Rimborsi ENEL – L’ennesima ondata di Phishing.

Nella giornata del 23/03/2018 è arrivata l’ennesima ondata di Phishing che simulava una serie di disposizioni di rimborsi ENEL.

Una tecnica datata, che periodicamente torna a colpire utenti meno attenti, che attirati dalla possibilità di ottenere un rimborso, proseguono con le indicazioni della mail inserendo tutti i dati richiesti.

La mail arrivata si è presentata con questo format.

Mail

Da notare già la data ormai passata, fa riferimento al 22/01/2018, ed il testo non è scritto in forma corretta come lingua italiana.

Il link accedi al servizio punta ad un primo sito che è stato violato http://sito1.org/js dove è depositato un file che reindirizza ad un altro sito che è stato violato http://sito2.com

Ho sostituito ai relativi siti violati sito1 e sito2 per ragioni di riservatezza delle aziende e/o organizzazioni vittime di attacco.Form1

 

Analizzando il codice html della pagina si evince che i dati appena inseriti vengono inviati ad un altro file email.php presente sempre sullo stesso server.

 

Html1

 

Email.php dopo aver elaborato i dati, da sottolineare il fatto che non verifica nessuna esattezza di credenziali, reindirizza sempre e comunque ad un altro file denominato myenel.php in cui vengono richiesti altri dati, tra cui i dati della carta di credito con tutti i possibili codici di sicurezza.

 

 Form2

Anche qui, analizzando il codice HTML, si evince che il file invia i dati ad un ennesimo file denominato 1.php, anch’esso elabora e reindirizza ancora una volta ad un altro file che richiede il codice arrivato via SMS per il controllo della transazione bancaria appena eseguita.

 Html2

 Form3

Alcune osservazioni sulla tipologia di attacco:

  • L’organizzazione criminale ha coinvolto due siti esterni all’organizzazione stessa in cui soo stati depositati gli script utili a portare a termine l’attacco di phishing.
    • Il primo “sito1” realizzato in Joomla in cui è stato inserito all’interno della cartella JS il primo script utile all’attacco.
    • Il secondo “sito2” realizzato anch’esso in Joomla in cui sono stati inseriti altri script.
  • Come quasi tutti gli attacchi di questo genere, gli script presenti non effettuano nessun tipo di controllo e/o validazione di credenziali, possono essere richiamati sul browser in qualsiasi ordine, è possibile inserire anche “XX” come numero di carta di credito, lo script non valida nulla, diciamo che è fatto abbastanza male, per essere più veritiero sarebbe bastato mettere una validazione sul numero di cifre o sulla tipologia di caratteri ammessi. Di solito, le organizzazioni criminali di questo genere, basano il loro modus operandi sulla velocità e sulla distrazione degli utenti, quanto più veloce è la procedura di richiesta dati, più successo c’è di ottenere dati veri ed utili a portare a termine l’operazione.
  • Dai dati richiesti, e considerando il fatto che viene richiesto anche il codice di sicurezza inviato via SMS, si presuppone che l’organizzazione criminale è strutturata da lavorare dietro ai server violati in modalità sincrona portando a termine acquisti e/o spostamenti di denaro dalle carte di credito violate verso altre vie praticamente in tempo reale.
  • I due siti violati, sempre indicati come sito1 e sito2 per ragioni di riservatezza sono comunque siti non appartenenti ad organizzazioni criminali, uno di essi è il sito di una nota azienda francese che si occupa di attrezzature medicali, l’altro è collegato ad un progetto sul Medio Oriente.

Un’ultima riflessione sui CMS Open Source, su entrambi i siti violati c'è stato installato JOOMLA: tutti i prodotti Open Source, sono sempre più utilizzati dagli sviluppatori, ma bisogna evidenziare il fatto che essendo di pubblico dominio e liberi per poter essere analizzati nei minimi particolari, sono sempre più oggetto di vulnerabilità. Si presuppone quindi, che un sito o piattaforma di qualsiasi genere, realizzata con librerie e/o piattaforme Open Source sia costantemente aggiornato. La sicurezza del codice diventa sempre più importante, in vista anche dell’imminente entrata in vigore del GDPR.

Massimo Chirivì

ICT Consultant & IT Security Expert
Via Carducci 226, 73050 - Salve (LE)
Tel. +.39.3357214260
E-Mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Site WEB: www.massimochirivi.net

Massimo Chirivì è CEO della startup INNOVAMIND, società di consulenza informatica che si occupa di Networking, Ricerca, Sviluppo Software e Sicurezza Informatica

Privacy Policy
© 1996-2018 Massimo Chirivì. All Rights Reserved. Designed By Massimo Chirivì