Come accade normalmente in molti casi di phishing, questa mattina, (ora thai) il codice di redirect relativo alla mail di phishing Banca Monte Parma risulta aggiornato con nuovo link a differente percorso sul sito di phishing Banca Monte Parma con whois USA visto ieri.
Questa la pagina del file manager, sul sito israeliano utilizzato per gestire il redirect nel giorno di ieri
e questo lo screenshot attuale con il codice di redirect che presenta data aggiornata.
Esaminando nel dettaglio il codice odierno
vediamo infatti che il percorso del sito clone Banca Monte Parma ora e' cambiato, da quello usato ieri
nel tentativo evidente di evitare che il sito di phishing venga bloccato da eventuali inserimenti in blacklist.
Chiaramente la sicurezza totale su un accesso tramite password, anche se generata al momento di loggarsi, da un dispositivo hardware, non e' mai completa.
Anche nel caso di generatori di token per accedere al conto potrebbero essere messe in atto delle procedure per riuscire comunque ad acquisire la password generata
In un precedente post scrivevoal proposito:
Spesso vengono consegnati ai clienti delle banche dei piccoli 'dispositivi' hardware con display LCD che genera il codice di accesso da usare per il login (di solito al momento dell'esecuzione di transazioni online)(a volte anche come hardware USB)
C'e' anche da ricordare che l'uso di password create attraverso questi generatori di codici, molto diffusi per aumentare la sicurezza del login ed evitare il pericolo del phishing, potrebbe non essere sufficiente se il dispositivo utilizzato e' del tipo event-based (la password viene generata al momento e scade dopo il login – in pratica il codice generato vale solo per un singolo login dopodiche' bisogna generarne uno nuovo)
In questo caso il phisher potrebbe acquisire la password di accesso ed il codice dispositivo e ad esempio reindirizzare su una pagina creata appositamente per far apparire il sito della banca OFFline, per avere tutto 'il tempo' di accedere al conto online.
Anche con i dispositivi time-based non c'e' comunque da escludere che un sistema di phishing automatizzato possa accedere al conto bancario ed anche se ad esempio la nuova password viene generata e rimpiazza la precedente in maniera automatica dopo un minuto ....
Questo e' quanto apparso al riguardo su http://www.pcauthority.com.au
..... un codice a sei cifre di accesso ogni 30 secondi non e' completamente sicuro scrive Stephen Howes, CEO di GrIDsure , un token acquisito da un sito di phishing costituisce una opportunita' per accedere al conto.......
"Un sistema automatizzato ha solo bisogno di millisecondi per fare questo, e cosi' un token che rimane attivo per un minuto da' al truffatore tempo in abbondanza per condurre il suo attacco..............
Si tratta comunque di sistemi, specialmente per quello time-based , che dovrebbero ridurre le possibilita' di accedere in maniera fraudolenta al conto online in quanto i margini di tempo utili al phisher per loggarsi sono molto ridotti e richiedono tecniche abbastanza complesse per effettuare questo phishing in real-time............. “
Edgar
Questa la pagina del file manager, sul sito israeliano utilizzato per gestire il redirect nel giorno di ieri
e questo lo screenshot attuale con il codice di redirect che presenta data aggiornata.
Esaminando nel dettaglio il codice odierno
vediamo infatti che il percorso del sito clone Banca Monte Parma ora e' cambiato, da quello usato ieri
nel tentativo evidente di evitare che il sito di phishing venga bloccato da eventuali inserimenti in blacklist.
Chiaramente la sicurezza totale su un accesso tramite password, anche se generata al momento di loggarsi, da un dispositivo hardware, non e' mai completa.
Anche nel caso di generatori di token per accedere al conto potrebbero essere messe in atto delle procedure per riuscire comunque ad acquisire la password generata
In un precedente post scrivevoal proposito:
Spesso vengono consegnati ai clienti delle banche dei piccoli 'dispositivi' hardware con display LCD che genera il codice di accesso da usare per il login (di solito al momento dell'esecuzione di transazioni online)(a volte anche come hardware USB)
C'e' anche da ricordare che l'uso di password create attraverso questi generatori di codici, molto diffusi per aumentare la sicurezza del login ed evitare il pericolo del phishing, potrebbe non essere sufficiente se il dispositivo utilizzato e' del tipo event-based (la password viene generata al momento e scade dopo il login – in pratica il codice generato vale solo per un singolo login dopodiche' bisogna generarne uno nuovo)
In questo caso il phisher potrebbe acquisire la password di accesso ed il codice dispositivo e ad esempio reindirizzare su una pagina creata appositamente per far apparire il sito della banca OFFline, per avere tutto 'il tempo' di accedere al conto online.
Anche con i dispositivi time-based non c'e' comunque da escludere che un sistema di phishing automatizzato possa accedere al conto bancario ed anche se ad esempio la nuova password viene generata e rimpiazza la precedente in maniera automatica dopo un minuto ....
Questo e' quanto apparso al riguardo su http://www.pcauthority.com.au
..... un codice a sei cifre di accesso ogni 30 secondi non e' completamente sicuro scrive Stephen Howes, CEO di GrIDsure , un token acquisito da un sito di phishing costituisce una opportunita' per accedere al conto.......
"Un sistema automatizzato ha solo bisogno di millisecondi per fare questo, e cosi' un token che rimane attivo per un minuto da' al truffatore tempo in abbondanza per condurre il suo attacco..............
Si tratta comunque di sistemi, specialmente per quello time-based , che dovrebbero ridurre le possibilita' di accedere in maniera fraudolenta al conto online in quanto i margini di tempo utili al phisher per loggarsi sono molto ridotti e richiedono tecniche abbastanza complesse per effettuare questo phishing in real-time............. “
Edgar
Nessun commento:
Posta un commento