giovedì 4 novembre 2010

Variazioni sul tema. Phishing Cassa di Risparmio di Volterra (4 novembre)

Chi segue il blog ricorda certamente gli ultimi post a riguardo del phishing ai danni della Cassa di Risparmio di Bolzano

Come avevamo visto i phisher effettuavano il redirect tramite codice uploadato su sito turco attraverso l'uso di un file manager accessibile direttamente dalla rete e senza login protetto da password (easy-content file manager)

Monitorando il codice in questione, visto che al momento lo stesso viene regolarmente 'aggiornato'' dai phishers abbiamo, (questa mattina ora thai ) alcune interessanti novita'.

Come si nota dal source del codice di redirect non solo chi attua il phishing e' ritornato ad utilizzare uno spazio web free fornito da Altervista.org come gia' successo nelle precedenti azioni di phishing CR Bolzano ma adesso la pagina clonata e' quella del login della Cassa di Risparmio di Volterra

a cui segue la relativa pagina di richiesta di tutti i codici PIN

Da notare come la pagina di login clonata riporti per esteso anche gli avvisi reali di CR Volterra relativi al phishing ed al fatto che (cito l'avviso pubblicato sulla pagina di login):

..... in nessun caso, Cassa di Risparmio di Volterra S.p.A. le chiedera' di digitare le dieci cifre delle quali si compone il codice PIN da lei scelto (il prodotto di home banking - come già evidenziato in apertura - poggia su una procedura che, una volta inseriti correttamente CODICE UTENTE e PASSWORD, prevede la digitazione di solo due cifre del PIN, selezionate autonomamente dalla procedura medesima). … …...

Dopo l'acquisizione dei dati, chi fosse caduto nel phishing, verra' rediretto sul reale sito della banca e comunque non sulla homepage della stessa

Da notare che anche per questo sito la connessione sicura htttps viene proposta solo accedendo al login reale di CR Volterra,

login che sfrutta i servizi di azienda esterna alla banca e che si occupa di gestire, per conto di numerosi istituti di credito italiani, l'accesso ai conti online.

C'e' anche da considerare che vedendo come operano i phishers relativamente a questi ultimi attacchi, un probabile un fattore determinante nella scelta della banca da colpire sembra proprio essere il fatto che, nei casi visiti, non vengano utilizzati sistemi piu' complessi di autenticazione al login quali es. 'dispositivi' hardware che generano il codice di login, ma solamente passwords e codici pin attraverso conession in rete.

Anche se e' pur vero che sistemi hardware potrebbero essere comunque non sufficenti (in questo caso il phisher potrebbe acquisire la password di accesso ed il codice dispositivo tramite pagina clone e reindirizzare su una pagina creata appositamente per far apparire il sito della banca OFFline, per avere tutto 'il tempo' di accedere al conto online), la loro maggiore affidabilita' e la richiesta di maggiore complessita' nell'azione di phishing che dovrebbe avvenire in real-time potrebbero evitare attacchi come quelli visti ultimamente.

Edgar

Nessun commento: