Campagna di phishing a danno di utenti TIM

18/10/2018

italia phishing

Nella mattinata odierna è emerso un caso di phishing ai danni di utenti TIM finalizzato alla cattura di dati bancari. La campagna di invio dei messaggi sta coinvolgendo utenze private e caselle di posta Istituzionali. Di seguito un estratto del messaggio incriminato:

L’eventuale apertura del link web, nascosto dalla dicitura http://rimborso.tim.it presente nel corpo del messaggio, determina l’apertura della relativa pagina web riportante il logo TIM:

Qualora un malcapitato utente provvedesse a fornire i dati nel form preparato dai phisher, dando successiva conferma tramite il pulsante AVANTI, riceverebbe l’avviso di un improbabile caricamento. In realtà, a partire da questa fase, i dati bancari inseriti andrebbero nella disponibilità degli autori della campagna:

Per rendere ancora più credibile l’intera operazione è stato previsto l’inserimento di un codice di autorizzazione inviato al numero di telefono indicato nel form e di seguito illustrato:

Dalle analisi effettuate tale meccanismo di conferma in realtà non va a verificare alcuna informazione infatti, anche inserendo dati casuali, permette comunque di superare il finto controllo per fornire all’utente un ultimo avviso a conferma dell’avvenuto rimborso:

Caratteristica della campagna osservata è l’utilizzo di codifica base64 nella composizione di tutti i campi della mail, tra questi:

Soggetto: =?UTF-8?B?UmltYm9yc28gcmlmZXJpbWVudG8gOiBbVElNLTE5MDJXXQ==?=

Soggetto visualizzato nel client di posta: Rimborso riferimento : [TIM-1902W]

Mittente: =?UTF-8?B?VElN?= <newsletter3@webs.com></newsletter3@webs.com>

Mittente visualizzato nel client di posta: TIM <newsletter3@webs.com> </newsletter3@webs.com> 


Indicatori di compromissione

Di seguito gli indicatori di compromissione associati alla campagna di phishing in oggetto:

URL Phishing:
hXXp://www.cortendesign[.]net/cgi-bin/#servizo
URL redirect:
hXXp://asr-schreinerei[.]de/m/it/#servizo
Server mittente:
228.242.forpsi[.]net (81.2.242[.]228)
E-mail Return-Path:
tiwebtiwatime@discoveryvip[.]com

In relazione al caso, il CERT-PA ha avviato le procedure finalizzate alla rimozione della pagina di phishing ospitata, probabilmente in modo inconsapevole, su un server localizzato in Italia.