lunedì 29 settembre 2014

Dal DB segnalazioni del blog. Ancora phishing ai danni di azienda IT di telefonia ed uso del sito Linkbucks come servizio di URL shortening (29 settembre)

Segnalato sul db segnalazioni di questo blog, da un lettore che ringrazio, l'ennesimo caso di phishing ai danni di azienda italiana di telefonia.

Per quanto riguarda il layout del clone si tratta delle consuete pagine con form con richiesta di credenziali di carta di credito a fronte di una fake ricarica telefonica e di password Verified by VISA con redirect finale al sito legittimo.

Piu' interessante la struttura del phishing con l'utilizzo di redirect e uso di dyndns per puntare al clone ospitato su sito probabilmente compromesso con dominio giapponese.
Il lettore evidenzia infatti l'uso di Linkbucks per gestire il primo redirect di phishing:

Non ho capito come funziona questo monetizzatore di link:
https://www.Linkbucks.com/
Linkbucks allows you to make cash from the links your users post, from the links you place on your website, or from the posts you make in a forum. It is simple and easy to get started making money
Comunque e' il secondo messaggio in un paio di mesi che si serve di questo sito.  
Linkbucks e' un sito che propone la creazione di url con alias scelto da questo elenco


che redirigono ad indirizzo scelto a sua volta dall'utente.
Linkbucks, usa il redirect per inserire sue pagine pubblicitarie 


prima di puntare al sito indicato dall'utente.

A fronte di questa pubblicita' Linkbucks paga una somma, variabile da dominio a dominio (esiste un elenco con i diversi importi), per ogni click che sfrutti appunto il link di redirect che abbiamo creato. 
Appare evidente che l'utilizzo di questa modalita' di Linkbucks non sarebbe pratico per i phishers che vedrebbero della pubblicita' inserita tra il link in mail ed il clone ma, in effetti esiste un'altra possibilita' di utilizzo di Linkbucks e cioe' quella, piu' tradizionale, di URL shortening.


Ecco infatti che e' possibile utilizzare


dove si evidenzia che in tal caso si tratta di links ...non paid … quindi senza ritorno economico per chi li posta ma anche, e questo e' importante per i phishers, ...without advertising … ossia senza pubblicita' 'intermedia' tral links e sito finale.
In pratica Linkbucks e' usato come sito di URL shortening come se ne trovano diversi in rete.


Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

domenica 21 settembre 2014

Dal DB segnalazioni del blog. Falsa pagina di login a servizio Google drive e webmail (20 settembre)

Segnalato sul db segnalazioni di questo blog, da un lettore che ringrazio, l'ennesimo caso di fake login a servizi Google.

Questo il testo della mail che rivela come si tenti di incuriosire chi la ricevesse  per indurlo a loggarsi sulla fake pagina creata allo scopo.


Il layout e' simile ad altri gia' visti in passato, e mostra non solo la possibilita' di accesso a servizi Google ma anche ad altri tra i piu' diffusi servizi di webmail.
In effetti il layout ha fatto riferimento in passato a servizi webmail, ma viene usato nel caso odierno per far credere di loggarsi a Google Drive (vedi anche logo Google drive presente in mail)


L'accesso alla fake pagina avviene tramite link di redirect


ospitato su sito che, caricando la homepage, mostra l'evidente compromissione dello stesso


Per quanto si riferisce al clone Google, questo il contenuto del folder con i files immagine costituenti il layout della fake pagina di login


Contrariamente ad altre volte, nelle quali dopo l'immissione delle credenziali di login, si veniva rediretti a legittimo sito, questa volta abbiamo una lunga serie di messaggi che vogliono rendere piu' credibile il phishing, evidenziando una connessione a server Google con problemi








Al termine si viene poi rediretti su legittima pagina Google.

Come gia' indicato in numerosi post che trattano di fake pagina di login a webmail, lo scopo dei phishers e' quello di acquisire il maggior numero di accessi legittimi a mailbox, G.drive ecc... per poi utilizzarli in azioni di spam, di distribuzione malware o phishing, ma anche di furto di dati personali che potrebbero essere sottratti accedendo alla  mailbox compromessa.
Si consideri anche che sono in molti ad utilizzare la medesima password di accesso a piu' servizi WEB, facendo diventare il rischio di vedersi sottratti dati personali per chi avesse 'fornito' le credenziali di login alla propria webmail, ancora piu' elevato.
Da considerare infine che numerosi servizi offerti in rete, come ad esempio proprio quelli di Google, utilizzano lo stesso login per accedere non solo a webmail, ma anche altri servizi aumentando la quantita' di dati personali e sensibili che potrebbero essere acquisiti dai phishers. 

Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

sabato 13 settembre 2014

Messaggio di posta elettronica certificata (PEC) con allegato malware (13 settembre)

Ricevuta questa mail


con layout che parrebbe essere quello di mail PEC (Posta elettronica certificata).
Naturalmente l'oggetto dell'allegato fa subito pensare all'ennesima distribuzione di malware sotto forma di eseguibile contenuto in file .zip.

L'analisi degli headers mail mostra 


con entrambi gli IP su range italiano.
In particolare il primo IP parrebbe essere localizzato come


mentre il secondo confermerebbe che il messaggio mail e' transitato in relay.cert.legalmail.it, .


e quindi che si tratta di reale messaggio PEC 

Una ricerca del mittente mail presso il sito del 'Ministero dello Sviluppo Economico' https://www.inipec.gov.it/ conferma l'esistenza dell'indirizzo PEC utilizzato


,indirizzo mail che trova riscontro anche nella  ricerca sul sito dell'Ordine Professionale di appartenenza del mittente  


Questo l'allegato mail 


con l'eseguibile presente all'interno del file .ZIP e che VT vede come


con riconoscimento abbastanza basso da parte dei softwares antivirus


Naturalmente il fatto che il messaggio si presenti come mail PEC aggiunge una maggiore credibilita' ai contenuti allegati, cosa che potrebbe convincere chi lo riceve che si tratta di un autentico allegato di file immagine (foto.scr).

Per quanto riguarda il fatto che si sia usata una probabile legittima mail certificata per lo spam malware ci sono diverse possibilita'.
Sicuramente non e' da escludere il fatto che le credenziali di accesso alla mailbox PEC siano state acquisite attraverso azione fraudolenta di phishing (di falsi login di phishing a mailbox fake ne vediamo online a centinaia ogni giorno) e siano poi state utilizzate per l'invio dello spam malware.
Da notare come l'invio del messaggio risulti effettuato a 10 diversi indirizzi mail tra  cui quello di una mailbox del blog usata nell'analisi dello spam.

Tra l'altro la geo-localizzazione del primo IP utilizzato e visibile nell'header mail e' abbastanza  'distante' dal luogo del nord Italia dove parrebbe essere residente il mittente PEC e la sua attivita' professionale.

Edgar