Archivi tag: business email compromise

Proteggere la nostra vita online: intervista per IusLaw Web Radio

Venerdì 13 ottobre 2023 è andata in onda l’intervista realizzata per IusLaw Web Radio, durante la quale Elia Barbujani – insieme agli speakers che parteciperanno al GDPR Day 2023 – hanno parlato di protezione dati e frodi via email che possono costare caro all’azienda che non investa in cybersecurity, trattando diversi punti di vista, da quello del DPO, all’informatico forense e avvocato.

JusLaw Web Radio per il GDPRDay con Paolo Dal Checco sull'informatica forense

Durante l’intervista radio per IusLaw sono intervenuti, insieme a Elia Barbujani:

🎤 Monica Gobbato, avvocato, Presidente Privacy Academy, Organizzatrice Chapter Legal Hackers Genova

🎤 Paolo Dal Checco, Consulente Informatico Forense in ambito di Perizia Informatica e Indagini Digitali per processi Penali, Civili o in ambito stragiudiziale

🎤 Costanza Matteuzzi, avvocato, esperta di privacy, reati informatici e cybersecurity. 

L’intervento per IusLaw Web Radio è disponibile sia come video intervista organizzata tramite evento su Linkedin sia come podcast ascoltabile direttamente online sul sito WebRadiuIusLaw, durante l’intervista vengono trattati temi che spaziano dalla protezione del brand all’informatica forense, in particolare nell’ambito delle truffe bancarie di tipo Man in The Mail (MITM) note anche come Business Email Compromise (BEC) che causano la perdita d’ingenti fondi tramite bonifico disposto verso IBAN bancari fraudolentemente inviati tramite la modifica di fatture in PDF e l’intercettazione e/o alterazione di messaggi di posta elettronica.

Intervista Web Radio Ius Law su GDPRDay e Informatica Forense

L’intervista anticipa la conferenza che si terrà giovedì 19 ottobre al GDPR Day a Bologna: la nuova edizione della conferenza nazionale su GDPR e Cyber Security con la collaborazione di IusLaw WebRadio come Main Media partner dell’evento.

Man in the Mail - Truffa bonifico con falso IBAN via email

Crescono gli attacchi di “Man in The Mail”, la truffa dei bonifici a falsi IBAN

Man in the Mail - Truffa bonifico con falso IBAN via emailSono anni che si parla della truffa dei bonifici deviati in modo fraudolento verso falsi IBAN ai quali le aziende inviano fondi destinati a fornitori a fronte di false fatture modificate ad hoc da criminali che si sono insinuati nelle caselle di posta elettronica al fine di spiare le comunicazioni tra cliente e fornitore. L’FBI ha segnalato ormai da tempo il problema come una delle truffe maggiormente in voga nei confronti delle aziende e anche in Italia se n’è parlato in TV, sui giornali e online.

Nonostante questo, novembre è stato un mese nero per le truffe bancarie dei bonifici di tipo Man in The Mail (MITM) che prendono anche il nome di “Man in The Middle”, “BEC Scam”, “Wire fraud”, “Business Email Compromise”, “BEC Fraud” o ancora “Bogus Invoice Scheme”, “Supplier Swindle” o “Invoice Modification Scheme”. Se durante l’anno abbiamo ricevuto segnalazioni con frequenza di due o tre truffe al mese, nelle settimane di novembre le segnalazioni di Man in The Mail sono salite a diverse truffe al giorno.

Non è chiaro il motivo per il quale gli attacchi di falsificazione delle coordinate bancarie IBAN via email si sono fatti più aggressivi e pervasivi, al punto da colpire piccole, medie e grandi imprese, utilizzando persino IBAN ospitati presso enti bancari italiani, che dal punto di vista del riciclaggio e il rischio di blocco dei fondi diventano più complicati da gestire per i criminali.

L’FBI dichiara – nel suo rapporto del luglio 2018 – di aver conteggiato dall’ottobre 2013 al maggio 2018 ben 78.617 casi di Man in The Mail per una perdita totale di oltre 12 miliardi di dollari, cifre in aumento costante nonostante la consapevolezza di questa truffa stia cominciando a essere più presente fra le aziende.

Le modalità con le quali i criminali ottengono l’accesso ai dati riservati delle aziende tramite man in the middle, in particolare alla loro posta elettronica e alle loro fatture, cambia di volta in volta, così come la tecnica utilizzata per alterare i codici IBAN all’interno delle fatture originali, così da deviare il bonifico verso conti spesso poco tracciabili o dai quali, in ogni caso, i fondi verranno rimossi non appena arrivati grazie ai bonifici disposti volontariamente dalle vittime.

Da anni il metodo principale con cui avviene il man in the middle degli IBAN rimane il phishing, cui bisogna prestare massima attenzione, perché le difese tecnologiche spesso sono insufficienti di fronte a un operatore che fornisce le proprie credenziali ai delinquenti, anche tramite telefono (mediante il cosiddetto “vishing”, come è avvenuto pochi giorni fa) o SMS (in questo caso il fenomeno si chiama “smishing”) e persino via FAX. La percezione degli utenti è spesso quella del “mi hanno hackerato la mail” o “mi hanno bucato la casella di posta elettronica“, in realtà sono stati loro a fornire le credenziali agli attaccanti o persino il cookie di sessione, come mostrerò più avanti.

Precauzioni come l’autenticazione a due fattori (la cosiddetta “2fa”, “two factor authentication“) riducono il fenomeno ma non lo eliminano del tutto: è infatti possibile per i delinquenti rubare dalle vittime i cookie di sessione ed entrare direttamente nell’account di posta senza dover inserire username o password.

Phishing come vettore del Man in The Mail

Oltre al phishing, uno dei vettori più comuni per il man in the mail è l’infezione tramite malware o trojan dei PC o degli smartphone di chi esegue movimenti e bonifici bancari. Tramite l’invio di una finta fattura, nota di credito, istanza o altro i criminali trasmettono in realtà un “dropper”, un programma in grado di scaricare il malware e installarlo sul PC, dove questo sarà in grado di spiare le attività dell’utilizzatore e carpire le password. Banalmente, dopo alcuni giorni o settimane di monitoraggio, i delinquenti procedono con la registrazione di domini simili a quelli di una delle due aziende coinvolte e all’invio delle email fake, con gli IBAN errati, così da trarre in inganno le vittime.

Ultimamente abbiamo rilevato diversi casi di Man in The Mail perpetrati attraverso l’accesso diretto alla casella di posta tramite protocollo IMAP, grazie al quale i criminali sostituiscono direttamente le email arrivate al cliente, lasciando intatto il testo ma modificando l’allegato PDF contente la fattura con il codice IBAN corretto che viene modificato indicandone uno diverso. Il cliente, scaricando la mail “farlocca”, pagherà la merce o i servizi al conto bancario IBAN sbagliato, intestato appunto ai delinquenti o in realtà a dei prestanome. In sostanza, il cliente riceve la mail corretta dal fornitore (il cui account quindi non è stato compromesso) ma quando la scarica, l’allegato PDF è diverso, il tutto grazie alla possibilità del protocollo IMAP di sostituire una mail (o l’allegato, nel caso specifico la fattura originale con il vero IBAN) lasciandola sul server in modo che la vittima possa scaricarla già falsificata.

IMAP come mezzo per Man in The Mail e BEC Scam, business email compromise

Oltre a utilizzare sempre più spesso direttamente il protocollo IMAP per sostituire le mail originali con quelle false contenenti la fattura con IBAN modificato, una precauzione molto spesso presa dai truffatori è quella d’impostare un inoltro, o forward, su una o più caselle compromesse, così da evitare che i proprietari possano leggere le email inviate dai reali clienti o fornitori.

Una volta incassate le somme estorte con l’inganno i ladri procedono, tramite “money mule“, a svuotare il conto su cui vengono ricevuti i bonifici di chi è stato truffato, attraverso prelievi di contante o trasferimenti irreversibili mediante servizi di money transfer. In alcuni casi, il cash out e il money laundering viene fatto persino tramite acquisto di bitcoin. Questo è uno dei motivi per i quali le truffe di tipo Man in The Mail spesso non permettono l’annullamento o lo storno dei bonifici o il recupero delle cifre bonificate, che sono già state immediatamente svuotate dal conto della banca ricevente. In alcuni casi, fortunatamente, è possibile contattare immediatamente la banca che ha ricevuto il bonifico sull’IBAN farlocco per imporre il blocco dei fondi, cosa fattibile quando la banca di appoggio dei criminali è ad esempio in Italia, cosa difficile quando l’istituto bancario si trova all’estero in paesi lontani o poco collaborativi.

Lo Studio, per questo tipo di reati, esegue perizie su truffe bancarie di tipo “Man in The Mail” con bonifici su falsi IBAN finalizzate a identificare le modalità dell’attacco alla casella di posta o ai sistemi informatici ma soprattutto a capire chi è stato compromesso, se il compratore o il venditore. Dal punto di vista di un eventuale risarcimento, la perizia informatica sulla truffa degli IBAN cambia radicalmente la prospettiva nel caso in cui il raggiro sia avvenuto a causa della compromissione degli account o dei sistemi del fornitore/venditore, in tal caso il cliente che ha bonificato verso l’IBAN sbagliato può tentare di esonerarsi dalla responsabilità e ottenere comunque la merce o i servizi. In altri casi, non riuscendo a identificare correttamente la responsabilità di chi è stato causa indiretta della truffa (cioè colui che ha avuto l’indirizzo di posta elettronica bucato o i sistemi compromessi) si può tentare un accordo o conciliazione al 50%. Anche le banche possono essere coinvolte in una eventuale richiesta di risarcimento, con maggiore difficoltà, ma in alcuni casi i profili di responsabilità possono essere valutati andando oltre il cliente e il fornitore.

Frode dei bonifici tramite falsa mail e IBAN

Come difendersi dalle truffe dei bonifici con i falsi IBAN

Sono passati ormai oltre tre anni da quando l’FBI ha avviato un’impegnativa opera di divulgazione e formazione preventiva circa la truffa dei bonifici tramite compromissione della posta elettronica e falsi IBAN. Da allora, il fenomeno è aumentato in modo esponenziale e ancora oggi ogni giorno numerose aziende italiane sono vittima del raggiro del bonifico deviato verso un falso IBAN tramite false email e fatture od offerte PDF modificate ad arte.

Falsa fattura in PDF per la truffa bancaria "Man in The Mail"

Poiché lo Studio esegue anche attività in ambito d’incident response  o digital forensics in ambito di questo tipo di truffa mediante email false, IBAN modificati e bonifici fraudolenti, riteniamo utile riprendere il discorso e presentare alcune caratteristiche di questo fenomeno che sta facendo perdere agli italiani decine di milioni di euro trasferiti spesso su conti IBAN esteri.

Un fenomeno in crescita

L’Italia è terreno fertile per questo tipo di truffa bancaria informatica e conta ormai migliaia di vittime con svariati milioni di soldi rubati tramite i bonifici o le spedizioni di merce. Nel 2015 ho partecipato a un servizio per Striscia la Notizia dove un’azienda ha raccontato la sua avventura con un bonifico fraudolento proveniente da un cliente estero che non è arrivato perché deviato – grazie all’ausilio di false email che sembravano provenire dall’azienda –  verso un IBAN di un conto di un prestanome che lo ha poi svuotato impedendo così il recupero della somma bonificata.

Truffa dei bonifici con falso IBAN a Striscia la Notizia

Come agiscono i delinquenti

Questo tipo di truffe informatiche risulta piuttosto complesso da identificare, perché le modalità con le quali i delinquenti colpiscono le vittime sono svariate:

  1. Attacco alla casella di posta tramite phishing, brute force o utilizzo di credenziali riciclate su più account provenienti dai vari leak disponibili in rete con conseguente monitoraggio della mailbox a volte anche tramite inoltro delle mail tramite forward e blocco di alcuni indirizzi;
  2. Installazione di trojan e spyware sui PC o smartphone di chi esegue o riceve i bonifici o comunica con clienti e fornitori;
  3. Attività di social engineering (su Linkedin, Facebook, etc…) finalizzato a identificare le relazioni tra membri della società così da poter inviare false mail con richieste di bonifici fraudolenti verso IBAN creati ad hoc;
  4. Registrazione di domini simili a quello della vittima o dei suoi fornitori e clienti, utilizzando poi le caselle di posta per perpetrare la truffa dei trasferimenti deviati verso IBAN di terzi;
  5. Non sempre il furto avviene tramite bonifici, in alcuni casi i criminali hanno convinto le vittime a spedire del materiale verso indirizzi controllati da loro (magazzini, capannoni, etc…) fingendosi gli acquirenti che in realtà sono ignari della nuova destinazione della merce che hanno in realtà realmente pagato (ma bonificando la cifra richiesta su conti bancari diversi da quello del fornitore);
  6. Talvolta i delinquenti arrivano a fare anche telefonate utilizzando il numero dei clienti o dei fornitori, mediante servizi come SpoofCard che permettono di fare telefonate o inviare SMS da numeri di persone o aziende ignare;
  7. In alcuni casi la compromissione delle mail permette ai delinquenti di sostituirle in tempo reale tramite IMAP e la funzione di upload e modifica dei messaggi, rendendo così superfluo l’invio di posta da canali fraudolenti, dato che diventa più semplice modificarla direttamente sul server della vittima prima che questa ne scarichi il contenuto.

Come posso difendermi dalle truffe dei bonifici con IBAN falsi?

La miglior difesa è, purtroppo, la formazione del personale che deve essere ben consapevole che se un fornitore richiede un repentino cambiamento del conto IBAN sul quale versare il saldo indicato in fattura, è necessario eseguire adeguate verifiche tramite telefonate, fax o PEC. Imparare a distinguere una falsa mail destinata a perpetrare la frode dei bonifici può permettere all’azienda di non diventarne vittima.

Frode dei bonifici tramite falsa mail e IBAN

Ovviamente le email false avranno una forte somiglianza con quelle originali, sia negli indirizzi sia nel contenuto, ma spesso uno sguardo attento è sufficiente per cogliere gli elementi distintivi e capire se si tratta di un messaggio originale o prodotto dai delinquenti a fini di truffa e raggiro.

Dal punto di vista tecnico, esistono diverse soluzioni che permettono di configurare dei filtri sulla posta elettronica finalizzati a identificare potenziali email fraudolente e segnalarle all’utente o agli amministratori di sistema. Una mail che arriva in azienda da indirizzo di posta aziendale ma partendo da server esterni può ad esempio essere un’indice di compromissione, così come la presenza di un indirizzo “Reply to:” diverso da quello del mittente.

Poiché client di posta elettronica tipo Outlook non mostrano chiaramente il vero indirizzo del mittente, che può quindi essere più facilmente mascherato, è importante verificare, nel momento in cui si risponde a un messaggio, a quale indirizzo arriverà la risposta.

Se si ricevono mail da parte dell’Amministratore Delegato o di apicali che richiedono l’esecuzione di un bonifico pregando di non informare nessuno e di procedere speditamente, è indispensabile richiedere una conferma telefonica o di persona. Molto spesso infatti nelle truffe di tipo “CEO Fraud” non vi sono accessi abusivi alle caselle di posta ma i delinquenti provano a inviare mail da indirizzi di posta falsi, fingendosi dirigenti o apicali e sperando che i destinatari non si accorgano della differenza ed eseguano gli ordini ricevuti. Spesso vengono messi in copia anche Avvocati o Studi Legali finti (o veri ma con indirizzi falsi) così da rendere più autorevole la richiesta.

Come vengono chiamate queste truffe dei bonifici?

La truffa dei bonifici deviati verso IBAN falsi tramite email create ad hoc così da ingannare il ricevente è nota con i termini di CEO Fraud, Payment Diversion, Executive Scam, Business Executive Scam, Bogus Boss, Boss Fraud, CEO scam o CEO phishing, Wire Transfer Fraud, Corporate Account Takeover o CEO impersonation.

Quando si rileva anche un’attività di compromissione e accesso abusivo alla mail aziendale, si parla di truffa di tipo Man in The Mail, Business Email Compromise, BEC, BEC Scam, BEC Fraud o BEC Attack. In questi casi, la mail, i server o il PC delle vittime sono (stati) posti sotto controllo da parte dei delinquenti, che a un certo punto si sostituiscono a uno dei due interlocutori impersonandolo.

Posso recuperare la cifra che ho bonificato all’IBAN sbagliato?

In genere, i bonifici fraudolenti vengono fatti verso conti esteri oppure conti italiani registrati da prestanome. Una volta ricevuto, i criminali utilizzano una rete di money mule per svuotare il conto, cioè persone che – consapevolmente o meno – si fanno inviare alcune migliaia di euro a testa e li rigirano verso conti terzi dopo aver trattenuto una percentuale per il “lavoro”. Questo passaggio rende molto più complicato tracciare il flusso di denaro sottratto con l’inganno alla vittima e permette di svuotare il conto molto velocemente, così che quando la vittima capisce di essere stata truffata tramite bonifici fraudolenti spesso non è in grado di recuperare il maltolto.

Devo fare denuncia presso l’Autorità Giudiziaria?

Ovviamente non c’è obbligo di denuncia querela ma certamente può essere importante farla, se non altro per rendere le Forze dell’Ordine consapevoli dell’entità del fenomeno. Raramente la denuncia porterà al recupero dei fondi rubati, spesso non si riuscirà a capire neanche dove sono stati trasferiti, in ogni caso è eticamente e civilmente sensato sporgere denuncia querela facendosi supportare da legali esperti se possibile in informatica giuridica.

Dal punto di vista del GDPR e della protezione dei dati, invece, se la truffa è di tipo “Man in The Mail” e l’accesso alla casella di posta è avvenuto tramite phishing, trojan o brute force, può essere obbligatorio segnalare al Garante l’avvenuto data breach.

Di chi è la responsabilità? Della banca? Del fornitore? Del cliente?

Spesso chi fa il bonifico all’IBAN sbagliato avrebbe la possibilità di accorgersene prestando attenzione agli indirizzi utilizzati dai delinquenti. Ciò che impedisce alle vittime di realizzare quanto sta accadendo è, spesso, il fatto che i delinquenti utilizzano (nel caso di Man in The Mail) uno scambio di corrispondenza con uno storico tale da rendere “credibile” la fonte e superflue verifiche.

Quando a una visione attenta della mail è possibile verificare che il mittente non è davvero il fornitore certamente una parte di responsabilità può essere demandata alla vittima. Vero è che se la truffa è stata possibile grazie alla compromissione di caselle o computer del fornitore, il rapporto di responsabilità può invertirsi.

Anche la banca può in alcuni casi essere considerata responsabile, se ad esempio accetta di aprire un conto a un prestanome con il nome di una società di cui egli non è il titolare, oppure se riceve grandi quantità di denaro destinate a persone o aziende diverse da quella indicata nell’intestazione del conto, per quanto in alcuni casi non sembra ci sia l’obbligo di verifica.

Se le mail false e fraudolente tramite le quali i delinquenti richiedono i bonifici falsificando i PDF delle fatture provengono realmente dagli indirizzi di posta dei fornitori, certamente la responsabilità può essere demandata ad essi, perché la carenza di misure minime e controlli di sicurezza ha fatto sì che i criminali riuscissero a entrare nelle caselle di posta e utilizzarle per la truffa.

Cosa posso fare se sono stato truffato?

Sicuramente può essere strategica una perizia informatica sulla truffa Man in The Mail avvenuta via bonifico a falso IBAN presso banca estera o italiana, finalizzata a identificare eventuali responsabilità, capire se c’è stato un data breach, un accesso abusivo tramite trojan, phishing, brute force oppure se la compromissione può essere lato fornitori o clienti o ancora se non si rilevano malware o violazioni alla sicurezza ma solo l’utilizzo di account di posta o domini opportunamente plasmati.

La perizia informatica sul Man in The Middle può essere utilizzata da uno studio legale specializzato in informatica forense, per produrre una querela o una richiesta di conciliazione con il cliente o il fornitore coinvolto a sua insaputa nella truffa. La responsabilità della parte il cui account di posta o i cui sistemi sono stati compromessi infatti è un elemento che può permettere alla parte che ha perso il denaro (o la merce) di richiedere uno storno, una spedizione, un risarcimento.

 

 

Phishing al phisher di Google

Phishing di Account GoogleIl phishing è una delle maniere più facili con le quali i malintenzionati riescono a far cadere in trappola ignare vittime, ingannate da una mail fraudolenta o da un sito web farlocco. Che sia un finto sito di un Corriere, di un Operatore Telefonico o di una Compagnia di Energia Elettrica da cui far scaricare un ransomware o un finto sito di Google creato per rubare nome utente e password.

Questo è proprio il caso della schermata di login fraudolenta, raggiungibile fino a poco tempo fa sul dominio dannytice.com, diffusa via email tramite messaggi di phishing che invitavano a verificare le proprie credenziali di Google o comunque ad accedere alla webmail.

La schermata di phishing che si finge Google era salvata in una cartella riservata di un’installazione bucata di WordPress, come si evince dal percorso “/wp-admin/css/brige/jett/sick.html” che contiene gli script che permettono la raccolta fraudolenta delle credenziali degli utenti. E’ ormai pratica comune quella di bucare siti WordPress vulnerabili per installarvi sopra pagine di phishing, download di ransomware o trojan bancari, script per attaccare altri siti web o server o persino portali per vendita di accessi a siti pedopornografici. In questo caso, l’utente si ritrova in una pagina di login che ben conosce, quella dove Google richiede i dati di accesso per loggarsi sulla casella di posta Gmail.

L’URL ormai non è più accessibile, ma potete vedere come compariva quando era attiva accedendo ad una copia remota ospitata sul sito archive.is. Se non si osserva con attenzione la barra degli indirizzi, la pagina di phishing sembra in tutto e per tutto quella che Google mostra per richiedere i dati di accesso. La pagina è stata rimossa in un paio di giorni e Google ha rilevato, tramite il suo Safe Browsing, la presenza di contenuti sospetti.

Google Safe Browsing

Una volta inseriti i dati di accesso, la vittima viene rediretta verso la vera pagina di Google, che richiederà nuovamente i dati di accesso perché quelli inseriti nella pagina di phishing non vengono passati correttamente. L’utente pensa che ci sia stato un problema di rete, reinserisce login e password e si ritrova nella sua webmail. Il problema è che i dati di accesso ora li ha anche l’attaccante, che li userà per reati come furto d’identità, cercherà nei messaggi di posta informazioni come nomi utente, password, coordinate bancarie, fotocopie dei documenti d’identità e li userà nel modo che riterrà più proficuo. Alternativamente, venderà l’account nel dark web insieme ad altre centinaia di account bucati. Il prezzo degli account bucati può andare da qualche dollaro a qualche decina di dollaro, in base all’affidabilità delle credenziali.

Invece di cancellare la mail e ignorare il problema, ho deciso di provare ad incastrare il phisher, registrando un account Google ad hoc nel quale ho attivato il meccanismo di protezione a due fattori, chiamato anche two factor authentication o verifica in due passaggi.

Google Verifica in Due Passaggi

La verifica in due passaggi (nota anche come “Autenticazione a Due Fattori”, “2FA” o “Two Factor Authentication“) fa sì che l’inserimento di login e password, seppur corretti, non permetta immediatamente l’accesso all’account, ma causi l’immediato invio di un SMS al numero di cellulare prescelto in fase di attivazione. Il messaggio di testo contiene un codice numerico da inserire nella pagina di login, per confermare la propria identità. Il tutto avviene gratuitamente ed è simile al modo di procedere di alcuni servizi bancari, che chiedono al proprietario del conto corrente conferma per poter eseguire il login o inserire disposizioni bancarie.

Poiché, avendo attivato il servizio di autenticazione a due fattori, la conoscenza del login e della password corretti non permette di entrare nella webmail, ho potuto tranquillamente “cadere nel tranello” digitando le vere credenziali all’interno della pagina di phishing del login di Google.

Login sulla pagina di Phishing di Google

A questo punto, il delinquente ha acquisito le mie credenziali e il browser viene rediretto verso la vera webmail Gmail, dove mi vengono nuovamente richieste le credenziali. La prima parte del phishing al phisher finisce qui e non resta che attendere.

Una settimana dopo, arriva un SMS sul numero di cellulare che ho indicato durante la configurazione dell’autenticazione a due fattori per la casella di posta Gmail creata appositamente per questo esperimento.

Google Phishing 2FA

Tre minuti dopo, arriva un secondo SMS, sempre al numero impostato come secondo fattore di autenticazione per l’account Google creato apposta per il test.

Two Factor Authentication e Google Phishing

 

In sostanza, ho sfruttato la pagina creata dal phisher come una sorta di honeypot al contrario. Con gli honeypot si creano servizi volutamente vulnerabili e monitorati in modo da far cadere in trappola gli attaccanti, talvolta distraendoli dai reali obbiettivi strategici. Con questo sistema, ho passato al phisher delle credenziali funzionanti, create apposta per essere monitorate.

Gli SMS mi hanno confermato che il phisher ha abboccato e ha usato le credenziali rubate per verificare la bontà dell’account. Potrebbe anche non trattarsi del phisher, dato che egli potrebbe aver ha venduto le credenziali a un acquirente che ha tentato di utilizzarle. Il doppio tentativo può far pensare a un’attività manuale di un utente che ha provato a reinserire le credenziali, credendo di averle magari digitate male la prima volta.

A questo punto, ho eseguito un login sull’account Google utilizzato come honeypot: ovviamente ho potuto farlo avendo accesso al numero di cellulare registrato come dispositivo di sicurezza per l’autenticazione a due fattori. Ho quindi proceduto a visualizzare la pagina degli alert di sicurezza che Google fornisce a tutti gli utenti per tenerli aggiornati sui dispositivi usati di recente, accedibile da chiunque all’indirizzo http://security.google.com/settings/security/activity?pli=1.

Il phisher di Google in trappola

Google ha identificato il tentativo di accesso fraudolento comunicandomi che “qualcuno ha la mia password, così è stato impedito il login”, loggando l’indirizzo IP utilizzato dal phisher per tentare l’accesso alla casella di posta creata come honeypot. Google ha infatti tracciato il primo dei due tentativi di accesso, anche se è stato eseguito con le credenziali corrette (rubate tramite phishing) ma senza che l’attaccante sia riuscito a confermare il codice di autenticazione a due fattori inviato via SMS al numero di cellulare che ho predisposto per la trappola.

Come si nota nell’immagine, l’indirizzo IP da cui è stato tentato l’utilizzo delle credenziali rubate è italiano e appartiene al range di IP assegnato da WIND Telecomunicazioni S.p.A. Le porte aperte sull’IP, poco dopo il tentativo di accesso al mio account honeypot, erano le seguenti:

[+] Nmap scan report for ppp-xxx-xxx.15-151.wind.it (151.15.xxx.xxx)
Host is up (0.14s latency).
Not shown: 94 filtered ports

PORT STATE SERVICE VERSION
21/tcp closed ftp
22/tcp open ssh OpenSSH 6.0p1 Debian 4 (protocol 2.0)
80/tcp closed http
81/tcp closed hosts2-ns
443/tcp open https?
3128/tcp open http-proxy Squid http proxy 2.7.STABLE9

Il Sistema Operativo rilevato indica – e lo si intuisce anche dal banner sulla porta 22 – un Linux :

Running (JUST GUESSING): Linux 3.X|2.6.X|2.4.X (93%), Netgear embedded (93%), Western Digital embedded (93%), AXIS Linux 2.6.X (91%), Crestron 2-Series (89%), Vodavi embedded (87%), Check Point embedded (86%), HP embedded (85%)
OS CPE: cpe:/o:linux:kernel:3 cpe:/o:axis:linux:2.6 cpe:/o:linux:kernel:2.6 cpe:/o:crestron:2_series cpe:/o:linux:kernel:2.4.26

Aggressive OS guesses: Linux 3.0 – 3.1 (93%), Netgear DG834G WAP or Western Digital WD TV media player (93%), AXIS 210A or 211 Network Camera (Linux 2.6) (91%), Linux 2.6.38 – 3.2 (90%), Crestron XPanel control system (89%), Linux 2.6.32 – 2.6.39 (88%), Linux 2.6.38 – 3.0 (88%), Linux 2.6.39 (87%), Vodavi XTS-IP PBX (87%), Check Point VPN-1 UTM appliance (86%)

Da questo test è possibile trarre alcune conclusioni:

  • L’autenticazione a due fattori è un ottimo metodo di protezione dal phishing, anche se può essere bypassato con alcuni accorgimenti;
  • Se avessi utilizzato la Google Authenticator App invece degli SMS sul numero di cellulare non avrei potuto rilevare la compromissione in tempo reale, pur essendo in ogni caso protetto dall’accesso non autorizzato;
  • Per tentare di accedere al mio account è stato utilizzato un indirizzo IP italiano: può trattarsi dell’IP di un PC compromesso, di un proxy (la porta 3128 sembra portare in questa direzione), del PC di chi ha lanciato la campagna di phishing o di chi ha acquistato le credenziali rubate.;
  • Il phishing è ancora uno dei metodi più semplici per rubare credenziali da utilizzare poi per furto d’identità, business email compromise (BEC), truffe e ogni tipo di reati che quotidianamente vedono vittime in tutto il mondo;
  • Se vi imbattete in pagine di Phishing, potete segnalarle a Google all’indirizzo https://www.google.com/safebrowsing/report_phish/?hl=it e verranno rimosse in breve tempo dai motori di ricerca e segnalate dal browser Chrome tramite Google Safe Browsing.