domenica 7 luglio 2013

Carrefour ti restituisce 500 euro di Buono Spesa. Un nuovo ingannevole phishing che coinvolge anche il Ministero dello Sviluppo Economico.(7 luglio)

Importante aggiornamento:
Il pishing Carrefour analizzato in questo post e' relativo all'invio di mails fake e NON di links tramite SMS come succede attualmente.Chi giungesse a questo post attraverso ricerca in rete del phishing Carrefour via SMS (attivo dal novembre 2013) puo' trovare dettagliate info in questi recenti post:

Phishing Carrefour via SMS. Una interessante segnalazione da parte di un lettore del blog.(13 dicembre)

ed il post del 2/1/2014 su presenza di un nuovo numero SMS e nuovo dominio creato il 31 dicembre.



Questa l'analisi del phisihng Carrefour del 7 luglio 2013:

Come gia' scritto in un precedente post, si cerca di utilizzare la crisi economica attuale per proporre contenuti di phishing ingannevole.
In dettaglio nei mesi scorsi abbiamo assistito ad un diffuso spam di mails ingannevoli che promettevano forti sconti sull'acquisto di carburante coinvolgendo tra l'altro anche il Ministero dello Sviluppo Economico.
I phishers infatti utilizzavano logo del Ministero e testi riferiti a decreto legge recente (vedi questo post e successivi) cosa che viene ripresa anche in questa nuova azione di phishing.
La sostanziale differenza e' che questa volta si coinvolge una nota catena di supermercati, Carrefour,  invece che ENI come le volte scorse.

Ecco la mail fake con esplicito riferimento a decreto legge ed a un bonus da 500 Euro attraverso carta prepagata Carrefour.


Da notare che la natura altamente ingannevole della mail e del phishing collegato deriva da un insieme di caratteristiche che sono:
1- La particolare cura posta nel layout mail e nelle pagine fake di phishing.
2- L'uso di riferimento a decreto legge realmente esistente anche se naturalmente non era previsto un bonus di questo tipo.
3- Il fatto di utilizzare questa volta un noto nome di azienda di distribuzione al dettaglio, Carrefour, con un esplicito riferimento ad offerta promozionale “SpesAmica Carrefour”, promozione realmente attuata e tuttora attiva.

Infine da sottolineare come la pagina fake riporti in bella evidenza frasi come “...importo a fondo perduto … Aiuto alle famiglie ...” ecc... tutte affermazioni che in un periodo di crisi economica potrebbero quanto meno incuriosire che ricevesse il fake messaggio.
Naturalmente lo scopo di questo phishing e' sempre quello di acquisire dati sensibili personali,e , cosa piu' importante, le credenziali di carta di credito di chi cadesse nel tranello della fake offerta.

Vediamo alcuni dettagli.

Questa la mail


con in bella evidenza il logo Carrefour linkato dal sito legittimo


e, come gia' detto, i riferimenti al  DECRETO-LEGGE 8 aprile 2013, n. 35 ed all'offerta di Carta Prepagata SpesAmica del valore di 500 Euro al prezzo di 100 Euro
Gli headers in mail mostrano questi IP di probabile provenienza del messaggio mail


Il link presente in mail punta ad indirizzo web dove compare il nome Carrefour e che, come i casi precedenti Carta Carburante, sfrutta il servizio NO-IP come gestore del clone, clone che in realta' e' ospitato su dominio creato allo scopo da pochi giorni


Da notare come si tratti di una struttura di phishing (Uso di NO-IP, frame e dominio creato allo scopo) praticamente identica, tranne naturalmente il nome del dominio coinvolto, a quella che abbiamo gia' visto in passato nei Casi ENI – Carta Carburante.
Questo il codice html del clone dove si nota l'uso di frame con link al sito creato appositamente per hostare il clone Carrefour


Rispetto alla pagina legittima Carrefour sono state sostituite alcune parti di testo senza alterare il layout della pagina, proponendo scritte relative all'offerta derivante dal Decreto Legge.

Questo il clone (notate nome ingannevole della url)



ed in particolare


mentre questo  e' l'originale (notate la scadenza a fine settembre 2013 della raccolta punti sfruttata dai phishers per mascherare la loro azione)


Esaminando il source del clone si nota anche come si sia utilizzato  HTTrack per acquisire la pagina, ma stranamente non dall'originale ma da un probabile precedente clone hostato su Altervista ed in data non recente. (notate anche riferimenti a Vodafone nel nome del sito Altervisita  .... cosa comune in casi di phishing che vedono utilizzare un dominio per differenti target)


Qui vediamo la sequenza di form che ricordano pienamente il precedente phishing Carta Carburante ENI, con l'unica differenza della presenza del logo Carrefour.


Anche il fake delay di connessione a server BNL e' identico ai casi precedenti.



Una ulteriore analogia ai phishing precedenti Carta Carburante e' il percorso al codice PHP che gestisce la pagina di acquisizione dati di carta di credito.


Come si vede abbiamo un esplicito riferimento ad ENI che potrebbe ad esempio significare che si sta usando una struttura di sito clone derivata dalla precedente Carta Carburante - ENI oppure che si ha in progetto di riattivare anche un phishing ENI.
Come le volte scorse (Carta Carburante) tutti i form proposti eseguono un accurato controllo formale dei dati inseriti (Codice fiscale, N. carta ecc....)
Seguono le pagine di conferma e il form Verified by VISA





Al termine della lunga ed ingannevole sequenza di pagine fake, si viene poi rediretti al legittimo sito Carrefour.


Edgar

Nessun commento: