venerdì 23 maggio 2008

Nuovi falsi siti online, Castlecop e qualche dubbio sulla sicurezza dei dati utente privati del relativo forum.

Sunbelt blog segnala la presenza in rete di una serie di falsi siti che potrebbero essere utilizzati per azioni di cattura di password, distribuzione malware ecc... anche se al momento l ' ipotesi piu' reale sembra quella di favorire l'indicizzazione di vari links contenuti all'interno delle pagine.

In particolare vengono 'riprodotti' chiaramente su diversa url siti tra i quali troviamo quello di Castlecops che, per chi si interessa di malware , e' certamente uno dei siti piu' conosciuti e visitati e che a mio avviso pone qualche problema in piu' della sola presenza di un sito fake.

Ecco il sito copia di Castlecops

all'indirizzo

Come si vede, nella parte bassa della pagina compaiono dei links che, naturalmente, non sono presenti sul sito orginale di Castlecops.

ed il codice sorgente

Questo il sito originale di Castlecops che dimostra come il falso sito lo riproduca perfettamente


A questo punto pero' si affaccia il dubbio sulla sicurezza dei dati gestiti dal reale sito di Castlecop
Mi spiego meglio; il sito fake che abbiamo visto ora oltre a riprodurre esattamente Castlecop permette anche di visitare il relativo forum.
Ad esempio ho cercato un mio recente post e come si vede risulta presente ed e' esattamente la copia di quello presente sul sito originale avatar compreso


Ora c'e' da chiedersi se i dati privati presenti nei profili degli utenti siano esposti a qualsiasi probabile tentativo di acquisizione da parte di malintenzionati in quanto se andiamo a visitare la scheda personale di chi e' registrato al forum questa appare , anche in questo caso come l'originale, ed anche se siamo su mezzicodec (dot) net

C'e' da dire che l'idea che tutto il forum , schede utenti compresi, sia stato duplicato su mezzicodec(dot)net pone molti dubbi sulla sicurezza di tutto il sistema.

E' vero che probabilmente si e' eseguita solo una copia delle varie pagine ma e' anche chiaro che se il forum fasullo funziona come l'originale, (non ho provato il login per chiari motivi :) ) potrebbe trattarsi non solo di semplice copia di pagine web ma di ben altro.
Inoltre paswords e login dovrebbero essere criptati e non accessibili (forse) da chi amministra il forum ma ad esempio indirizzi emails ecc.... potrebbero essere duplicati ed eventualmente utilizzati ?

Tra l'atro un post scritto adesso su Castlecop , proprio al riguardo di questa news, non compare sul sito fake che quindi parrebbe trattarsi di una copia e non sfruttare un qualche sistema che reindirizzi , in maniera nascosta, sul reale forum quando dal falso sito si vogliono consultare gli utlimi post scritti.

Un altro sito conosciuto e riprodotto in tutti i dettagli e' questo dell'ESA (Agenzia Spaziale Europea)


che come si vede riporta nel codice una serie di links a siti di film scaricabili online ed anche ad un sito di passwords.
Ecco il sito ESA originale


Altri siti riprodotti che si trovano sullo stesso IP (207.226.177.250) appartenente ad un noto range di server pericolosi.

pepato(dot)org che carica un fake sito di dvdplanet.com
slim-cash(dot)com che carica un fake sito di Allposters.com
spyware-wiper(dot) com che carica un fake sito di pcworld.com
Cpaypal(dot)com che carica un fake sito di AboutPayPal.org

Anche se al momento lo scopo principale sembrerebbe quello di promuovere links a siti di films, dvd online, ma anche come si e' visto di crack e password ecc.. non e' da escludere che vengano utilizzati per catturare password di chi, non rendendosi conto del reale links , si loggasse es. a Castlecops ed inoltre rimane il dubbio sul possibile problema derivato dalla copia integrale del sito compreso il forum e dati degli utenti ad esso collegati.

Inoltre, non e' da escludere che possano in seguito essere utilizzati per diffondere malware attraverso l'inserimento negli stessi di codici pericolosi o links a pagine malware.


Edgar

Nessun commento: