venerdì 1 maggio 2009

Il falso PDF del phishing ai danni di Banca Intesa S.Paolo

Ricevuta mail di phishing che questa volta prende di mira il gruppo bancario Banca Intesa San Paolo


Come si nota subito dalla mail, questa non esiste un link a sito di phishing, ma viene proposto un allegato con alcune interessanti caratteristiche non molto comuni per phishing di questo tipo.

Intanto, come curiosita', possiamo notare in fondo al messaggio mail una scritta che vorrebbe rassicurare sulla autenticita' della mail stessa anche se in effetti il testo scritto in italiano non appare del tutto corretto.

Molto piu importante e' invece l'allegato codice htm che presenta una doppia estensione PDF.HTM e che cerca quindi di simulare il file come documento PDF.


Per fare questo si e' ingegnosamente creata una immagine di sfondo (evidenziata in giallo nello screenshot), per far apparire la pagina html allegata come se in effetti stessimo visualizzando un documento pdf attraverso il lettore pdf integrato del browser.

Ecco un dettaglio della immagine di sfondo che simula le barre presenti quando si usa il lettore Adobe Reader nel browser


L'immagine di sfondo

viene caricata dal sito www(dot)sanpaolo(dot)us hostato su Yahoo, sito che gestisce anche l'acquisizione dei dati inseriti dall'utente Banca Intesa S.Paolo che malauguratamente cadesse nel tranello del falso documento pdf.

Per quanto si riferisce al testo notiamo alcuni errori di italiano che dovrebbero mettere sull'avviso chi volesse compilare il modello.
L'immagine della carta di credito presente nel falso form e' invece acquisita dal reale sito monetaonline.it

Approfondendo un poco piu' l'analisi del sito che si occupa di gestire il phishing si puo' notare al suo interno, ad esempio, la presenza di questo folder temporaneo utilizzato probabilmente per gestire l'acquisizione dei dati di login inseriti nel falso pdf e dove si nota che ad ogni nuovo inserimento dati sul form viene generato un file temporaneo e modificata la data presente.

Basandosi su questo si potrebbe dedurre che al momento gia' almeno un centinaio di utenti hanno utilizzato il form allegato alla mail di phishing anche se chiaramente, si spera, potrebbe siano risposte con dati non reali.

Questo diverso sistema di proporre un form sotto forma di PDF fasullo allegato, tenta quindi di ingannare chi riceve la mail attraverso una procedura abbastanza inusuale rispetto alle abituali mail di phishing.

Visto che in generale si pone l'attenzione su siti online di phishing questo nuovo genere potrebbe quindi rappresentare un certo rischio per chi ricevesse la mail ed aprisse l'allegata pagina che in realta' abbiamo visto tenta di presentarsi come un documento PDF.

Edgar

Nessun commento: