Truffa su Carta di Credito ai raggi X!

Le frodi informatiche perpetrate attraverso l’invio di e-mail fasulle afferenti a servizi finanziari (apparentemente) ricadono nella categoria dei “phishing”.

Sostanzialmente l’attaccante ricrea, in modo più o meno fedele, una sitauzione reale in cui invita l’utente a compiere una azione (call to action) che poi si rivelerà un furto di informazioni riservate.

La fattispecie tipo, di cui vi porterò un caso reale oggi, è la frode sulle carte di credito. L’attaccante invia una mail grafica che riproduce fedelmente il layout del reale fornitore di servizi, in cui avvisa l’utente di fantamatiche situazioni anomale che riguardano il proprio conto/Carta e lo invita ad accedere al sistema per verificare e bloccare tale situazione.

Tramite tecniche grafiche di base il link reale viene mascherato e l’utente distratto è convinto di accedere al vero sito dell’istituto di credito, che però è soltanto una riproduzione (spesso molto fedele) ma che nulla ha a che fare con la realtà. Quando l’utente atterra sul sito fasullo, viene invitato ad accedere, solo che una volta premuto il tasto “ACCEDI” avviene il misfatto.

La funzione del form, fa due azioni :

1 – reindirizzi correttamente l’utente all’interno della propria area riservata (del sito reale), in modo tale da non destare nessun sospetto a quest’utilmo ;

2- posta le credenziali inserite, in chiaro, su un proprio file nel cloud. In questo modo ha appena esfiltrato le credenziali dell’home banking dell’ignaro utente.

Ma andiamo a vedere il caso pratico:

Come potete vedere la mail è abbastanza credibile, e ci vuole un occhio molto attento e scrupoloso per cogliere dei dettagli raffinati utili a smascherare la truffa.

Innazitutto è importante notare il mittente, spesso viene mascherato in modo molto più accurato, ma in questo caso un utente attento può notare che la mail di provenienza arriva dal dominio [nexipay.it] mentre il sito di nexi è un altro, ecco al comparazione sull’ownership dei due domini:

dominio [nexi.it] : dominio ufficiale del gestore di pagamenti.

dominio [nexipay.it] quello utilizzato nella mail fake:

Non sono dello stesso proprietario, ed il secondo ha oscurato i dati di dettaglio in modo che non sia possibile risalirne pubblicamente.

Già l’indirizzo del mittente è quindi un elemento che può raccontare molto sul genere di mail che abbiamo davanti; ma analizziamo anche la mail in se.

Se andiamo a visualizzare l’header avremo ulteriori informazioni, ad oggi un valido strumento gratuito per agevolare questa operazione è mxtoolbox.com, dando in pasto al sistema il nostro header notiamo subito che le referenze di provenienza non sono affatto affidabili :

Ma le informazioni più interessanti, scorrendo la pagina le otteniamo dalle “Relay Info” ovvero sul tragitto che la mail ha fatto, dal mittente fino al destinatario:

Qui otteniamo delle info importanti, come il nome del PC da cui è partita la mail [LAPTOP-0TI1H1V8 127.0.0.1] che parrebbe utilizzare un server mail virtualizzato [479670.cloudwaysapps.com] che, come notiamo nello step 2 è riconosciuto come facente parte di una blacklist. Il resto degli step sono il rimbalzo tra i server del provider del destinatario [email.it] fino alla cosegna finale.

Quindi con un minimo di reverse engineering abbiamo ricostruito la metodologia e i passi dell’azione criminosa.

Come si concretizza?

Beh, se l’utente ci è cascato ed ha cliccato su uno qualsiasi dei link presenti nella mail (a me ne sono state segnalate due quindi porto entrambe gli esempi) può atterrare su due diversi siti (per sicurezza oscuro con * alcune parti) :

  1. [*www.pc***ks.net/Nexi-dichiarazione-di-frode-Nexipay/Nexi/Verifica*]
  2. [*nexi-verifica-servizio-cliente-nexipay.luis**ide.com/Nexi/Verifica/*]

Difficile stabilire se i domini siano consapevoli o meno di questo innesto, in quanto potrebbero tranquillamente essere stati “bucati” ed utilizzati quali veicolo della minaccia; fattostà che espongono questa pagina web :

La pagina è identica alla pagina di accesso del sito reale, ed ha anche la stessa grafica della medesima App mobile; arrivato a questo punto l’utente ha solo una speranza, ovvero prestare attenzione alla barra degli indirizzi in alto e notare che non c’è scritto [www.nexi.it] , ma in questo caso [pcm*nks.net] e porsi la legittima domanda del ‘perchè ?‘; diversamente se andrà ad inserire le proprie credenziali, ne subirà l’immediato furto.

Attualmente sono in fase di analisi del codice sorgente delle pagine per capire se è possibile arrivare a scoprire dove vengono poi inviate le informazioni esfiltrate.

Concludendo, appare subito evidente quanta importanza abbia la componente “user” in un processo di attacco subito. L’utente ha svariati modi per accorgersi della truffae non cadere nel tranello. Trovo fondamentale che si investa tempo e risorse nella formazione di utenti internet consapevoli, anche perchè oltre al danno personale che queste persone subiscono a livello economico c’è un danno globale, che è il finanziamento occulto delle compagini che compongono la criminalità digitale.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *