Analizzando una campagna di scam ai danni dell’Organizzazione Mondiale della Sanità, Group-IB scopre un intero consorzio di scammer che si avvale di strategie di diffusione multilivello per carpire i dati di oltre 200.000 utenti al giorno
In genere si associa al cybercrimine solo la punta dell’iceberg, ovvero attacchi informatici diretti condotti a scopo di lucro contro multinazionali, aziende rinomate, organizzazioni statali. Tuttavia, i criminali sfruttano sempre più spesso marchi noti per incanalare gli utenti online su siti fraudolenti allo scopo di carpirne i dati personali. E’ questo il caso di campagna di scam multilivello lanciata in occasione della giornata mondiale della salute, prontamente identificata da Group-IB, azienda di caratura globale specializzata nell’investigazione di crimini informatici ad alto contenuto tecnologico, e notificata lo stesso 7 aprile al Centro Informatico Internazionale delle Nazioni Unite (UNICC).
La campagna
Group-IB ritiene che un collettivo di scammer (nome in codice DarkPath) sia l’artefice di una rete distribuita di ben 134 siti ingannevoli che si presentavano sotto le mentite spoglie dell’Organizzazione Mondiale della Sanità e, in occasione della giornata mondiale della salute, invitavano i visitatori a rispondere a poche semplici domande per beneficiare di una ricompensa di € 200. Ma non solo: Una volta fornite le risposte, agli utenti veniva richiesto di condividere il link con i propri contatti di WhatsApp, una tattica con cui i truffatori intendevano garantire una diffusione virale dei siti ingannevoli. Agli utenti venivano altresì proposti falsi commenti su Facebook in merito alle ricompense ricevute dai commentatori. Una volta condiviso il contenuto, le vittime hanno inconsapevolmente coinvolto famiglia e conoscenti nella truffa e, invece di ricevere la ricompensa promessa, venivano reindirizzati a risorse fraudolente di terze parti che invitavano a partecipare ad un ulteriore gioco a premi. A questo punto del processo gli utenti venivano indirizzati su siti d’incontri, avrebbero installato inavvertitamente un’estensione del browser, o sottoscritto servizi a pagamento. Nel peggiore dei casi, gli utenti sarebbero finiti su un sito web maligno o di phishing. Oltre alla natura multilivello della campagna, che ne complica l’identificazione, alle vittime venivano naturalmente proposti contenuti personalizzati in base alla geolocalizzazione, al client impiegato e alle impostazioni linguistiche. Ad esempio, la valuta del premio era differente a seconda dell’ubicazione dell’utente.
Quale contatto di fiducia per questioni di cyber threat intelligence all’interno dell’ecosistema delle Nazioni Unite, il team di Group-IB preposto alla tutela contro i rischi digitali non solo ha informato l’UNICC ma ha chiuso nelle 48 ore seguenti tutti i domini fasulli.
Screenshot della piattaforma Group-IB per la tutela contro i rischi digitali
che mostra la rete di siti fasulli che impersonavano l’OMS
Espedienti tecnici di scarso valore
Ulteriori investigazioni condotte da Group-IB hanno rivelato che i 134 domini identificati e bloccati facevano parte di una rete di siti ingannevoli di dimensioni ancora maggiori ascritta ad un singolo consorzio di scammer. Nello specifico una rete di almeno 500 ulteriori siti fasulli e di phishing che si presentavano sotto le mentite spoglie di 50 notissimi marchi nel settore alimentare, dell’abbigliamento sportivo, e-commerce, software, automotive e utility elettriche. Dall’analisi dei vari siti è risultato anche che i cybercriminali si sono avvalsi di kit per lo scam. Come nel caso dei kit per il fishing, questo tipo di strumento consente di sviluppare e creare rapidamente più pagine fraudolente impersonando più brand contemporaneamente attraverso lo stesso template.
L’analisi dell’infrastruttura impiegata ha rivelato che la maggior parte dei siti con contenuti di phishing o scam si avvalevano delle cosiddette reti per l’erogazione di contenuti (Content Delivery Networks – CDN) per camuffare il vero indirizzo IP dei propri server. Grazie al sistema proprietario di analisi grafica i ricercatori di Group-IB hanno potuto analizzare dozzine di certificati SSL, chiavi SSH e DNS e sono stati in grado di tracciare l’intera infrastruttura fraudolenta, identificare gli indirizzi reali dei server su cui era archiviato il contenuto di phishing e collegare tutti i domini ad una singola rete di distribuzione di scam. Da notare peraltro che i cybercriminali avevano utilizzato la stessa infrastruttura e quindi distribuito gli stessi errori di configurazione su tutti i server. A fronte dell’azione congiunta di Group-IB e UNICC gli scammer hanno immediatamente interrotto su tutti i siti del network le attività condotte sotto le mentite spoglie dell’OMS. Tuttavia, Group-IB continua a monitorare l’attività del consorzio DarkPath Scammers. Gran parte dei loro siti sono tuttora attivi e ricevono visite da milioni di utenti in tutto il mondo grazie a campagne di spam e pubblicitarie (a pagamento) e social network. Secondo le stime di Group-IB, l’intera rete attrae quotidianamente circa 200.000 utenti dagli Stati Uniti, l’India, la Russia e numerosi altri Paesi.
Per evitare di finire nella trappola di questi truffatori, gli utenti online dovrebbero esaminare attentamente il sito web che visitano. Non è mai una perdita di tempo controllare se il link su cui si clicca è identico al dominio del sito ufficiale dell’organizzazione – i cybercriminali spesso registrano nomi di dominio che richiamano quelli ufficiali. Chiunque voglia tenere al sicuro i propri dati personali e il proprio denaro dovrebbe prendere l’abitudine di essere sempre sospettoso di qualsiasi sito web in cui intende inserire i propri dati.
Proteggere il proprio marchio con i giusti strumenti
Group-IB è stata ed è molto lieta di collaborare con l’UNICC per individuare e rimuovere truffe ai danni di utenti che credono di aver a che fare con siti web legittimi. Eppure, a differenza di UNICC, sono ancora molte le organizzazioni che ancora sottovalutano l’impatto di queste truffe sui loro affari e sul loro rapporto con la clientela. La maggior parte delle aziende che affronta il rischio di abuso del proprio marchio trascura il crescente utilizzo di truffe a più livelli e infrastrutture distribuite. I cybercriminali utilizzano tecnologie avanzate intelligenti e hanno sempre più spesso successo a fronte della carenza, presso i proprietari di un dato marchio, di un monitoraggio completo e costante delle risorse digitali. Spesso, infatti, si monitorano solo singole violazioni del marchio, come pagine fittizie e domini impiegati a scopo di phishing, ma si trascurano altri elementi dell’infrastruttura fraudolenta. “Soluzioni come Digital Risk Protection di Group-IB identificano e rimuovono tempestivamente tutte le risorse online che violano il marchio già in fase pre-processuale, senza la necessità di ulteriori investimenti o lunghe controversie” spiega Giulio Vada, Regional Sales Manager di Group-IB per l’Italia.
