giovedì 16 ottobre 2014

Ancora falsi account Google ai danni di utenti IT (16 ottobre)

Sempre molto grande il numero di pagine web che propongono falsi layout di login a servizi webmail ma anche a generici login a servizi forniti in rete da note aziende quali Google, Yahoo , Microsoft ecc...

Di solito queste pagine di phishing sono ospitate su siti compromessi ed in maniera minore su domini creati allo scopo dai phishers.

In questi screenshots vediamo come un semplice form di login, chiaramente fasullo, venga proposto associandolo a multiple mailbox


a Gdrive


ecc....

Si tratta comunque di siti fake dal codice abbastanza semplice e costituito da pochi files e quindi facilmente uploadabili su sito compromesso.

E' il caso di questo sito compromesso


su IP 


che presenta incluso questo semplice  phishing di cui vediamo la struttura


con anche la presenza del KIT di phishing lasciato online.

Questa la fake pagina di phishing ai servizi Google in lingua italiana


molto simile all'originale


e che acquisisce le credenziali di accesso a Google.
Una volta confermato il falso login si viene linkati al reale sito Google in lingua inglese.


Come visto in precedenza e' presente il KIT di phishing che possiamo analizzare.
Si tratta di file zip contenente i files che costituiscono il clone Google e che vediamo in dettaglio


Questo il source del file php che esegue l'invio delle credenziali sottratte 


Come curiosita' si nota che sia il testo costituente l'indirizzo mail a cui vengono inviate le credenziali che del testo presente nel codice ricercato in rete, parrebbe essere in lingua nigeriana.

Come sempre scopo di questo genere di phishing che risulta negli ultimi mesi essere una importante percentuale sul phishing totale in rete, e' quello di acquisire indirizzi mail validi da utilizzare in campagne di spam ma, cosa piu' importante, accedere in maniera fraudolenta a mailbox ma anche altri servizi online.
Ad esempio l'accesso all'account Google riguarda non solo la webmail ma anche Gplus, Gdrive e documenti condivisi ecc... senza considerare che frequentemente la stessa password viene usata dagli utenti Internet per accedere a piu' servizi  sensibili come home banking ecc... 

Edgar

venerdì 3 ottobre 2014

Nuovo phishing ai danni di azienda IT di telefonia segnalato sul 'DB segnalazioni phishing e malware' del blog (2 ottobre)

Ricevuta, da parte di un lettore del blog, che ringrazio,  una nuova segnalazione di phishing ai danni di nota azienda italiana di servizi di telefonia mobile, telefonia fissa e Internet.
Si tratta sempre delle solite pagine fake che attraverso falsi form di 'ricarica online' tentano di acquisire dati personali e di carta di credito.
Il messaggio mail, con qualche errore nel testo,  ricalca quelli gia' visti in passato, con utilizzo di testo ingannevole e promessa di forti sconti 

….................  Ricarica il tuo numero di telefono
Accedi al servizio per ottere con solo 20 euro di spesa,una
ricarica omaggio del valore di 50 euro, accesso a internet per 5
GB, 1000 minuti di chiamate verso tutti.!!!
Approfittane, offerta limitata fino a esaurimento schede
prepagate.................

Dal punto di vista della struttura del phishing segnalato oggi, e' interessante osservare come, specialmente negli ultimi mesi, si tenda ad utilizzare cloni di phishing posizionati su siti compromessi raggiungibili dopo una lunga sequenza di redirects.

In altre parole non ci troviamo piu' di fronte al consueto singolo redirect che sfruttando un codice incluso su sito compromesso puntava al clone di phishing, ma a numerosi reindirizzamenti che si interpongono tra link presente in mail e destinazione finale (form di phishing)

Tra i vantaggi che i phishers ottengono c'e' sicuramente la possibilita' di mascherare meglio l'url di phishing onde evitare che venga messa in blacklist, ma anche, se viene messo offline uno dei redirect intermedi , di avere maggiori alternative nel variare il percorso al phishing, riattivando cosi' il clone.
Altra caratteristica molto diffusa ultimamente e' quella di includere nella url, sequenze casuali di testo che variano ad ogni caricamento della pagina fake, rendendo cosi' inutile la notifica in blacklist dell'indirizzo del clone di phishing, in quanto sempre diverso.
Inoltre pare esserci un incremento nell'uso di servizi free online di url shortening o che comunque possono essere configurati per questo tipo di mascheramento della url  (vedi caso segnalato nel precedente post


ed anche di servizi (spesso free) che permettono di creare subdomini, partendo da elenchi di domini disponibili, che vengono fatti poi puntare a differente indirizzo di sito compromesso ospitante il clone

Vediamo alcuni dettagli:

Questo un report relativo alla connessione al clone partendo dalla url del link presente nell'odierna mail 


dove notiamo l'elevato numero di redirects,evidenziati in colore.

Se andiamo a verificare gli IP coinvolti in questo phishing, ecco invece la lunga sequenza di server coinvolti:





Informo che, come accade in questi casi, la segnalazione sul db del blog e stata inoltrata a chi si occupa di contrasto a questo specifico genere di phishing, cosa che ha permesso di verificare la messa OffLine del clone dopo circa un'ora dalla sua segnalazione.

 Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

lunedì 29 settembre 2014

Dal DB segnalazioni del blog. Ancora phishing ai danni di azienda IT di telefonia ed uso del sito Linkbucks come servizio di URL shortening (29 settembre)

Segnalato sul db segnalazioni di questo blog, da un lettore che ringrazio, l'ennesimo caso di phishing ai danni di azienda italiana di telefonia.

Per quanto riguarda il layout del clone si tratta delle consuete pagine con form con richiesta di credenziali di carta di credito a fronte di una fake ricarica telefonica e di password Verified by VISA con redirect finale al sito legittimo.

Piu' interessante la struttura del phishing con l'utilizzo di redirect e uso di dyndns per puntare al clone ospitato su sito probabilmente compromesso con dominio giapponese.
Il lettore evidenzia infatti l'uso di Linkbucks per gestire il primo redirect di phishing:

Non ho capito come funziona questo monetizzatore di link:
https://www.Linkbucks.com/
Linkbucks allows you to make cash from the links your users post, from the links you place on your website, or from the posts you make in a forum. It is simple and easy to get started making money
Comunque e' il secondo messaggio in un paio di mesi che si serve di questo sito.  
Linkbucks e' un sito che propone la creazione di url con alias scelto da questo elenco


che redirigono ad indirizzo scelto a sua volta dall'utente.
Linkbucks, usa il redirect per inserire sue pagine pubblicitarie 


prima di puntare al sito indicato dall'utente.

A fronte di questa pubblicita' Linkbucks paga una somma, variabile da dominio a dominio (esiste un elenco con i diversi importi), per ogni click che sfrutti appunto il link di redirect che abbiamo creato. 
Appare evidente che l'utilizzo di questa modalita' di Linkbucks non sarebbe pratico per i phishers che vedrebbero della pubblicita' inserita tra il link in mail ed il clone ma, in effetti esiste un'altra possibilita' di utilizzo di Linkbucks e cioe' quella, piu' tradizionale, di URL shortening.


Ecco infatti che e' possibile utilizzare


dove si evidenzia che in tal caso si tratta di links ...non paid … quindi senza ritorno economico per chi li posta ma anche, e questo e' importante per i phishers, ...without advertising … ossia senza pubblicita' 'intermedia' tral links e sito finale.
In pratica Linkbucks e' usato come sito di URL shortening come se ne trovano diversi in rete.


Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.