Il Threath Intelligence Team di D3Lab ha rilevato nella giornata del 2 Novembre la creazione di un nuovo dominio Ad Hoc contenente un sito di phishing ai danni di ING Bank.
ING Bank fa parte di ING Group (www.ing.com), gruppo bancario di origine olandese che offre servizi e prodotti bancari in più di 40 Paesi tra Europa, America del Nord, America Latina e Asia.
La campagna diffusa tramite la creazione di un nuovo dominio Ad Hoc, presumibilmente veicolata tramite messaggi di testo (Smishing) mira a carpire le informazioni di accesso all’home banking, in questo caso codice utente e data di nascita della vittima.
Gli esperti, analizzando questa campagna di phishing, hanno individuato e studiato il funzionamento del kit di phishing. Questi rappresentano l’insieme di tutti i file, solitamente php, css e immagini che consentono di ricreare una falsa pagina web dell’home banking in questione con il fine di carpire alla vittima le sue informazioni sensibili. Il Command and Control, o Panel, compreso usualmente nel kit, permette al criminale informatico di avere un riepilogo visuale del numero di vittime e dei dati carpiti.
Dall’analisi della campagna di phishing si è risaliti al Command and Control che presenta una particolarità; infatti, nella home page del C2 vi è la firma del creatore del kit dalla quale è possibile risalire al profilo Telegram dell’autore, ma ancora più di interesse ad un canale Telegram da lui amministrato che all’inizio del monitoraggio contava 643 iscritti. È qui che il phisher vende, accettando pagamenti in crypto, i propri panel per la cifra di 275 sterline con opzione di personalizzazione a 300.
Tra i phishing kit italiani in vendita gli esperti hanno trovato enti come Nexi, Inbank, Intesa San Paolo, Unicredit e altri, nonché oltre 300 enti impattati fuori dal panorama italiano come Arab Emirates, HSBC Arab Emirates, BOQ, Citibank, St-Georges e altri ancora.
Gli esperti di D3Lab hanno invitato gli utenti a prestare attenzione e a non divulgare le proprie informazioni personali (username, password, e-mail, etc).
https://www.d3lab.net/phishing-analisi-del-clone-e-rivendita-del-kit-su-telegram/