno da Banca > > Entrambi gli URL rispondono allo stesso IP 98.139.135.198 che sembrerebbe > hostato in Australia, a me risulta sia un IP di Yahoo USA > e mostrano un form di sblocco (in http) dove vengono richiesti tutti i dati > del titolare e della > carta( pagina con branding e link che riportano al sito originale di cartasi ) > > Un Phishing fatto piuttosto bene, specialmente perchè collegato all'invio di > SMS che può > certamente trarre in inganno l'utente medio! > non è il primo caso di attacco via SMS con uso di questo template che a ben guardare è stato customizzato con l'eliminazione del logo CartaSì dal banner arancione superiore. in tal modo riescono a trarre in inganno anche i possessori di carte non emesse da CartaSì, perchè a ben vedere uno solo dei domini richiama direttamente il nome dell'ente. La presenza del logo ICBPI nel banner inferiore passerà ai più inosservato. L'uso dell'SMS come veicolo di attacco si rileva particolarmente funzionale per i criminali perché consente loro di passare sotto traccia, rende i loro attacchi scarsamente rilevabili. Tale modalità sta prendendo sempre più piede, lo scorso anno è stata ampiamente usata a danno di una società della grande distribuzione (tra dicembre 2013 e gennaio 2014) mentre da agosto 2014 viene usato per proporre una frode legata all'acquisto di carburante a prezzo ridotto. Ne ha scritto Fabio Natalucci sul suo blog. in questo caso è ancora andata bene che i criminali non hanno acquistato un certificato e quindi non propongono le pagine via https come avvenuto in altri casi, altrimenti avrebbero fatto più della manciata di vittime fatte sino ad ora con pagine attivate tra il primo e ieri. considerando che moltissimi accessi avvengono da smartphone e tablet ..per molti utenti la sola vista della dicitura https nella barra degli indirizzi di dimensioni ridotte ...basterebbe a metterli tra le vittime. Su entrambi i siti ha lavorato il medesimo ip spagnolo di TELEFONICA DE ESPANA, che non è un nodo di uscita di TOR. Credo che l'invio degli sms prenderà sempre più piede, gli basta creare liste di numeri, anche sequenziali, se il numero esiste l'sms parte e viene addebitato il costo, se il numero non esiste ...nessun posto. In ogni caso non pagano certo di tasca loro. Nei casi precedenti sembrerebbe che i numeri di telefoni a cui sono stati spediti gli sms non siano solo di clienti delle società target, motivo per il quale si è pensato che i umeri non siano stati tratti da eventuali dati fuoriusciti dalle società stesse aseguito di qualche tipo di violazione. Saluti Denis ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
