Nei casi che vedremo in dettaglio ora abbiamo, cosa non comune, un uso di due differenti servizi web per lo stesso phishing e precisamente short URL seguito da uso di alias URL
Avevamo infatti gia' visto l'uso di siti di alias ma con un solo passaggio che vedeva la sequenza
link in mail --> sito di alias URL --> sito finale di phishing
e non come in questi due casi odierni una sequenza
link in mail --> sito di short URL --> sito di ALIAS --> sito finale di phishing
Ricordo che, sia short URL che ALIAS URL effettuano un redirect con la differenza che mentre shortening URL e' usato per creare URL corte e quasi sempre dai nomi di fantasia, ALIAS url vede la creazione di nomi web 'lunghi' che possono essere anche descrittivi dei contenuti del sito stesso (cosa molto utile per chi vuole creare indirizzi web ingannevoli)
Lo scopo finale e' sempre comunque quello di rendere gli indirizzi di pagina visualizzati nel browser maggiormente ingannevoli ed inoltre creare diversi redirect per evitare che l'indirizzo finale di phishing risulti facilmente individuabile.
Le due url di phishing sono presenti in chiaro sul db delle segnalazioni del sito Antiphishing Italia
Ecco i dettagli:
Questa la prima URL che utilizza il servizio di Shortening URL
http://fly2.ws/GAMzVWj
Come vediamo si nota chiaramente l'uso del servizio di shortening url fly2.ws
che, opportunamente configurato redirige sul servizio di alias URL aq.pl (da notare che pur su dominio polacco si tratta di servizio hostato su server francese)
che provvede a proporci questa pagina di login a sito di phishing posteIT
Come possiamo notare la pagina e' composta da piu' frames uno dei quali, il sito fasullo di poste IT, e' hostato su IP Yahoo (notare gli indirizzi web per ogni frame proposto)Riassumendo abbiamo i seguenti passaggi:
(in verde il reale indirizzo del phishing PosteIT)Visto come e' strutturato il phishing ecco alcuni ulteriori dettagli interessanti :
Il primo e' che se esaminiamo il sito di alias URL aq.pl possiamo trovare traccia della creazione di numerosi e recenti indirizzi web legati a phishing Poste IT
Alcuni di questi sono tuttora funzionanti
e redirigono sempre su dominio creato appositamente allo scopo e hostato su YahooIl secondo dettaglio riguarda i siti Yahoo utilizzati per hostare il phishing.
Se esaminiamo il log delle connessioni ad uno di questi siti Yahoo possiamo estrarre la provenienza dei visitatori del phishing che forse, in parte, potrebbero anche essere caduti nel tranello della pagina fasulla PosteIT
Dal report si nota come la maggior parte degli IP sia di provenienza italiana, come italiana risulta essere la registrazione di alcuni dei nuovi nomi di dominio usati allo scopo di hostare il phishing (anche se e' molto probabile che siano nomi di fantasia o comunque non legati direttamente al phishing)
ed anche
La seconda url che prendiamo in considerazione e'
http://fly2.ws/_IkeNX0
Anche in questo caso il primo step e' un redirect tramite fly2.ws che questa volta punta ad un altro servizio free di alias URL
che ci propone
ma che analizzato nel dettaglio dimostra in realta' visualizzare un sito di phishing hostato su
Ecco infatti la reale pagina di phishing su server USA probabilmente compromesso
Se si interroga infatti il medesimo IP ma sulla porta 80 che e' quella relativa di norma ai siti web abbiamo
Un altro dettaglio interessante e' che il sito di ALIAS propone, per aiutare a crearsi quello per il proprio sito, questa pagina dove vediamo, inserendo l url di phishing che questa e' in uso ma che sono disponibili anche interessanti alternative relative a PosteIT
Un'altra curiosita' e' che viene spiegato e confermato , cosa utile al phisher, come l'attuale URL visualizzata sia quella creata come alias e venga mascherata la reale url su cui si viene rediretti (url cloacking)
Edgar
1 commento:
Good job! :-)
Posta un commento