Il taccuino di Armando Leotta Rotating Header Image

[Phishing] Attenzione alla nuova mail (apparentemente) a firma ENI & Ministero dello sviluppo economico #phishing #security

Phishing Eni e Sviluppo Economico

Phishing Eni e Sviluppo Economico

Il periodo non è certo dei migliori.

La mail con oggetto “Richiedi la carta benzine con lo socnto di 400 euro” presenta diversi elementi interessanti.

In primo luogo, è evidente la componente di social engineering: logo del Ministero dello Sviluppo Economico, Partita IVA dello Sviluppo Economico nel footer della mail (come sapete è un’informazione obbligatoria e si trova facilmente sul vero sito del Ministero), riferimento ad un nuovo DECRETO LEGGE.

Inoltre, si fa meschinamente leva sulla possibilità di acquistare una carta carburante a prezzi incredibilmente vantaggiosi:

“Agip gruppo Eni ti consente di acquistare la carta carburante di 500 Euro al prezzo di 100 Euro (80% rimborsato dal Ministero dello Sviluppo Economico).”

In secondo luogo, aldilà della credibilità o meno dell’iniziativa, spunta la componente di phishing: il link suggerito per approfondire le informazioni sembrerebbe quello del Ministero dello Sviluppo Economico ma punta all’indirizzo sviluppoeconomico.myvnc.com.

Il dominio myvnc.com è un dominio gestito da servizi di dns dinamico (no-ip.com).

Indirizzo reale a cui punta

Indirizzo reale a cui punta

Per gli addetti ai lavori, raggiungendo tramite sandbox (anubis) quell’indirizzo, ecco qualche dettaglio in più (tralascio le svariate chiavi del registry lette E modificate).

DNS Queries:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
        Name: [ ministerodellosviluppoeconomico.myvnc.com ], Query Type: [ DNS_TYPE_A ],
            Query Result: [ 8.23.224.90 ], Successful: [ YES ], Protocol: [ udp ]
        Name: [ www.grutuitapostecom.com ], Query Type: [ DNS_TYPE_A ],
            Query Result: [ 66.147.241.45 ], Successful: [ YES ], Protocol: [ udp ]
HTTP Conversations:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
        From ANUBIS:1029 to 8.23.224.90:80 - [ ministerodellosviluppoeconomico.myvnc.com ]
             Request: [ GET / ], Response: [ 200 "Found" ]
        From ANUBIS:1030 to 66.147.241.45:80 - [ www.grutuitapostecom.com ]
             Request: [ GET /Agip/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL22.php ], Response: [ 200 "OK" ]
             Request: [ GET /Agip/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL2_files/offerta.css ], Response: [ 404 "Not Found" ]

 

In ultima analisi e considerazione, a giudicare da qualche errore riscontrato, il meccanismo non sembra (ancora) del tutto a punto ma, attenzione, quella risorsa .php esiste e viene correttamente raggiunta dal client.
Da come è scritta e dalle risorse chiamate in causa sembrerebbe di matrice italiana.

In ogni caso, non dimenticate le regole d’oro:

1) non cliccate sui link che vi giungono via mail ma verificate prima qual è la reale destinazione degli stessi.
2) aggiornate sempre i vostri sistemi (sia il sistema operativo che le componenti off-the-shelf come java e prodotti adobe integrati con il browser – plugin flash, acrobat, etc).
3) se avete raggiunto quel link effettuate una scansione totale del vostro dispositivo con un tool antivirus/antimalware aggiornato.

****************** UPDATE 1/6/13 ***************************

Ne stanno girando altre versioni con il testo leggermente più curato e credibile.

Stessa struttura, stesso ddns proviver (No-IP.com) questa volta con servebeer.com (ministeroeconomico.servebeer.com).

Questa volta non si appoggia a grutuitapostecom.com ma a un sito gratuito su altervista (mnsit.altervista.org).

Be Sociable, Share!