giovedì 9 febbraio 2012

Segnalazioni blog e dettagli su clone con redirect ed uso di dominio ingannevole (9 febbraio)

Approfitto del post per ringraziare chi, anche se con la nuova policy adottata dal blog verranno a mancare i dettagli dei phishings in atto, ha segnalato alcuni attuali casi.
In particolare e' interessante quanto postato ieri sul DB segnalazioni

e che vede l'utilizzo di differenti tecniche di phishing tutte 'concentrate' in un unico attacco.

Vediamo qualche dettaglio:

Come prima caratteristica non molto usuale c'e' da evidenziare che chi ha postato la segnalazione informa di indirizzo web al fake sito ricevuto via SMS e non con la consueta mail di spam.

In effetti, con la diffusione di dispositivi mobili che permettono il browsing della rete in maniera estremamente facile, e' possibile che i phishers si orientino a diffondere messaggi di spam attraverso differenti vie che l'usuale email.

Trattandosi di azioni supportate da false pagine o siti che simulano quelli della reale azienda presa di mira, e' evidente che il phishing risulti assolutamente indipendente dal dispositivo utilizzato, visto che l'unica caratteristica necessaria sara' solo quella di visualizzare la o le pagine web e permetterne l'input dei dati richiesti.

Attraverso questi form online, verranno infatti richiesti dati personali (numeri di carta di credito, indirizzo mail.. password s di accesso ecc....) .che saranno poi utilizzati dal phisher.

Come seconda caratteristica comune ad altri phishing abbiamo, nell'attuale caso, l'utilizzo di una url ingannevole che tenta di riprodurre il nome dell'azienda colpita

Anche questa e' una pratica ben utilizzata e di solito e' ottenuta con la registrazione di un dominio con nome ingannevole come accade nel caso che stiamo esaminando (notate data attuale)

A questo punto si potrebbe pensare che una volta ottenuto il dominio i phisher provvedano ad attivare sullo stesso il relativo clone, ma non e' questo il caso odierno.

Una analisi con Fiddler rivela che il clone si trova hostato su dominio Altervista

creato allo scopo in data attuale (vedi registrazione dell' account)

e con nome non ingannevole.

Questo perche' se analizziamo la connessione al clone in dettaglio scopriamo che ci si serve del nome del dominio creato in precedenza dal nome ingannevole per mascherare la reale url Altervista del clone.

Si vede infatti che mentre il reale indirizzo del sito e'


quello che appare a chi lo visita e'


ed anche un whois con addon Firefox mostra

Per fare questo e' stato utilizzato ancora una volta un servizio offerto da

Esaminando i DNS vediamo infatti

e la conferma la abbiamo dal source del clone che presenta in chiaro proprio l'utilizzo del servizio di no-ip.com

Edgar

1 commento:

gio ha detto...

me e capitato questo, e ci sono cascato nella speranza....
e un sito fatto per adescare persone, persone che veramente credono nel buon senso del prossimo, cercando di migliorare il proprio reddito, alcuni addirittura non anno neanche un lavoro, investo nella fiducia di coloro che si nascondono dietro a questo sito e alla mail lista automatica quando ti registri. La tattica usata e quella da in vogliarti ad iscriverti e poi indirizzarti ai casino facendoti credere che è tutto vero, ma poi perdi tutti i soldi depositati. Penso che sia qualcuno che ci guadagna su come accordo fatto con le società che gestiscono i casino. sono certo perchè lo testato di persona, e come descritto ho perso tutti i 70€ deposito.
fawzi.a@outlook.it