mercoledì 30 settembre 2009

Nuovamente Banca Sella e CartaSI coinvolte in siti di phishing (agg.30 settembre)

Sono solo passate poche ore dalla precedente segnalazione di phishing ai danni di Banca Sella che abbiamo online un nuovo sito di phishing con date di registrazione del dominio che dimostrano una intensa attivita' ai danni di questa banca italiana.

La struttura del sito e le modalita' del phishing sono simili a quelle gia' viste nei post precedenti

ed indicano una probabile origine comune del KIT di phishing.

Un whois del dominio, dal nome ingannevole punta, al solito server UK gia' utilizzato in passato per hostare numerosi siti di phishing.

Questa invece una mail ai danni di CartaSI


il cui messaggio (che tratta del servizio Verified by VISA) e' costituito da una immagine hostata sul medesimo server

che effettua anche il redirect

e che presenta whois francese

Mentre il sito finale di phishing CartaSI e' hostato su sito russo

Edgar

Ancora phishing Banca Sella (30 settembre)

Continua la presenza in rete di siti di phishing ai danni di Banca Sella. ( su segnalazione Filoutage.)

Lo schema adottato per proporre il phishing e' sempre quello esaminato in questo post, che dopo l'accesso al falso sito, redirige su quello reale simulando un errore nell'immissione dei dati richiesti con l'intento di ingannare meglio chi fornisse i propri dati personali.

Interessante notare che questa volta e' disponibile per l'analisi il 'KIT' di phishing utilizzato per la creazione del sito.

Si tratta di un file zip che contiene tutto l'occorrente per installare il sito di phishing ai danni di Banca Sella

e dove notiamo, come sempre date aggiornate, specialmente nei codici php che contengono il link alla mail dove verranno inviati i dati sottratti a chi cadesse nel phishing.

Un whois punta a sito compromesso USA

che ospita al suo interno le false pagine Banca Sella.


Edgar

martedì 29 settembre 2009

Phishing Banca Sella .Aggiornamenti (29 settembre)

Un nuovo sito di phishing ai danni di Banca Sella (segnalazione Filoutage) questa volta con whois

La struttura del sito e' identica a quella vista nel precedente post



Edgar

lunedì 28 settembre 2009

Phishing Banca Sella. Una ingegnosa procedura di phishing (28 settembre)

Su segnalazione Filoutage ecco alcuni indirizzi di siti di phishing ai danni di Banca Sella apparsi in rete in data odierna.

Si tratta di alcuni siti registrati oggi e che comprendono 3 diversi nomi

hostati sempre sul medesimo range di IP UK che ultimamente vede parecchi siti di phishing presenti
Questi i dettagli della registrazione dei 3 nuovi nomi di dominio che tentano di ingannare con un ingegnoso stratagemma, chi ricevesse la mail di phishing in quanto simulano il reale nome della banca






Come si nota si tratta in tutti e tre i casi di registrazioni datate 28 settembre 2009

Sicuramente mentre merita qualche dettaglio in piu' la procedura adottata per il login al sito di phishing che denota una notevole fantasia nel sistema di richiesta dei dati personali strutturato in modo da ingannare chi cadesse nel phishing.


Abbiamo infatti questa prima pagina che mostra un form di login,

che, senza particolari controlli sui dati inseriti redirige su questa seconda pagina

che acquisisce ulteriori dati.

A questo punto confermando quanto immesso nel form, appare una schermata che ci informa della non validita' degli stessi con un messaggio di “Autenticazione fallita”, pagina naturalmente sempre gestita dal sito di phishing


Se adesso si clicca sul bottone “riprova ad inserire i codici” verremo riportati su una pagina identica alla prima proposta dal phishing , ma, che questa volta e il reale login proposto dal sito della banca Sella.


In questo modo, chi inserisse ora nuovamente i codici vedra' confermato' il login (dato che si trova adesso sul reale sito Banca Sella) senza avere alcun dubbio su quanto accaduto durante il 'primo' tentativo 'fallito' di accesso al sito. (potra' ad esempio pensare ad un errore nella digitazione dei dati immessi....)

In pratica una maniera molto ingegnosa per tentare di far passare il phishing inosservato in quanto chi avesse effettuato il login pensera' la prima volta di aver sbagliato il codice immesso, anche se in realta' i suoi dati personali sono ormai stati sottratti.

Edgar

Siti compromessi per diffondere phishing (agg. 28 settembre 2009)

Sempre molto attivo il phishing ai danni di Banche IT ma anche l'utilizzo di siti italiani compromessi per ospitare pagine o interi siti di phishing.
Al termine del post vedremo anche un sito Thai che presenta chiaramente vulnerabilita' sfruttate non solo per il phishing.

Questi alcuni casi odierni segnalati da Filoutage

Verified by Visa:
Da quanto si legge su una delle pagine internet che pubblicizzano Verified by Visa si tratta di:

"...un servizio con il quale e' possibile fare acquisti 'on line' con maggiore sicurezza. Attraverso un semplice procedimento di controllo, Verified by Visa conferma la Vostra identita' quando fate acquisti presso i negozi 'on line' che partecipano a questa iniziativa. E' un sistema comodo ed e' accessibile con la carta Visa che utilizzate attualmente........”
Non c'e' da meravigliarsi quindi se vengono create pagine di phishing atte a sottrarre i dati sensibili collegati a questo servizio.

Quello che vediamo e' il phishing ai danni di Verified by Visa in lingua francese

ma ospitato su server italiano

Si tratta di alcuni siti in fase di costruzione, da quanto appare nella homepage, ma che in realta' sono usati per hostare il phishing.

ed anche


Interessante invece questo server di prova utilizzato dagli studenti per le materie Informatica ecc... di Universita' Italiana, che ospita migliaia di folder relativi a 'esercitazioni' di informatica


e dove troviamo al momento recenti aggiornamenti con contenuti chiaramente di hacking

tra cui

oppure

e di conseguenza , anche in questo caso, siti di phishing come questo ai danni di gruppo bancario inglese
Evidentemente a chi usa il server di test vengono insegnate tecniche di creazione siti internet ma non di protezione dei contenuti da parte di attacchi informatici...

Questo, invece, un sito di autocarozzeria italiana che presenta evidenti segni di attacco ,

e che ospita al suo interno questo sito di phishing sempre ai danni di banca estera.


Per terminare vediamo un sito thai di grande e nota azienda locale, che ospita al suo interno un phishing ai danni di


La cosa interessante e' che andando sulla homepage e visionando un link relativo ad una succursale estera dell'azienda

troviamo questa pagina attiva di hacking

che tra le altre cose presenta un iframe

con links a sito probabilmente pericoloso (exploit o link a malware) che comunque risulta al momento OFFline.

Come si vede da questi casi, abbiamo quindi la conferma che una buona parte dell'attuale phishing in rete si 'appoggia' a vulnerabilta' presenti e con evidenti vantaggi, in quanto non occorre attivare nuovi siti da zero ma basta utilizzarne uno compromesso scegliendolo tra i tanti presenti in rete.

Edgar

sabato 26 settembre 2009

Ancora links a falsi AV da pagine incluse. (aggiornamento 26 9 )

Continua su siti IT. l'inclusione di pagine con script offuscato che linka a falsi Av

Tutti i siti restituiti da una ricerca in rete presentano incluse le pagine , gia' viste ieri,

con javascript offuscato

che linka a falso scanner AV online e relativo falso antivirus scaricabile.

Tra i vari siti spicca quello di calzaturificio molto noto a livello nazionale (vedi anche post 2010 stesso sito colpito)

e di cui vediamo un report parziale dei files inclusi
Edgar

Ancora false offerte di lavoro (aggiornamento 26 9)

Ancora molte le mails di false offerte di lavoro , in realta' tentativi di coinvolgere chi accettasse l'offerta, in probabile riciclaggio di denaro.

Eccone due, tra le tante ricevute:

La prima presenta una offerta di lavoro del tutto particolare e che dimostra molta fantasia.
Si legge infatti,in mail, che il lavoro offerto consiste nella collaborazione a organizzazione di un “ ...... tour di pesca esotica nell'Oceano Indiano, Mar Arabico e Golfo del Bengala .....

La seconda mails e' piu' interessante

in quanto, a parte la premessa nel messaggio che spiega che non e' una 'bufala' !!! , indica chiaramente senza mezzi termini quale sara' l'attivita' lavorativa :
.............................................
1) Ricevere denaro sul tuo conto bancario dai nostri clienti.
2) Ritirarlo
3)Inviarlo utilizzando Western Union o Money Gram al tuo manager.
.................................... ”

che dimostra chiaramente il genere di attivita' proposta.

All'interno di questo post invece le conseguenze per chi accettasse il lavoro offerto con questo genere di mails.

Edgar

Aggiornamento phishing 26 settembre 09

Sono sempre numerosi i siti di phishing, sparsi in rete, ai danni di banche italiane cosi' come i siti it compromessi che vengono utilizzati per phishing ai danni di gruppi bancari esteri. ( ecco alcune segnalazioni Filoutage)

Questo il sito di phishing ai danni di NatWest (National Westminster Bank Plc, or NatWest as it is commonly known, is a commercial bank in the United Kingdom which has been part of The Royal Bank of Scotland Group Plc since 2000. (fonte Wikipedia))


ospitato su IP italiano


Questi invece alcuni siti di phishing attualmente ONline su diversi siti compromessi locati in diverse nazioni:

Banca Credito Cooperativo

con whois

e struttura che denota recente creazione del folder che ospita il codice di phishing

Intesa San Paolo

con whois

Banca Fideuram

con whois

Edgar