venerdì 4 marzo 2011

Phishing ai danni di banche a diffusione regionale (agg.4 marzo)

Come mi ha segnalato Denis Frati poco fa, e come presente su links rilevabili da siti di analisi phishing on-line, e' attivo in rete un nuovo phishing (quasi sicuramente gestito dai 'soliti' personaggi di R-team) che prende di mira Banca Tercas (Cassa di Risparmio della Provincia di Teramo)

In realta' il layout del clone e' relativo non ad una pagina tratta dal reale sito della banca ma piuttosto dalla pagina di login a banca Tercas gestita da servizio di Internet Banking.

Come vediamo sulla reale pagina di login sono presenti solo due dei 3 campi di input visibili sul clone dove abbiamo anche quello relativo alla richiesta della password dispositiva.

Il redirect al phishing avviene sfruttando un codice ospitato su sito cinese (in compagnia di altri non attivi ai danni di CaRiParma)

con la ormai ben nota presenza di una interfaccia Asset Manager Innova Studio che, come sempre, permette ai phisher un facile upload sul sito, dei codici di redirect.

Il clone di phishing e' invece hostato su account Altervista, che tra l'altro nelle ultime ore, relativamente a Banca Tercas e' gia' cambiato almeno due volte, come si vede da un report generato monitorando i codici di redirect

In alto sul report appare anche il redirect Banca Valsabbina visto ieri tuttora attivo che punta, pure lui, a clone ospitato su account Altervista.

Una volta effettuato il login, chi fosse caduto nel phishing, dovrebbe venir rediretto sul reale sito della banca, o meglio, sul sito del servizio di Home Banking; ho scritto dovrebbe perche' in realta' appare questo messaggio di errore che merita una ulteriore considerazione.

La pagina a cui si viene rediretti mostra infatti un avviso di errore che potrebbe, forse involontariamente essere proprio di aiuto ai phishers.

Chi effettua infatti il login fasullo una volta confermati i dati potrebbe pensare ad un momentaneo problema di rete e ri-accedere al login, questa volta quello reale, attraverso un indirizzo web in suo possesso, cosa che farebbe passare in secondo piano il precedente accesso al sito fraudolento di phishing.

Il fatto che venga proposto un errore potrebbe comunque non essere voluto dai phisher, ma derivare da come il codice di redirect sul clone Banca Tercas accede al reale sito di gestione dell'Home Banking.

Questo fatto dimostra comunque che esiste anche la possibilita' di contrastare le azioni di phishing monitorando sia chi giunge sul sito legittimo attraverso un referrer particolare o comunque chi accede al sito legittimo, magari non sulla homepage, attraverso redirects che, come in questo caso, generano pure messaggi di errore.

In questi casi potrebbe proprio trattarsi di un utente che abbia, suo malgrado, 'visitato' totalmente il sito clone di phishing, cadendo nel tranello delle false pagine di login.

Edgar

Nessun commento: