Il periodo estivo è quello maggiormente sfruttato per campagne di phishing e scam incentrate su concorsi online, buoni sconto alimentari, prodotti tecnologici e di bellezza, oltre viaggi e premi di ogni sorta.
Gli utenti passano più tempo sui social network e quindi interagiscono maggiormente. Il problema è che se i lavoratori vanno in ferie, phisher e scammer no.
In questi ultimi giorni possiamo notare l’intensificarsi delle loro attività, finalizzate sempre al furto di dati sensibili e denaro dai conti correnti e carte prepagate.
Indice degli argomenti
Concorsi online e vincite facili: riconoscere le truffe
Di solito i messaggi contengono un titolo in maiuscolo con il prodotto o il servizio offerto che serve a catturare nell’immediato l’attenzione della vittima.
Il semplice clic può dar via a una catena di eventi difficile da controllare e gestire.
Prendendo come esempio la campagna ai danni dell’azienda Heineken, possiamo capire come si sviluppano anche tutte le altre correlate.
Il messaggio (il vettore) viene inoltrato da un nostro contatto direttamente su WhatsApp, non sono usati metodi di diffusioni tipiche dei worm, ma è l’utente stesso, attraverso una tecnica di social engineering, viene indotto a bombardare di messaggi i suoi contatti con il fine di ricevere l’agognato premio.
Messaggio inviato su WhatsApp.
Al clic sul link si viene reindirizzati verso una seconda URL che costituisce la maschera principale della campagna malevola.
Serie di domande proposte.
In seguito, vengono proposte una serie di domande fasulle: infatti, qualunque siano le risposte, il risultato è il medesimo.
Dopo le domande si arriva alla parte cruciale della campagna, dove il sistema conferma la correttezza delle risposte e “invita” a condividere moltissime volte il link truffa, in modo che altri utenti, vedendo che il mittente del messaggio è fidato, facciano la stessa cosa.
In questa maniera si ha lo stesso effetto di un worm in un sistema informatico, solo che qui è l’utente stesso che effettua il loop di clic e condivisioni.
Questa tecnica è molto insidiosa ed è proprio il punto di forza della campagna: condivisione compulsiva e senza controllo.
Richiesta di condivisione a 15 amici o gruppi su WhatsApp.
A far sembrare più realistico il concorso, viene aggiunto un form di Facebook dove utenti, con tanto di foto di profilo, commentano e avvalorano la veridicità del concorso.
Guardando attentamente, è possibile mettere un like al commento, ma i nomi dei profili non sono cliccabili.
Form Facebook.
Ispezionando il form di Facebook, si nota la presenza di una JQuery sospetta. Infatti, analizzando il codice sorgente alla URL:
hxxps://heineken[.]corn-chollo[.]gratis/it/js/new.js
notiamo come non sia presente nessuna interazione reale con i profili Facebook ed eventuali commenti.
Il codice javascript si occupa semplicemente, una volta cliccato, di mostrare “Like” e “Unlike”:
function() {
if ($(this).hasClass(“selected”)) {
$(this).removeClass(“selected”);
$(this).html(“Like”);
} else {
$(this).addClass(“selected”);
$(this).html(“Unlike”);
}
}
Una volta eseguite tutte le condivisioni richieste, viene mostrata una pagina fake di Google.
Pagina fake di Google.
Contestualmente, iniziano ad apparire sullo schermo popup con molteplici redirect verso domini malevoli, allo scopo di compromettere il browser con javascript che, anche dopo la chiusura, continuano a notificare vincite di smartphone o di vendite a prezzi irrisori.
Serie di popup aperti in automatico su smartphone.
Tutte le vendite a prezzi eccezionali sono ideate al solo scopo di svuotare la carta di credito del povero malcapitato.
Negli esempi sotto riportati, viene analizzata la vendita di un telefono Samsung S9 a 1€.
Il prezzo di pochissimi euro non è stato scelto in maniera casuale, ma studiato nei minimi dettagli, sia per invogliare all’acquisto e sia perché l’utente crede che il rischio sia minimo, quindi viene a crearsi una sorta di ragionamento del tipo: “Se il telefono arriva, ho fatto un grosso affare, in caso contrario ho perso solo 1 euro”.
Invece sappiamo che la transazione di 1€ serve, nel migliore dei casi, a farci attivare abbonamenti “VIP” da centinaia di euro al mese; nel peggiore a ritrovarci con il conto corrente svuotato.
Samsung S9 al prezzo di 1€.
Proporzioni della campagna di phishing
Le dimensioni della campagna, che è tuttora attiva, sono molto ampie.
Ho cercato di trovare un “cardine”, ovvero una parte di codice che si potesse ripetere per tutti i domini registrati.
Ho da subito incentrato le ricerche sul form di Facebook analizzato precedentemente dato che poteva essere quello un cardine dove incentrare le ricerche.
Il primo passo è stato quello di ricercare i profili su Facebook, però senza successo. Nessun nome presente nel form aveva una corrispondenza con l’immagine di profilo. Ho dedotto che tutti i profili presenti erano fake (cosa che già sospettavo dall’inizio).
Prendendo in esame il primo account [Daniela Garra], è stato effettuato un reverse sull’immagine di profilo. I risultati sono stati abbastanza inequivocabili.
Reverse Image su un finto account Facebook utilizzando Google.
Ogni singola foto era collegata a un profilo diverso sui più disparati social network (non tutti i risultati della ricerca sono collegati alla campagna in corso). La controprova è stata effettuata con il nome di Valentina Ferri. Anche questa ricerca ha fruttato risultati interessanti.
Reverse Image su un altro finto account Facebook utilizzando Google.
Il primo risultato mi ha molto incuriosito, così da testarlo nell’immediato.
Il dominio mtelm[.]com presenta due diverse tipologie di concorso: la prima è relativa ai supermercati Carrefour, mentre la seconda a una lotteria canadese.
Guardando il form Facebook, sono presenti gli stessi identici utenti.
Ecco il cardine!
Concorso Carrefour.
Lotteria del Canada.
Avendo trovato un’informazione importante, ho potuto effettuare le ricerche da fonti OSINT partendo proprio dall’immagine di profilo. I risultati sono davvero tanti, si parla di decine di domini sfruttati con diverse marche oggetto di spoofing.
Concorsi online e vincite facili: dettagli degli indicatori
L’analisi della campagna di phishing ha portato pure all’individuazione degli indicatori di compromissione (IoC) che potrebbero aiutare a riconoscere le eventuali truffe. Eccoli in dettaglio:
Marche utilizzate
- Poste Italiane
- Conad
- Carrefour
- TIM
- Vodafone
- Wind
- Alitalia
- Lidl
- Visa
- Adidas
- Dior
- L’Oréal
- Nescafé
- Decathlon
- McDonald’s
Domini
- hxxp://worldbuzz[.]us/falabella/#
- hxxps://loreal[.]corn-gratis[.]live/it/#
- hxxps://nescafe[.]corn-coupon[.]live/it/#
- hxxp://buoni-spesa[.]corn-gratis[.]live
- hxxp://www[.]whatsapp[.]cambiarcolores[.]live/#
- hxxps://meularminhacasa[.]com/cadastro/
- hxxp://aura18[.]fun/
- hxxps://giga[.]corn-money[.]live/it/#
- hxxp://dior[.]corn-gratis[.]top
- hxxp://tipsvirll[.]com/lorel/#
- hxxp://web-winner[.]com/fr/emirates/
- hxxp://adidas[.]corn-coupons[.]cash/it/
- hxxps://visa[.]quiz99[.]us/
- hxxps://mcdonalds[.]corn-money[.]live/en/
- hxxps://lidl[.]corn-cash[.]live/it/
- hxxps://-stickers[.]corn-gratis[.]top
- hxxps://whatsapp-gigas[.]corn-gratis[.]top/it/
- hxxp://wazzpromo[.]com/ws/playstore/
- hxxps://nespresso[.]corn-coupon[.]live
- hxxps://decathlon[.]corn-money[.]live/it/
- hxxps://carrefour[.]corn-money[.]live/it/
- hxxps://alitalia[.]corn-regalo[.]gold/it/
- hxxps://postetaliane[.]corn-coupons[.]cash/it/indexp[.]php
- hxxps://whatsapp-stickers[.]corn-gratis[.]live/it-it/
- hxxps://darkmode[.]whatsap[.]online/en-ng/
- hxxps://posteitaliane[.]corn-coupons[.]top/it/indexn[.]php
- hxxps://nescafe[.]corn-promo[.]top/en/
Punycode
- hxxp://xn--woolworth-jq6d[.]com/
IDN
- woolworthṣ[.]com
Punycode
- www[.]xn--sda-rgz[.]com
IDN
- www[.]ạsda[.]com
Punycode
- www[.]xn--cole-ei5a[.]com
IDN
- www[.]coleṣ[.]com
Ecco, infine, alcuni esempi di finti concorsi online ancora in corso e dai quali è bene stare alla larga:
