Ancora una volta un messaggio di phishing ma stavolta da parte di un hacker un po’ troppo sbadato, ecco come sono riuscito a svuotargli il database.
Il messaggio ricevuto:
ATTENZIONE! La sua App. MPS risulta attiva ad un nuovo dispositivo in Lugano,se non è lei lo blocchi seguendo il portale: ……………………
La forma possiamo come sempre ricondurla a messaggi già visti nel passato, ad esempio Phishing di un falso Intesa Sanpaolo e Anatomia di un tentativo di phishing, abbiamo infatti un messaggio sgrammaticato che ci avvisa di qualche anomalia relativa al nostro conto corrente e che dobbiamo immediatamente provvedere a sistemare seguendo un link sospetto
Analisi del link
Qui l’analisi del link si fa più interessante del solito, abbiamo infatti un dominio dei soliti a basso costo che punta ad un server di 000webhost, aprendo il link siamo davanti al classico meccanismo di phishing in cui vengono richiesti i dati personali, poi il numero di carta di credito ed infine il numero di telefono
Iniziamo a scavare
Analizzando il sorgente della pagina e cercando le richieste in corso vediamo che sul sito è attivo un meccanismo piuttosto avanzato, finchè abbiamo la pagina aperta infatti vengono generate richieste POST verso il provider per controllare che la sessione sia attiva per tutto il tempo che la pagina rimane attiva. Ma la cosa più interessante la troviamo nella root del sito
Ecco infatti che troviamo uno ZIP molto interessante, all’interno della cartella compressa c’è infatti l’intero sorgente del sito web che si rileva di fatto essere un CMS: un servizio completo che hostato su un sito consente ad un hacker di mettersi all’opera per raccogliere informazioni sui poveri malcapitati, cercando nei files infatti troviamo l’intero log degli accessi
Ed aprendo i singoli files troviamo i dettagli personali della vittima, tra cui nome, cognome, numero di telefono e numero della carta di credito ma la procedura è abbastanza macchinosa (bisogna manualmente andare a cercare in tutti i files), ecco quindi che troviamo una pagina molto più interessante
In una sottocartella troviamo una pagina di accesso, qualche tentativo e siamo dentro, l’interfaccia del sito è molto user friendly e mostra in un cruscotto il numero di visite fatte e l’elenco dei dati inseriti, inutile dire che la prima opzione è stata quella di svuotare completamente il database in modo da non dare la possibilità all’hacker di svuotare i loro conti correnti. Ho poi provveduto a cambiare la pagina di redirect e bloccare l’accesso dalla maggior parte dei dispositivi per poi cambiare username e password di accesso al sito.
La triste scoperta
Dopo aver cancellato ogni traccia delle vittime dal sito web sono passato al contrattacco ed ho iniziato a telefonare ad una decina di persone che avevano lasciato il loro numero di telefono, di queste solo quattro o cinque hanno risposto e gli ho spiegato il tutto, una di queste ahimè mi dice di aver già subito il danno e che gli avrebbero tolto 600 euro da una carta prepagata ma che per paura non avevano ancora telefonato alla banca per far bloccare la carta, gli ho spiegato il meccanismo di assicurazione e li ho convinti a segnalare immediatamente il fatto.
Conclusioni
La banca ha iniziato un indagine interna per capire cosa sia successo in quanto tutti i messaggi sono stati inviati da un numero attendibile e che viene usato dalla banca stessa per le comunicazioni destinate ai propri clienti e solo i clienti della banca stessa sono stati i destinatari dei messaggi.
Link al’articolo della Gazzetta di Mantova: La truffa corre online
Se dovesse capitarvi una situazione simile non esitate a contattare il servizio clienti della vostra banca, per MPS: Proteggiti dalle frodi
Post Disclaimer
Informazioni Importanti
Note generali: Le informazioni contenute in questo articolo sono di carattere informativo e rispecchiano le opinioni personali del autore. Tutte le guide nel sito vengono proposte "as it is" puramente a scopo didattico. L'utente che accetta di seguirne i passaggi si assume ogni responsabilità in caso di guasto/malfunzionamento o altro problema come conseguenza della modifica.
Link di affiliazione e contenuti promozionali: Nei post di iu2frl.it posso includere collegamenti a rivenditori. Posso ricevere una piccola commissione dal rivenditore se effettui un acquisto dopo aver fatto clic su uno di questi link. I post non sono espressamente sponsorizzati da rivenditori, editori, promotori o produttori, se non diversamente specificato chiaramente e tutte le decisioni editoriali sono prese esclusivamente dagli autori dei singoli articoli.
Contenuti riguardanti regolamenti e/o normative: Eventuali riferimenti a normative non costituiscono valore legale, si tratta di libere interpretazioni ed estratti di circolari corredate da eventuali commenti, si invitano tutti gli utenti a verificare la veridicità di tali informazioni sugli organi ufficiali di riferimento, nessuna colpa o responsabilità può essere data agli autori degli articoli.
Licenza di utilizzo: Tutti i contenuti vengono condivisi con licenza CC BY-NC-SA 4.0: Questa licenza consente ad altri di remixare, adattare e sviluppare i contenuti in modo non commerciale, purché accreditino l'autore originale e concedano in licenza le loro nuove creazioni con gli stessi termini. Per maggiori informazioni visitare il sito Creative Commons.
Important Informations
General notes: The information contained in this article is of an informative nature and reflects the personal opinions of the author. All the guides/tutorial on the website are offered "as it is" for educational purposes only. The user who agrees to follow the steps assumes all responsibility in case of failure/malfunctioning or other problem as a result of the modification.
Affiliate links and promotional products: In some posts of iu2frl.it I can include links to resellers. I can get a small commission from the reseller if you make a purchase after clicking on one of these links. The posts are not expressly sponsored by resellers, publishers, promoters or producers, unless otherwise clearly specified and all editorial decisions are made solely by the authors of the individual articles.
Contents about rules and laws: Some articles may contain portions or whole laws or rules regarding specific areas, these kind of content are meant to be indicative only, no responsability can be given to the authors. Always refer to official sources when looking for rules or laws.
Contents licenses: All the contents are published as CC BY-NC-SA 4.0: This license lets others remix, adapt, and build upon your work non-commercially, as long as they credit you and license their new creations under the identical terms.. For more informations please visit Creative Commons website.