Discussione Phishing Poste Italiane

Ordina per data Ordina commenti per reazioni
S

Symon_RS

Utente Gold
8 Agosto 2016
680
15
199
201
Ciao a tutti,
sullo smart ho l'applicazione di poste italiane per poter gestire una postepay.

Oggi mi è arrivato un messaggio dal numero di poste italiane, lo stesso numero usato per comunicarmi di solito gli OTP e altre notifiche riguardo la carta.
Il messaggio conteneva il seguente testo:
"Gentile cliente, la tua Postepay è stata limitata preventivamente, riattivala ora confermando le tue informazioni presso: https://po.steitalia.online"

Ovviamente, sia per il messaggio che per l'url mi è subito puzzato.
La conferma l'ho avuta visitando il link che mi ha portato sul sito dovidschick.com/wp-content/axedi/axedi.php?id=...

Incuriosito dalla cosa ho preso il PC per iniziare a spulciare e mi sono accorto che tentando di visitare i 2 url la pagina faceva un redirect 302 al sito della rai.

Ho provato cosi ad incollare l'url in un messaggio Whatsapp e anche il loro lookup da come anteprima il sito della rai.
Visitando il link con un altra dispositivi mobili invece, vengo reindirizzato a google news.

In sostanza solo provenendo dal mio dispositivo anche omettendo l'id che c'era come parametro get nell'url originale riesco a vedere il sito scam di poste italiane.

Non ho avuto tempo di approfondire meglio ma vorrei riuscire a capire quali parametri utilizzano per effettuare la discriminazione e poter smanacciare un po con il sito da PC simulando quelle condizioni di navigazione.

Spero che possiate aiutarmi a scoprire di più.
 
  • Mi piace
Reazioni: TheWorm91, LinuxUser e 0xbro
Symon_RS ha detto:
Ciao a tutti,
sullo smart ho l'applicazione di poste italiane per poter gestire una postepay.

Oggi mi è arrivato un messaggio dal numero di poste italiane, lo stesso numero usato per comunicarmi di solito gli OTP e altre notifiche riguardo la carta.
Il messaggio conteneva il seguente testo:
"Gentile cliente, la tua Postepay è stata limitata preventivamente, riattivala ora confermando le tue informazioni presso: https://po.steitalia.online"

Ovviamente, sia per il messaggio che per l'url mi è subito puzzato.
La conferma l'ho avuta visitando il link che mi ha portato sul sito dovidschick.com/wp-content/axedi/axedi.php?id=...

Incuriosito dalla cosa ho preso il PC per iniziare a spulciare e mi sono accorto che tentando di visitare i 2 url la pagina faceva un redirect 302 al sito della rai.

Ho provato cosi ad incollare l'url in un messaggio Whatsapp e anche il loro lookup da come anteprima il sito della rai.
Visitando il link con un altra dispositivi mobili invece, vengo reindirizzato a google news.

In sostanza solo provenendo dal mio dispositivo anche omettendo l'id che c'era come parametro get nell'url originale riesco a vedere il sito scam di poste italiane.

Non ho avuto tempo di approfondire meglio ma vorrei riuscire a capire quali parametri utilizzano per effettuare la discriminazione e poter smanacciare un po con il sito da PC simulando quelle condizioni di navigazione.

Spero che possiate aiutarmi a scoprire di più.
Clicca per espandere...
La discriminante sembra essere l'User-Agent. Attualmente sono da PC ma usando User-Agent: Mozilla/5.0 (Linux; Android 11) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.120 Mobile Safari/537.36 atterro sulla pagina phishing di Poste Italiane. Se uso quello di default di mozilla invece finisco sulla Rai
 
  • Geniale
Reazioni: LinuxUser
Symon_RS ha detto:
E' un ottima tecnica per quanto semplice. Se segnalato passerebbe un controllo superficiale.
Clicca per espandere...
Yes, non è la prima volta che mi capita di vedere una cosa del genere ma devo dire che per quanto semplice è sempre molto efficace, soprattutto per evitare la detection di bot/sandbox e meccanismi di questo tipo
 
Non ho ben capito di che tipo di phishing si tratta, qualcuno potrebbe spiegarmelo ?
Messaggio unito automaticamente:

O che tecniche hanno utilizzato
 
Higher A ha detto:
Non ho ben capito di che tipo di phishing si tratta, qualcuno potrebbe spiegarmelo ?
Messaggio unito automaticamente:

O che tecniche hanno utilizzato
Clicca per espandere...
nulla di che, avevano copiato una pagina delle poste in cui ti facevano mettere la password e te la rubavano. La particolarità è che in base allo User Agent con cui ti presentavi, in alcuni casi ti indirizzavano verso il sito della rai (non so per quale motivo, se per sviare eventuali analisi o per altro).

Il sito di phishing però non esiste più, il dominio in fatti è in vendita
 
La cosa preoccupante è che il messaggio di phishing sia arrivato dal numero che di solito usa posteitaliane per comunicare gli otp, quindi a regola un numero affidabile.

Tempo fa successe anche a me sempre dal numero delle poste con un messaggio sospetto tipo "gentile cliente le sue utenze saranno sospese per mancati pagamenti ecc.. e un link di phishing tipo rivedipss5.live".
Immagino avranno spoofato il numero che invia le comunicazioni via sms, qualcuno saprebbe dirmi di più?
 
TheWorm91 ha detto:
Immagino avranno spoofato il numero che invia le comunicazioni via sms, qualcuno saprebbe dirmi di più?
Clicca per espandere...
Sì, molto probabilmente si è trattato di spoofing del numero delle poste.

Sto provando a cercare online eventuali PoC o articoli tecnici al riguardo.
Per ora ho trovato molto interessante questo post su GitHub, anche se per exploitarlo era necessario installare un APK malevola che potesse interagire con l' SmsReceiverService:
github.com

GitHub - thomascannon/android-sms-spoof: PoC app which takes advantage of Android's SmsReceiverService being exported to fake an incoming SMS with no permissions.

PoC app which takes advantage of Android's SmsReceiverService being exported to fake an incoming SMS with no permissions. - thomascannon/android-sms-spoof
github.com github.com
 
  • Mi piace
Reazioni: TheWorm91
0xbro ha detto:
Sì, molto probabilmente si è trattato di spoofing del numero delle poste.

Sto provando a cercare online eventuali PoC o articoli tecnici al riguardo.
Per ora ho trovato molto interessante questo post su GitHub, anche se per exploitarlo era necessario installare un APK malevola che potesse interagire con l' SmsReceiverService:
github.com

GitHub - thomascannon/android-sms-spoof: PoC app which takes advantage of Android's SmsReceiverService being exported to fake an incoming SMS with no permissions.

PoC app which takes advantage of Android's SmsReceiverService being exported to fake an incoming SMS with no permissions. - thomascannon/android-sms-spoof
github.com github.com
Clicca per espandere...
Ho trovato un articolo molto interessante:
akaki.io

Analysis and Reproduction of Spoofed SMS-DELIVER

As past articles 1 (in Japanese) and 2 (in Japanese) have indicated, the originating display name (called the “sender ID”) of the SMS can be spoofed. However, when I reviewed the SMS technical specifications in a previous article, SMS-SUBMIT did not have a field to load the sender ID. How are...
akaki.io akaki.io
 
0xbro ha detto:
Ho trovato un articolo molto interessante:
akaki.io

Analysis and Reproduction of Spoofed SMS-DELIVER

As past articles 1 (in Japanese) and 2 (in Japanese) have indicated, the originating display name (called the “sender ID”) of the SMS can be spoofed. However, when I reviewed the SMS technical specifications in a previous article, SMS-SUBMIT did not have a field to load the sender ID. How are...
akaki.io akaki.io
Clicca per espandere...
Lo sto leggendo, per quel poco che ho capito spiegherebbe come mai il messaggio di phishing appare nella stessa finestra chat dei messaggi legittimi e in che modo viene spoofato l'ID sender.
 

DISCUSSIONI SIMILI

T
Guida Reti Cos'è un attacco DNS cache poisoning o DNS spoofing
  • In evidenza
  • 3
  • 2K
3
2K
Manuali di Hacking e IT-Security
TheWorm91
D
Guida Tutte le tipologie di connessione e le differenze: Adsl, Vdsl, Fibra FTTC o FTTH?
  • 6
  • 848
6
848
Manuali di Informatica e Reti
DjCanigia
Top Bottom
Indietro