Il phishing ai danni di Banca Mediolanum si e' dimostrato molte volte altamente ingannevole, con una cura nei particolari dei layouts delle pagine clone veramente elevata.
Sono noti ad esempio casi come quello trattato in questo post dove il layout del fake login copiava fedelmente quello del reale login Mediolanum inserendo in piu' una casella di input per il secondo codice segreto.
Si veniva cosi' a creare un 'nuovo' layout di phishing che, mantenendo essenzialmente il reale della banca, risultava piu' ingannevole dei precedenti phishing dove i codici venivano richiesti con semplice form diverso dall'originale.
Non contenti di questo, i phishers, hanno poi attivato un attacco a Mediolanum , con diversa procedura ingannevole, in cui (vedi questo post) veniva proposto un form di login tale quale l'originale, a cui seguiva, con il pretesto di una ricarica gratis del cellulare, la richiesta del secondo codice segreto.
A questo punto occorre aprire una breve parentesi sui codici usati per il login al conto online di Mediolanum e sul loro utilizzo.
Come spiega la banca in questa pagina del suo sito (reale)
-------------------------------------------------------------------------------------------
............ per operare con Banca Mediolanum nella completa sicurezza e riservatezza e sufficiente utilizzare:
il codice cliente
il primo codice segreto
il secondo codice segreto
Il codice cliente
E' necessario per la tua identificazione e ti sara' richiesto ogni volta che vorrai operare con il Banking Center, Internet ed il risponditore automatico.
Il primo codice segreto
Con il primo codice segreto di Banca Mediolanum puoi ricevere tutte le informazioni sulla tua situazione economica e patrimoniale. Il primo codice e' necessario per parlare con un operatore del Banking Center, per comunicare con il risponditore automatico, accedere al servizio Teletext (al numero 800.107.107 dall’Italia ed ai numeri 0039.02.9045.1625 - 0039.02.9049.1625 dall’estero) e per visualizzare la tua posizione sul sito della banca.
Il secondo codice segreto
Con il secondo codice segreto puoi effettuare le operazioni di tipo dispositivo come, ad esempio, i bonifici, i versamenti aggiuntivi sui fondi e le polizze, la prenotazione di contanti, i pagamenti... (fonte pagina di info Mediolanum)
--------------------------------------------------------------------------------
Come e' pratica normale quando si accede a risorse in rete protette da passwords , esiste di solito la possibilita' di modificare i codici di accesso …....
Questo e' anche possibile per l'accesso al proprio conto , come ci spiega quest'altra pagina sul sito Mediolanum
---------------------------------------------------------------------------------------
La modifica periodica
In qualsiasi momento desideri, puoi cambiare i tuoi codici segreti autonomamente, in modo riservato e gratuito:
attraverso il nostro sito Internet nella sezione "Personalizza";
contattando un operatore del nostro Banking Center al numero.................. ecc.......
------------------------------------------------------------------------------------------
A questo punto i phisher hanno pensato bene di sfruttare la possibilita' di modifica online dei codici, per creare una situazione nella quale , come dice anche l'avviso presente sulla home di login del sito Mediolanum, e' vero che “ la banca non ti chiedera' mai per intero il secondo codice segreto ….”
ma potremmo aggiungere '…... la Banca ti permette di modificarlo.......'
Ecco quindi come funziona il phishing “altamente ingannevole” relativamente al secondo codice
La prima videata che appare una volta cliccato sul link in mail (vedremo in dettaglio poi tutta la parte riferita ai dettagli tecnici di questo phishing) e' questa pagina clone del login a Mediolanum e che ne copia perfettamente il layout originale
Una volta introdotti i dati richiesti ecco la sorpresa !!!
Si tratta della pagina di modifica codici relativa al secondo codice segreto.
Appare in alto visibile l opzione di logOUT (come se fossimo loggati realmente sul sito) e la possibilita' di modifica del secondo codice segreto.
Non posso confrontare questo layout con l'originale in quanto questa pagina dovrebbe essere solo visualizzata ad un utente Mediolanum che fosse REALMENTE loggato sul sito, ma presumo che ricalchi 'fedelmente' tutta od in parte quella reale.
Una volta inseriti i dati (che come vedremo poi saranno 'accuratamente ' catturati in un file), viene presentata una pagina di conferma pure questa fake (siamo sempre sul sito di phishing)
nella quale si informa che dopo pochi secondi saremo rediretti sulla home di Mediolanum.
Come si vede un phishing estremamente ingannevole che non ci chiede direttamente il 'secondo codice segreto' ma piuttosto ne maschera la richiesta attraverso la sua modifica online.
Dopo questa lunga descrizione della procedura di phishing ecco alcuni dettagli su come viene attuata dal punto di vista pratico
Il link in mail punta a questo sito compromesso di camping francese
con whois
che presenta incluso questo codice di redirect
che punta al phishing hostato su server USA
Come si nota i contenuti del folder di phishing presentano, cosa non molto comune, anche i dati di login di chi accede al falso sito Mediolanum. (notare le date recenti)
Questo un parziale estratto di uno dei due files presenti, dove , dai nomi utente inseriti , non e' che si notino poi molti 'nomi di fantasia' cosa che farebbe pensare che siano ancora in tanti ad ignorare il problema phishing.
Nell'unico record lasciato in chiaro (mi pare che sul fatto che sia un utente fake non ci siano dubbi ) vediamo come vengono acquisiti i vari codici (notare la sequenza dei 3 codici relativi alla modifica del secondo codice segreto)
Sono inoltre acquisiti altri dati quali data e ora, l IP di provenienza, l'user agent ecc...
Una analisi degli IP mostra una provenienza nella maggior parte italiana dei 'visitatori' del sito di phishing che hanno effettuato il login e “modificato” il secondo codice segreto.
Avendo accesso ai log del server su cui il sito e' ospitato possiamo ripete l'analisi degli IP, che questa volta sono riferiti a chi accede al sito di phishing (od ai files di log) ma non necessariamente prosegue nel fake login
In questo caso ancora una volta spicca la presenza, tra i primi ip di chi si e' connesso al sito, di un indirizzo di provenienza romena probabilmente legato, come accade da tempo. a chi gestisce il phishing.
Volendo approfondire l'analisi si potrebbero valutare e confrontare i tempi (data e time) presenti sui vari log per vedere se esistono corrispondenze tra creazione del sito e login effettuati (normalmente il primo login e' quasi sempre fatto dal phisher per verificare il 'corretto ' funzionamento del sito fake).
Edgar
Sono noti ad esempio casi come quello trattato in questo post dove il layout del fake login copiava fedelmente quello del reale login Mediolanum inserendo in piu' una casella di input per il secondo codice segreto.
Si veniva cosi' a creare un 'nuovo' layout di phishing che, mantenendo essenzialmente il reale della banca, risultava piu' ingannevole dei precedenti phishing dove i codici venivano richiesti con semplice form diverso dall'originale.
Non contenti di questo, i phishers, hanno poi attivato un attacco a Mediolanum , con diversa procedura ingannevole, in cui (vedi questo post) veniva proposto un form di login tale quale l'originale, a cui seguiva, con il pretesto di una ricarica gratis del cellulare, la richiesta del secondo codice segreto.
A questo punto occorre aprire una breve parentesi sui codici usati per il login al conto online di Mediolanum e sul loro utilizzo.Come spiega la banca in questa pagina del suo sito (reale)
-------------------------------------------------------------------------------------------............ per operare con Banca Mediolanum nella completa sicurezza e riservatezza e sufficiente utilizzare:
il codice cliente
il primo codice segreto
il secondo codice segreto
Il codice cliente
E' necessario per la tua identificazione e ti sara' richiesto ogni volta che vorrai operare con il Banking Center, Internet ed il risponditore automatico.
Il primo codice segreto
Con il primo codice segreto di Banca Mediolanum puoi ricevere tutte le informazioni sulla tua situazione economica e patrimoniale. Il primo codice e' necessario per parlare con un operatore del Banking Center, per comunicare con il risponditore automatico, accedere al servizio Teletext (al numero 800.107.107 dall’Italia ed ai numeri 0039.02.9045.1625 - 0039.02.9049.1625 dall’estero) e per visualizzare la tua posizione sul sito della banca.
Il secondo codice segreto
Con il secondo codice segreto puoi effettuare le operazioni di tipo dispositivo come, ad esempio, i bonifici, i versamenti aggiuntivi sui fondi e le polizze, la prenotazione di contanti, i pagamenti... (fonte pagina di info Mediolanum)
--------------------------------------------------------------------------------
Come e' pratica normale quando si accede a risorse in rete protette da passwords , esiste di solito la possibilita' di modificare i codici di accesso …....
Questo e' anche possibile per l'accesso al proprio conto , come ci spiega quest'altra pagina sul sito Mediolanum
---------------------------------------------------------------------------------------La modifica periodica
In qualsiasi momento desideri, puoi cambiare i tuoi codici segreti autonomamente, in modo riservato e gratuito:
attraverso il nostro sito Internet nella sezione "Personalizza";
contattando un operatore del nostro Banking Center al numero.................. ecc.......
------------------------------------------------------------------------------------------
A questo punto i phisher hanno pensato bene di sfruttare la possibilita' di modifica online dei codici, per creare una situazione nella quale , come dice anche l'avviso presente sulla home di login del sito Mediolanum, e' vero che “ la banca non ti chiedera' mai per intero il secondo codice segreto ….”
ma potremmo aggiungere '…... la Banca ti permette di modificarlo.......'Ecco quindi come funziona il phishing “altamente ingannevole” relativamente al secondo codice
La prima videata che appare una volta cliccato sul link in mail (vedremo in dettaglio poi tutta la parte riferita ai dettagli tecnici di questo phishing) e' questa pagina clone del login a Mediolanum e che ne copia perfettamente il layout originale
Una volta introdotti i dati richiesti ecco la sorpresa !!!
Si tratta della pagina di modifica codici relativa al secondo codice segreto.Appare in alto visibile l opzione di logOUT (come se fossimo loggati realmente sul sito) e la possibilita' di modifica del secondo codice segreto.
Non posso confrontare questo layout con l'originale in quanto questa pagina dovrebbe essere solo visualizzata ad un utente Mediolanum che fosse REALMENTE loggato sul sito, ma presumo che ricalchi 'fedelmente' tutta od in parte quella reale.
Una volta inseriti i dati (che come vedremo poi saranno 'accuratamente ' catturati in un file), viene presentata una pagina di conferma pure questa fake (siamo sempre sul sito di phishing)
nella quale si informa che dopo pochi secondi saremo rediretti sulla home di Mediolanum.Come si vede un phishing estremamente ingannevole che non ci chiede direttamente il 'secondo codice segreto' ma piuttosto ne maschera la richiesta attraverso la sua modifica online.
Dopo questa lunga descrizione della procedura di phishing ecco alcuni dettagli su come viene attuata dal punto di vista pratico
Il link in mail punta a questo sito compromesso di camping francese
con whois
che presenta incluso questo codice di redirect
che punta al phishing hostato su server USA
Come si nota i contenuti del folder di phishing presentano, cosa non molto comune, anche i dati di login di chi accede al falso sito Mediolanum. (notare le date recenti)Questo un parziale estratto di uno dei due files presenti, dove , dai nomi utente inseriti , non e' che si notino poi molti 'nomi di fantasia' cosa che farebbe pensare che siano ancora in tanti ad ignorare il problema phishing.
Nell'unico record lasciato in chiaro (mi pare che sul fatto che sia un utente fake non ci siano dubbi ) vediamo come vengono acquisiti i vari codici (notare la sequenza dei 3 codici relativi alla modifica del secondo codice segreto)Sono inoltre acquisiti altri dati quali data e ora, l IP di provenienza, l'user agent ecc...
Una analisi degli IP mostra una provenienza nella maggior parte italiana dei 'visitatori' del sito di phishing che hanno effettuato il login e “modificato” il secondo codice segreto.
Avendo accesso ai log del server su cui il sito e' ospitato possiamo ripete l'analisi degli IP, che questa volta sono riferiti a chi accede al sito di phishing (od ai files di log) ma non necessariamente prosegue nel fake login
In questo caso ancora una volta spicca la presenza, tra i primi ip di chi si e' connesso al sito, di un indirizzo di provenienza romena probabilmente legato, come accade da tempo. a chi gestisce il phishing.Volendo approfondire l'analisi si potrebbero valutare e confrontare i tempi (data e time) presenti sui vari log per vedere se esistono corrispondenze tra creazione del sito e login effettuati (normalmente il primo login e' quasi sempre fatto dal phisher per verificare il 'corretto ' funzionamento del sito fake).
Edgar
3 commenti:
Mediolanum è già stata avvisata ieri, indicandogli l'esatta posizione dei file con le credenziali in chiaro. Naturalmente la ricevuta di ritorno ... non ritorna, quindi non so dirti se abbiano letto.
Per quanto riguarda i log non siamo stati fortunati :-(
i file listati via browser in una directory presentavano questi tempi di creazione
bg_codici_hb.gif 13-Jul-2010 00:10
bg_menups2_hb.gif 13-Jul-2010 00:10
sfortunatamente la prima entry del log disponibile ieri (14-07-10) poco dopo le 14.00 (ora italiana) presentava un orario successivo
[13/Jul/2010:17:01:40 -0700] "GET
e non è stato possibile fare un confronto.
Non si arriva sempre in tempo
Naturalmente la ricevuta di ritorno ... non ritorna, quindi non so dirti se abbiano letto. ......
La cosa non mi sorprende piu' di tanto .... :)
il peggio è quando la mail la invii ad una persona specifica, magari uno dei security manager dell'ente (un altro ente non quello dell'articolo) e non ottieni risposta. Non ritorna neanche la ricevuta di lettura, così potranno sempre dire di non averla mai letta.
In questi casi, dopo un paio di volte, sarei portato a dire "fatti vostri" e sbattermene. Se si mandano ancora mail di questo tipo e solo perché, in definitiva, gli unici che ci rimettono sono i clienti degli enti e non è giusto.
Posta un commento