venerdì 29 luglio 2011

Sito di redirect IT per phishing PostePay (29 luglio)

L'uso di siti di alias che permettono di creare redirects con nomi di dominio diversi da quelli del sito originale e' molto diffuso in azioni di phishing.

Lo scopo e' quello ad esempio di creare nomi ingannevoli di siti clone in alternativa al dominio originale della pagina di phishing che a volte presenta una URL che ha poco a che fare con i contenuti del clone.(nomi diversi es.dal nome della banca colpita, Poste IT ecc...)

Nel caso odierno uno dei vantaggi dell'utilizzo di servizio free di redirect italiano e' che l'URL risultante presenta dominio .IT, cosa che potrebbe ulteriormente ingannare chi seguisse un link di phishing.

SI tratta di questo clone

con appunto .IT nella URL, che semplicemente analizzato tramite una delle tante utilities disponibili su Firefox mostra

dove si nota che il reale clone e' invece

ospitato su servizio di hosting USA con nome di dominio creato in data recente.

Questo il servizio IT di free redirect utilizzato dai phishers


Edgar

giovedì 28 luglio 2011

Phishing ai danni banche locali IT. Banca Friuladria -Credit Agricole, Banca Monteparma e Banco Azzoaglio (28 luglio)

Segnalatomi in data odierna da Denis Frati e rilevabile sempre sullo stesso sito con whois VN visto ieri (phishing MonteParma)

e con Asset manager

che gestiva redirect a clone Banca Monteparma

ecco presente un nuovo codice di redirect (pando.htm)

che punta a sito (whois USA) con Innova Studio Asset manager

utilizzato ancora una volta come gestore dei contenuti clone, in questo caso di Banca Friuladria - Credit Agricole:

Sempre sullo stesso sito rileviamo anche un codice di redirect a clone Banco Azzoaglio attivo da qualche giorno ed ospitato sempre sul dominio su hosting USA gia' visto qui

nota: Al momento di scrivere il post il dominio USA che ospitava attualmente il clone B.Azzoaglio parrebbe essere stato messo OFF-Line.

Edgar

mercoledì 27 luglio 2011

Phishing ai danni banche .IT regionali o locali (27 luglio)

Segnalatomi in data odierna da Denis Frati un nuovo clone banca Monte Parma

su solito hosting USA e 'getta', con dominio creato da poco

Ancora una volta il redirect al clone e' gestito da sito con Innova Studio Asset Manager

e con whois vietnamita.

Gia' in passato sono stati molti i redirects che sfruttavano come host proprio siti .VN

Edgar

martedì 26 luglio 2011

Phishing ai danni banche locali IT (26 luglio)

Denis Frati mi segnalava nella serata (ora IT) di ieri 25/7 di aver rilevato la presenza su dominio USA (gia' utilizzato per ospitare clone Banca Valsabbina), di un clone attivo Banco Azzoaglio.

In effetti, nel pomeriggio di oggi (thai time) (26/7) e' arrivata la mail di phishing relativa a Banco Azzoaglio

con link a codice di redirect che e' ospitato, ancora una volta, su sito con Innova Studio Asset Manager utilizzato dai phishers per gestire l'upload dei codici di reindirizzamento al clone.

Il codice di redir html punta a questo falso login gia' attivo dalla serata di ieri

ed ospitato su dominio Usa

Dopo ulteriore richiesta PIN codes si viene reindirizzati sul reale sito Banco Azzoaglio, e precisamente sulla pagina relativa alla descrizione dei servizi online.

Da notare che dopo pochi minuti dall'analisi del phishing, i phishers hanno gia' modificato il percorso al clone per evitare eventuale black-listing dell'indirizzo.

Edgar

Siti IT compromessi. (agg.26 luglio)

Una buona parte dei siti IT (35 su 45) rilevati con reverse IP di

appaiono aver subito l'inclusione di codice .html

Questo un report Webscanner

che evidenzia l'elevato numero di siti interessati.

L'header della pagina mostra come data/time della probabile inclusione la serata di ieri

Si tratta, come sempre, di attacchi che evidenziano vulnerabilita', che potrebbero, ad esempio, essere sfruttate come supporto ad azioni di phishing, redirects a phishing, SEO poisoning ma anche distribuzione di links a malware o malware.

Edgar

lunedì 25 luglio 2011

Ulteriore aggiornamento phishing ai danni banche locali IT (25 luglio)

Denis Frati mi segnala la presenza di un redirect attivo a phishing Banca Valsabbina

Si tratta dell'ennesimo utilizzo di Asset Manager Innova Studio presente su sito

e che tramite codice html

punta a clone Banca Valsabbina con dominio creato allo scopo, sul solito noto servizio di hosting Usa.

Per quanto riguarda invece l'asset manager visto questa mattina su sito con whois lituano, parrebbe , al momento, non essere piu' raggiungibile, cosa che spingera' sicuramente i phishers ad attivare nuovi redirect, anche se, come e' evidente, mandare OFF-line il sito che effettua il primo redirect rende i links in mail inutilizzabili e vuole dire per i phishers dover procedere ad un nuovo invio delle mails di spam.

Edgar

Aggiornamenti phishing (25 luglio)

Continuano ad essere attivi alcuni siti clone sia di C.R. Bolzano che UNIPOL Banca linkati ancora dal sito con whois .LT visto nei giorni scorsi

Come si nota dal dettaglio del file manager Innova Studio presente sul sito

abbiamo differenti redirect sia utilizzando il consueto dominio creato su servizio di hosting USA ma anche un sito tedesco che attraverso Innova Studio permette di uploadare i contenuti di phishing UNIPOL.

Questo un dettaglio sia dei KIT di phishing (che rivelano l'uso di HTTRACK)

che di un mailer con data recente

ospitati sempre sul sito tedesco

In tutti questi casi, a parte la tecnica usata per gestire i phishing, che gia' da sola evidenzia l'origine degli attacchi, anche l'invio delle credenziali eventualmente sottratte sempre alla medesima mail per tutti i casi esaminati ora, non lasciano dubbi sulla fonte delle pagine clone.

Edgar

sabato 23 luglio 2011

Come 'pagare' software freeware. Le insidie di mails e siti ingannevoli (23 luglio)

Queste due mail ricevute attualmente

e di cui vediamo un dettaglio di quella relativa ad Office Alternative

con oggetto del messaggio che propone 'alternative' a diffusi e noti softwares quali Office, Adobe Acrobat ma anche, ad esempio, a Google Earth

In realta' si tratta semplicemente di siti

,molti rilevati su reverse IP dell'indirizzo corrispondente a quelli linkati in mail

che non fanno altro che, cliccando sul link presente, proporre una registrazione a pagamento ad un servizio di supporto online e il download di un programma freeware (Open Office, Acrobat Reader ecc...) fatto passare come software a pagamento.

Per il 'pagamento' viene usato questo sito

che come si nota da una analisi del link punta a secure-signupway.com,

che, sia McAfee Site Advisor

che WOT

non considerano certo affidabile.

Alcuni maggiori dettagli su secure-signupway.com con lungo elenco di domini che se ne servono, sono presenti a questo link del forum WOT

Da notare come, anche se in caratteri poco visibili,a fondo pagina di alcuni dei siti coinvolti nello scam si venga informati della natura 'FREEWARE' dei software proposti.

Edgar

venerdì 22 luglio 2011

Aggiornamento phishing ai danni di banche IT a diffusione regionale. C.R.ASTI (22 luglio)

Nuovamente un phishing ai danni di C.R.ASTI

che vede le 2 pagine clone (login e codici PIN) ospitate su IP

Si tratta di un attacco che parrebbe dimostrare come le banche IT a diffusione regionale siano sempre bersaglio preferito da parte dei phishers considerato che l'odierno phishing ai danni di CR Asti per tipologia usata, non sembra essere portato dai 'soliti' personaggi attivi ormai da mesi in rete.

Questa la struttura del phishing dove notiamo anche la presenza del relativo KIT che esaminato mostra indirizzi mails di invio credenziali eventualmente sottratte, differenti rispetto ai quelli abitualmente utilizzati da un ben noto gruppo di phishers.

Da notare che sia il nome presente nell'indirizzo mail di invio credenziali sottratte, che alcuni nomi di variabili e stringhe di testo .... utilizzate nel codice php parrebbero essere in lingua romena, cosa che potrebbe comunque ricondurre ad una provenienza Est Europea dell'attacco


In ogni caso una ulteriore verifica del phishing ha evidenziato che dopo circa 4 ore dalla sua comparsa on-line il sito copia e' comunque stato messo offline annullando cosi' i possibili rischi per chi avesse ricevuto la mail con link al clone CR Asti.

Edgar

Aggiornamento phishing ai danni di banche IT a diffusione regionale. Cassa di Risparmio di Bolzano e Banca Valsabbina (22 luglio)

Continuano ad essere colpite ciclicamente le stesse banche a diffusione prevalentemente regionale, gia' interessate in passato da phishing.
Attualmente il sito con whois lituano, gia' visto qualche giorno fa supportare attraverso la 'solita' presenza di Innova Studio Asset Manger il redirect a Cassa di Risparmio di Bolzano, ospita adesso anche un codice di redirect a nuovo clone banca Valsabbina


su dominio USA creato in data odierna allo scopo di ospitare le pagine di phishing

Questi invece gli headers di una mail di phishing Cassa di Risparmio di Bolzano ricevuta in data odierna che mostrano sempre probabile origine su range IP ormai noti da mesi.


Edgar

giovedì 21 luglio 2011

Tentativo di phishing ai danni degli utenti Tiscali Mail (21 luglio)

Questa una mail ricevuta oggi, che mostra come si stia tentando di sottrarre agli utenti Tiscali Mail le credenziali di accesso alla propria mail box

Come si vede dal testo (particolare evidenziato) si tratta di layout probabilmente derivato da mail di phishing ai danni di banca, che presenta un link che sfrutta un servizio di shortening URL

al momento comunque con link disabilitato.

L'oggetto in mail 'verificare il tuo account tiscali.it on line' non lascia dubbi sull'obbiettivo del phishing e precisamente l'acquisizione dell'indirizzo mail e della password di accesso al noto servizio di posta elettronica

Cli headers in mail presentano

Ecco invece la pagina fake di login con, tra l'altro, un grossolano errore nel testo

creata utilizzando questo servizio USA di free web site


Questo il codice PHP di invio credenziali eventualmente sottratte

e redirect su reale accesso a Tiscali mail

Ad aumentare l'eventuale pericolosita' di un furto delle credenziali c'e' da considerare che oltre che per loggarsi al servizio mail, la stessa password potrebbe essere stata utilizzata per altri servizi forniti dal provider nonche', succede spesso, anche per connettersi ad altri servizi online (home banking ecc.......).

Evidentemente nel dubbio di essere caduti nel phishing e' sempre comunque bene modificare tempestivamente sia la password di accesso al servizio mail box Tiscali, che quelle di login ad altri servizi internet per i quali avessimo usato la medesima password.

Edgar