Attenzione al Phishing Sogei Banca d’Italia

Phishing Sogei Banca d'ItaliaNon si tratta di ransomware ma vale la pena mettere in guardia i lettori da questa minaccia, altrettanto pericolosa. In questi giorni sta girando una mail di phishing preparata con qualità certosina e su dominio italiano- quindi molto pericolosa – che sembra provenire da “Banca d’Italia – Registrazione F.I.T.D [mailto:[email protected]]” con oggetto “IMPORTANTE! – Istanza di registrazione al FONDO INTERBANCARIO DI TUTELA DEI DEPOSITI” e contenuto che parla di una istanza di registrazione al Fondo Interbancario di Tutela dei Depositi. Il testo della mail di phishing è scritto in italiano corretto e sembra ben fatto, non è stato prelevato da siti web ma probabilmente scritto direttamente dai delinquenti, tanto che risulta facile ritenerla originale:

ISTANZA DI REGISTRAZIONE AL FONDO INTERBANCARIO DI TUTELA DEI DEPOSITI

Alla Vostra Cortese attenzione,

dopo i recenti fatti che hanno visto coinvole alcune banche italiane con la conseguente perdita di ingenti capitali da parte dei risparmiatori, la Banca d’Italia ha reso obbligatoria l’iscrizione al F.I.T.D (Fondo Interbancario di Tutela dei Depositi).

– Cosa e’ il F.I.T.D

Il F.I.T.D e’ un fondo compartecipato dalle banche Italiane, riconosciuto e gestito dalla Banca d’Italia, costituito con lo scopo di fornire una tutela sui soldi dei risparmiatori depositati nelle banche con sede in Italia. Esso costituisce un’assicurazione per i risparmiatori in caso di fallimento o inadempienza da parte della banca, con copertura del 100% del capitale depositato. Pertanto, nel caso in cui la Vostra banca dovesse fallire, don l’iscrizione al F.I.T.D avrete la sicurezza di recuperare l’intero capitale depositato in banca. Dal 15 Settembre 2015, l’iscrizione al F.I.T.D e’ stata resa obbligatoria per tutti i nuovi clienti delle banche Italiane e viene processata automaticamente al momento dell’emissione della Carta di Credito da parte della banca; per tutte le carte di credito emesse prima di tale data, la registrazione deve essere effettuata dal possessore compilando il modulo di Trasmissione Telematica dei Dati della banca d’Italia.
L’iscrizione al F.I.T.D e’ totalmente GRATUITA e NON PREVEDE ALCUN COSTO aggiuntivo alle spese di gestione del vostro conto corrente.

– Come registrarsi al Fondo Interbancario di Tutela dei Depositi

Per registrarsi al F.I.T.D vi bastera’ compilare online(non e’ necessario l’invio di alcuna documentazione) il modulo di Trasmissione Telematica dei Dati sviluppato da Sogei S.p.A, azienda Italiana leader nel settore della trasmissione sicura di dati sensibili, che da anni si occupa di fornire strumenti telematici per la Pubblica Amministrazione.
Dovrete compilare il modulo online con i dati richiesti ed inviarlo tramite l’apposito pulsante; l’operazione richiede circa 10-15 minuti. Il modulo verra’ inoltrato automaticamente alla Banca d’Italia che provvedera’ a verificare i dati da voi inseriti e a procedere automaticamente all’iscrizione al F.I.T.D. Verrete contattati entro 48 ore soltanto se la registrazione NON e’ andata a buon fine.

Per compilare il modulo vi bastera’ cliccare sul link sottostante e inserire, nella pagina in cui verrete reindirizzati il Codice di Registrazione fornito.

CODICE DI REGISTRAZIONE: BCA254W8842 

MODULO DI TRASMISSIONE TELEMATICA DEI DATI

La mail indirizza le vittime su una pagina interna [WBM] del sito www.sogei-spa.it (tra l’altro disponibile anche su https) che mostra una pagina di benvenuto al sistema di Trasmissione Telematica dei Dati di Sogei S.p.A.:

Phishing Sogei Banca d'Italia

Inserendo il codice ricevuto via mail (in realtà qualunque codice viene accettato) si ottiene una pagina che comunica alla vittima che sono in corso le verifiche sul codice inserito, per dare l’impressione di un controllo istituzionale.

Phishing Banca d'Italia sul Fondo Interbancario di Tutela dei Depositi

si ottiene la pagina per la “registrazione al sistema di trasmissione telematica dei dati”:

Phishing Sogei sul Fondo Interbancario per la Tutela dei Depositi

Il testo della pagina di phishing è scritto anch’esso in italiano corretto e i dati richiesti sono decisamente rilevanti e permettono sia il furto del denaro contenuto nella carta di credito inserita (viene richiesto numero, scadenza, codice CVV e persino il token di autorizzazione) sia il furto d’identità (viene richiesto un documento con i dettagli identificativi):

Completi il modulo di registrazione al “Fondo Interbancario di Tutela dei Depositi” con i dati richiesti.
DATI ANAGRAFICI
Nome*: Cognome*: Data di nascita (gg/mm/aa)*: Indirizzo*:
Provincia*: Citta’*: CAP*: Stato*:
Numero di telefono*: Indirizzo email:
DOCUMENTO DI RICONOSCIMENTO DATI CARTA DI CREDITO
Tipo documento*: Numero documento*: Numero carta*: Data di scadenza*:
Data di rilascio*: Data di scadenza*: CVV (Tre cifre sul retro della carta)*:
Codice Fiscale*: Cognome da nubile della madre*:
Dal 2008 tutte le banche hanno adottado, per le carte di credito Visa e Mastercard, il protocollo di autenticazione a due fattori 3D-Secure denominato rispettivamente “Verified by Visa” e “Mastercard Secure Code”. Tale protocollo puo’ essere attivo in tre modalita’ differenti: “Token”(generatore di codici casuali ogni 60 secondi), “OTP via sms”(password casuale e univoca inviata via sms ogni volta che si deve effettuare un’operazione), “Password”(password scelta dal titolare della carta). Se la sua carta partecipa al protocollo 3D-Secure selezioni il riquadro sottostante e scelga, dall’apposito menu’ a tendina, il tipo di autenticazione di cui dispone. Nel caso in cui disponga di autenticazione tramite “Password”, scriva la relativa password nello spazio apposito, negli altri 2 casi (“Token”, “OTP via sms”) si prega di lasciare il campo password vuoto.

Cliccando su “INVIA DATI” autorizza Sogei SpA al trattamento dei dati personali secondo la Legge n.196 del 30 Giugno 2003 vigente in materia.

Al termine della compilazione, compare un messaggio di conferma dell’invio dei dati e si viene rediretti sul sito ufficiale di Sogei.

Phishing Sogei per il FITD

E’ impressionante la qualità con la quale è stato preparato questo phishing, si noti ad esempio che è stato inserito persino un documento PDF con informativa sulla privacy [WBM] che dai metadati risulta essere stato creato con “OpenOffice.org 3.3” in data “2016:02:15 17:54:17+01:00”, quindi diversi giorni fa.

Il dominio sogei-spa.it è stato registrato tre giorni fa presso “One.com” e risulta intestato a un tale “Xxxx Xxxxxx, Xxx X.Xxxxxxx X, Xxxxxxxxx xxxx xxxxxxx, xxxxxx, xx, XX”  [aggiornamento del 9 marzo 2016] una persona che dichiara di aver subito furto d’identità e della quale quindi – per cortesia nei suoi confronti – non riportiamo i dati:

Domain: sogei-spa.it
Status: ok
Created: 2016-02-29 21:03:29
Last Update: 2016-02-29 21:03:30
Expire Date: 2017-02-28

Registrant
Organization: Xxxx Xxxxxx
Address: Xxx X.Xxxxxxx X
Xxxxxxxxx xxxxx xxxxxxx
xxxxx
XX
XX
Created: 2016-02-29 21:03:27
Last Update: 2016-02-29 21:03:27

Admin Contact
Name: Xxxx Xxxxxx
Organization: Xxxx Xxxxxx
Address: Xxx X.Xxxxxxx X
Xxxxxxxxx xxxxx xxxxxxx
xxxxx
XX
XX
Created: 2016-02-29 21:03:27
Last Update: 2016-02-29 21:03:27

Technical Contacts
Name: Jacob Jensen
Organization: One.com
Address: Kalvebod Brygge 45
Copenhagen V
1560
Copenhagen
DK
Created: 2015-02-09 02:04:10
Last Update: 2015-02-09 02:04:10

Registrar
Organization: Ascio Technologies Inc.
Name: ASCIO-REG
Web: http://www.groupnbt.com

Nameservers
ns01.one.com
ns02.one.com

Sul sito Robtex si trovano alcune informazioni interessanti su dominio e indirizzo IP [WBM] come name server, server MX e simili. L’indirizzo IP su cui è ospitato il sito web è 46.30.211.223 e risulta essere anch’esso registrato a One.com:

inetnum: 46.30.208.0 – 46.30.215.255
netname: DK-ONECOM-20100908
descr: One.com A/S
country: DK
org: ORG-OA356-RIPE
admin-c: OC1207-RIPE
tech-c: OC1207-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: onecom-mnt
mnt-routes: onecom-mnt
created: 2010-09-08T08:58:01Z
last-modified: 2010-09-08T08:58:01Z
source: RIPE # Filtered

Phishing Sogei su Trasmissione Telematica dei DatiPer capire quando è stata preparata la pagina di phishing, possiamo basarci su un trucco: richiedere al web server una risorsa statica (es. una immagine) e leggere negli gli header http la data che ci restituisce. Se proviamo ad aprire l’immagine con il logo Sogei [WBM] otteniamo i seguenti header HTTP, che ci informano che l’immagine è stata caricata ieri, 2 marzo 2016, alle ore 03:33:21 GMT.

Date: Thu, 03 Mar 2016 15:07:06 GMT
Server: Apache
Last-Modified: Wed, 02 Mar 2016 03:33:21 GMT
Etag: “c0a47c0e-1068a-52d088b2de1ba”
Content-Length: 67210
Content-Type: image/png
X-Varnish: 61974407 270468404
Age: 1834
Via: 1.1 varnish-v4
Accept-Ranges: bytes
Connection: keep-alive

Fortunatamente già in giornata il dominio sogei-spa.it è entrato nella blacklist di Google Safe Browsing e Avast Online Security, così da ridurre in modo notevole le vittime fino a che il dominio e l’hosting non sarà disabilitato.

Phishing Sogei su Avast Online Security

Phishing Sogei su Google Safe Browsing

Procederemo ora ad avvisare Sogei e l’hosting One.com per chiedere la chiusura del sito di phishing, chi avesse maggiori informazioni è libero di commentare e contribuire con le sue idee. Ringrazio infine l’amico Stefano Capaccioli per la segnalazione di questo raffinato phishing Sogei Banca d’Italia a danno degli utenti italiani.

Update ore 22:05

Il sito di phishing è giù da pochi minuti.

Sogei Phishing Down

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.