giovedì 28 agosto 2008

Interessante mail di phishing ai danni della Banca Popolare del Lazio

Ricevuta una 'interessante', mail di phishing ai danni della Banca Popolare del Lazio che si discosta dalle mails simili per la tecnica utilizzata nel creare il sito di phishing

Questa la mail, scritta in un italiano abbastanza corretto

che linka direttamente al sito di phishing attraverso questo indirizzo web:

http://bplazio.it/?http://194.154.164.100/~bplazio@bplazio-it.com/


La cosa che si nota subito e' la presenza nella URL del reale indirizzo della banca (indicato in giallo nello screenshot), seguita da un indirizzo IP che punta alla pagina di phishing (in rosso).
Come appare chiaro, si sfrutta la possibilita fornita dal sito della banca di poter visualizzare sul browser il contenuto di un indirizzo web aggiunto alla url di seguito a quello originale.

In altre parole, se si crea una URL simile,utilizzando, come esempio, il noto indirizzo del sito ANSA.it ed inserendolo nell'indirizzo web della banca abbiamo la seguente visualizzazione:

In questo caso appare una pagina che presenta nella parte superiore la pagina originale della banca mentre nella parte centrale il sito 'inserito'

Appare chiaro che questo genere di inclusione di frame, in visualizzazione da parte del browser, presenta tutti i rischi collegati ad una maggiore possibilita di mascherare la reale provenienza della pagina che richiede i dati personali di login.

Qui vediamo come ad esempio l'addon Firefox ci segnali un IP appartenente correttamente al sito della banca

quando in realta' ci troviamo su una pagina di phishing hostata in UK

Per il resto si tratta del solito phishing che richiede codici di accesso e che una volta inviati rimanda sul reale sito della banca.

Aggiornamento 29 agosto
Ne parla anche DenisFrati.it in un dettagliato post.


Edgar

3 commenti:

denis frati ha detto...

ehilà Edgard, buffo che alla fine ci si trovi ad affrontare gli stessi casi :-D
Ma sono io che esco un po' dal mio campo e mi immergo nel tuo.
Ma, mi domandavo, alla fine gli utenti imparano, a forza di spiegargliele, o al nostra è aria al vento ? 8-|

Edgar Bangkok ha detto...

Secondo me e' piu' facile che imparino gli utenti 'finali' che chi gestisce i siti.
Anche io avevo visto che si tratta di una vulerabilita' molto vecchia, come hai giustamente segnalato nel tuo post, e che risale al 2007.
Dopo quasi un anno non e stato preso nessun provvedimento per eliminare il problema, ma d'altronde se ad esempio dai una occhiata a qualche sito che si occupa di Xss vedrai che ci sono siti .IT, anche governativi, che continuano ad avere problemi di XSS segnalati da mesi se non da anni ....(.Uno tra i tanti www.innovazione.gov.it ) ma non e' il solo ... :)

Edgar

denis frati ha detto...

Gianni Amato (www.gianniamato.it) mi ha segnalato che da ieri pomeriggio (verso le 15.00) sono stati presi provvedimenti ed il redirect non è più possibile, meno male :-D
Tutto bene quel che finisce bene :-)