venerdì 27 luglio 2012

Online la versione 'mobile' del phishing che tenta di sottrarre il token OTP inviato via SMS (27 luglio)

In alcuni precedenti posts (qui e qui) abbiamo analizzato alcuni phishing che attraverso una semplice sequenza di pagine fake, tentavano di accedere a conto bancario online protetto da password OTP.
Si trattava di siti fake di nota banca spagnola che dopo aver richiesto le credenziali di accesso al conto bancario online, acquisivano il TOKEN OTP inviato via SMS al cellulare dell'utente, attraverso una semplice pagina come questa che vediamo nello screenshot


Una volta in possesso del TOKEN legittimo, i phishers potevano quindi effettuare la transazione fraudolenta

Visto che la diffusione di dispositivi mobili e' sempre piu' vasta non sorprende di trovare adesso anche  la versione 'mobile' di questo particolare phishing (in lingua portoghese e probabilmente dedicata ad utenza brasiliana).

Ecco qualche dettaglio:

L'accesso al fake sito e' gestito tramite redirect multiplo 


che partendo da sito dal nome ingannevole e registrato in data di ieri (26/7)



e con whois 


passa poi all'uso del  noto sito di URL shortening e bookmarking service  BIT.LY, come ulteriore redir intermedio.

Dopo il redirect BIT.LY si passa al finalmente al clone su  


I redirects garantiscono come sempre ai phishers di poter variare l'hosting del clone nel caso di messa OFFline dello stesso o di black listing degli indirizzi

Ecco la sequenza degli screenshot catturati su VBOX con Android ICS:

Abbiamo le varie consuete richieste  


a cui segue quella dei codici di accesso al conto


per passare poi




ma anche con richiesta del numero del cellulare 


per passare poi ad una pagina di attesa (con barra animata) della ricezione del TOKEN OTP sul telefono del legittimo utente della banca.


Contrariamente ad altre volte a questo punto il passaggio alla pagina che dovrebbe chiedere il codice TOKEN ricevuto via SMS non avviene, ma si rimane 'bloccati' sull'animazione che indica l'attesa del codice.
Si potrebbe trattare di un problema di rete, di cattiva configurazione del sito clone ecc....  ma la cosa piu' probabile e' che, se i phishers (probabilmente in maniera automatica) verificano l'accesso al conto, essendo  i valori passati nei form degli screen precedenti  'di fantasia', manchera' un reale accesso al conto online.
Quindi per i phishers non ci sara' una conferma del login, dell'avvio della transazione fraudolenta ed ovviamente nessun invio di SMS da parte della banca e nessuna attivazione della successiva pagina che dovrebbe richiedere il TOKEN legittimo appena ricevuto dal reale utente.

In ogni caso, il nome usato dai phishers per il codice php di richiesta codice TOKEN e' abbastanza ovvio per cui passando nella url la stringa 'sms.php' abbiamo la visualizzazione della pagina successiva a quella di attesa, e possiamo procedere nell'analisi del clone


Si tratta di un form che accetta il codice TOKEN , chiede di confermarlo e passa ad ulteriore finale richiesta di altro codice che parrebbe essere di conferma dell'operazione eseguita:


A questi punto i phishers hanno a disposizione i dati necessari per completare la transazione fraudolenta mentre all'utente verra'  mostrata una pagina 


 che informa dell'avvenuta attivazione di un periodo di utilizzo senza spese aggiuntive, della carta di credito.

E' quindi probabile che allo scopo di attirare l'utente nel phishing si sia promesso un qualche bonus (uso gratuito) di  servizi della banca.
Altre volte questo genere di phishing era invece camuffato da install di applicazione per la sicurezza Internet delle transazioni bancarie.

In ogni caso si tratta ancora una volta di un phishing che riesce a bypassare protezioni ritenute sicure, come la gestione di accesso a conto bancario via TOKEN SMS , utilizzando un sito clone  dalla veramente semplice struttura e senza uso di particolari codici (a volte  malevoli) installati sul dispositivo dell'utente.
La maggiore complessita' del phishing e' certamente dal lato server dove devono essere presenti quelle procedure che, in maniera probabilmente del tutto automatizzata, devono gestire l'accesso al conto e la gestione del TOKEN SMS.

Edgar

giovedì 26 luglio 2012

Nuovo malware Android con fake installazione di Opera Mini (26 luglio)

In questo post in data 24/7 GFI Labs Blog informa di una nuova variante di malware per Android che appartiene alla nota famiglia di Trojan OpFake.
Il malware viene fatto passare come applicazione gratuita che installa il noto browser per dispositivi  mobili Opera Mini.   
Una volta che OpFake e' installato su uno smartphone, invia in maniera nascosta messaggi SMS a numeri a prezzo maggiorato con evidente 'esborso' da parte del proprietario del telefono.
Abbiamo gia' visto, in passati post (ad esempio qui) come si sviluppa l'azione del malware ma questa volta sembra sia stata creata una variante piu' ingannevole delle precedenti, poiche' nei dettagli riportati da  GFI Labs Blog risulta che questo malware installa realmente il vero browser Opera Mini. 
Infatti, durante l'installazione, sono rilevate due differenti pagine di "Permission to Install" che mostrano rispettivamente:
1) la prima pagina i permessi utilizzati dal malware (modifica delle autorizzazioni legate all'invio di SMS, accesso ai contatti memorizzati sullo smartphone, permessi di lettura della scheda SD, ecc.......... 
2) la seconda pagina una legittima richiesta dei permessi relativi all'installazione di Opera Mini.

Chi confermasse la doppia installazione si verrebbe a trovare con il browser Opera Mini installato e perfettamente funzionante senza essere  consapevole del fatto di aver anche installato il malware che invia gli SMS a pagamento in maniera nascosta.

Il blog  GFI Labs riporta anche un elenco delle attivita'  del malware quando in esecuzione :
Invio di un SMS a un numero a tariffa maggiorata prima di installare la legittima applicazione Opera  Mini. (il messaggio ed il numero sono acquisiti da server remoto )
Connessione al server per trasmettere i dati relativi a nome dell'Operatore        Versione del sistema operativo,  Device ID ( IMEI )  ecc.........

Edgar

mercoledì 25 luglio 2012

Ancora phishing che tenta di sottrarre token OTP inviato via SMS (25 luglio)

In questo recente post avevamo visto come attraverso una, tutto sommato semplice sequenza di pagine di phishing, si tentasse di accedere a conto bancario online protetto da password OTP.
La cosa si ripete, sempre ai danni della medesima banca spagnola anche se dal testo in portoghese parrebbe essere phishing rivolto ad utenza brasiliana della banca (viste anche le info a fondo pagina web con riferimenti al Brasile)

Tramite redirect che sfrutta servizio di URL Shortener 


si viene trasferiti sul clone di phishing ospitato su noto servizio di free hosting italiano (come succede spesso in casi di phishing.)


Si tratta, come gia' rilevato, di un sistema di acquisizione di token inviato via SMS al momento della transazione e che procede con una sequenza temporale gia' vista

1) richiesta dati personali e di accesso al conto attraverso fake sito della banca


2) accesso  al conto da parte dei phishers probabilmente in maniera automatica sfruttando i dati sensibili appena acquisiti


3) fake pagina di attesa durante la quale i phishers effettuano le operazioni sul conto


4) richiesta password dispositiva e se la transazione fraudolenta attivata dai phishers ha generato un legittimo token OTP visualizzazione di un messaggio di avvertimento e pagina di attesa della ricezione del token sul cellulare


5) pagina di richiesta del token ricevuto che una volta in possesso dei phishers viene utilizzato per validare la transazione

Ecco alcuni screenshot della particolare sequenza di phishing

Abbiamo la richiesta iniziale dei dati di accesso in genere con il pretesto di attivare una protezione internet del conto, di riattivare un account sospeso ecc..........



Da notare che viene acquisito anche il numero di cellulare che potrebbe al limite essere utilizzato per 'confermare' l'operazione eseguita attraverso fake SMS inviato al cellulare di chi fosse caduto nel phishing.

Segue pagina di attesa (elaborazione dati in corso e probabile accesso al conto da parte dei pishers)  e successiva info dell'invio al cellulare dell'utente di password tramite SMS 


con ulteriore pagina di attesa SMS 


e richiesta finale del token 'legittimo' appena ricevuto via SMS


A questo punto i phishers possono confermare la transazione attraverso il token SMS legittimo appena sottratto.

Come gia' detto, un sistema abbastanza semplice, almeno dal lato utente, simile ai piu' tradizionali phishing e che invece vede probabilmente la sua complessita'  nei codici che da remoto devono acquisire i dati personali di accesso al conto, gestire la 'fake' transazione ed utilizzare  il token SMS sottratto

Da notare anche che da una analisi del profilo utente  questo 'account' free che ospita il phishing parrebbe registrato sul servizio di free web gia' da qualche tempo 



Edgar

lunedì 23 luglio 2012

Ritorna lo spam pericoloso attraverso links a files ZIP contenenti malware (23 luglio)

Dopo una pausa piu' lunga del solito (normalmente tra due successi invii di questo genere di spam passavano 8..10 giorni) ecco tornare le mails con messaggio che tenta di far scaricare ed aprire il file zip linkato contenente un eseguibile con estensione mascherata da lunga sequenza di caratteri  'underscore'.
Segno di questa nuova campagna di spam e' anche la statistica degli accessi a questo blog  che vede un raddoppio degli stessi nelle ultime ore


messa in relazione con i post che vengono consultati relativi alla ben nota distribuzione di spam con  link a file zip. (Stringa 'Montebiz' nel testo del messaggio)


Questi alcuni odierni riferimenti trovati in rete che confermano il nuovo spam malware


e


mentre qui vediamo il 'solito' contenuto del file .ZIP


consistente nella nota e lunga sequenza di caratteri 'underscore' che nascondono l'estensione .exe se la finestra di visualizzazione del programma unzip ha dimensioni ridotte (maggiori dettagli qui)

Al momento il file e' visto da un numero piu' elevato di softwares Av rispetto alle volte scorse


anche se  il timestamp del file contenuto all'interno dello zip parrebbe confermare data attuale per i contenuti malware.

Considerato che sono ormai parecchi mesi che questo sistema di distribuzione malware (file zip linkato e dal contenuto con doppia estensione) sta proseguendo, evidentemente ci sono ancora utenti internet che cadono nel tranello cliccando sul file proposto come innocuo PDF.

Da notare pure che,come sempre, il testo dei messaggi in mails e' in lingua italiana, cosa che rivelerebbe trattarsi di malware creato appositamente per colpire una utenza IT della rete. 

Edgar

La 'fantasia' dei phishers non ha limiti. Un phishing ingannevole e molto particolare ai danni di noto hoster IT (23 luglio)


Come gia' visto parecchie volte, i phishers dimostrano sia nella scelta dei targets da colpire che nelle modalita' di attacco una notevole 'fantasia'
Basta vedere come, ad esempio, veniva attuato il phishing allo scopo di bypassare i tokens OTP descritto in questo precedente post, dove si procedeva con una serie di richieste volte a rendere inefficace la protezione di sistemi di protezione che usano la password inviata via SMS.

Quello che vediamo ora e' invece un phishing che va' a colpire un noto hoster italiano, attraverso la richiesta fake del pagamento del rinnovo del servizio di hosting.
Si tratta della prima volta che un phishing del genere viene analizzato su questo blog, e che parrebbe  essere molto ingannevole se non altro perche' chi lo attua potrebbe procurasi indirizzi mail legati strettamente allo specifico oggetto del phishing.
E' infatti chiaro che molti dei siti web, in special modo personali, sono stati creati, registrati e messi online dalla stessa persona che li usa per proporre contenuti, blogs ecc...
E' quindi molto probabile che tra gli indirizzi mails rintracciabili sul sito ce ne sia uno di chi amministra il sito (e quindi paga anche l'hosting), cosa che permetterebbe facilmente ai phishers di venire in possesso di una mail a cui inviare la richiesta di 'fake' pagamento con buone probabilita' di successo.
In altre parole i phishers potrebbero rintracciare dalla rete indirizzi mails che si riferiscono a chi  fisicamente  amministra e 'paga' l'hosting del sito, magari filtrando la ricerca solo per quello specifico hoster, e quindi evitare di inviare mails di spam senza verifiche ma solo mirate a chi potrebbe cadere piu' facilmente nel tranello della falsa richiesta di pagamento.

Vediamo qualche ulteriore dettaglio:

Tramite un redirect con url ingannevole ed ospitato su servizio di free web (di cui vediamo la home)



si passa al sito di phishing  ospitato su server 


che mostra la presenza di 


Traducendo la pagina dal russo parrebbe trattarsi di un probabile servizio free di hosting.


Questa invece la pagina di phishing


dove notiamo sia il logo dell'hoster IT che i dettagli di quanto deve essere pagato  per il servizio ed, a destra, il form relativo alle credenziali di carta di credito

La scelta e' ampia includendo anche PostePay.


Una occhiata al source dimostra come i vari loghi siano linkati a partire da differenti siti


tra cui uno in varie lingue tra cui quella italiana anche se su server tedesco


Cliccando su 'procedi con la verifica'  si viene portati, senza apparentemente controllo della presenza o meno di dati digitati nel form, ad una pagina 'Verified by VISA' con richiesta della password


 per passare poi a successiva pagina di conferma


e redirect  sul reale sito dell'hoster IT.

Chiaramente le finalita' di un phishing come quello visto ora sono il furto  di credenziali di Carta di Credito (compreso anche la password del servizio Verified By Visa ) in linea con le attuali tendenze rilevabili in rete dove il furto di dati sensibili riguardo a Carte di Credito e password di verifica come quelle 'By Visa' e' sempre piu' diffuso.
In ogni caso si tratta di un phishing, come detto in premessa, molto particolare e che stupisce per la 'fantasia' dei phishers nel trovare sempre nuovi 'bersagli' da colpire.

Edgar

sabato 21 luglio 2012

Coincidenze ? Attacchi DoS a due noti siti di segnalazioni phishing e malware.(21 luglio)


Nella serata di ieri chi avesse voluto consultare il DB delle segnalazioni phishing e malware di Clean Mx riceveva questo messaggio 


Il sito Clean Mx, di cui vediamo la homepage


si occupa, tra le altre cose, di proporre online elenchi aggiornati e dettagliati relativi agli indirizzi web di siti compromessi allo scopo di distribuire malware, hostare pagine di phishing ecc....

A distanza di 24 ore la pagina che informa dell'attacco DDoS (Distributed Denial of Service)  e' sempre presente al posto della visualizzazione dei reports che risultano irragiungibili.

La cosa non meritava forse la pubblicazione di un post visto che attacchi Ddos non sono certo una novita' in rete senoche' da poco apprendo, consultando http://www.apilabs.it/  che anche il noto sito IT,  Antipishing Italia, che nello specifico propone un aggiornato DB di segnalazioni di indirizzi di phishing, e' sotto attacco DoS di tipo SYN Flood. 
Come informa il post si tratta di un attacco di tipo Denial of Service che prevede l’invio massiccio di richieste (SYN) al fine di saturare il server rendendo non raggiungibile il sito sotto attacco.

Quindi due noti siti di segnalazioni urls  phishing e/o malware che stranamente sono entrambi vittima di un attacco volto ad oscurarne i contenuti, cosa che potrebbe far pensare anche ad un qualche legame tra le due azioni DoS

Edgar

Phishing non solo IT (aggiornamenti 21 luglio)

L'acquisizione degli screenshots in tempo reale dei links proposti in rete da siti che listano le segnalazioni di phishing degli utenti Internet, permette di verificare con maggior dettaglio i nomi di aziende, banche o servizi internet coinvolti.
Succede infatti spesso che il riferimento al nome dell'azienda oggetto del phishing  non compaia nella URL del link ma rimanga nascosto fno a quando non si carica la pagina clone.

L''acquisizione automatica dei links e la disponibilita' del relativo  screenshot catturato al momento, permettono invece di mettere in relazione  l'URL con il nome dell'azienda/banca colpite ed inoltre, ovviamente, di rilevare se il sito e' attivo ON-line.
Per la loro stessa natura i cloni di phishing rimango infatti online per tempi limitati sia per azioni di contrasto sia perche' gli stessi phishers cambiano frequentemente l'indirizzo web (spesso gestito da redirect) onde evitare black-listing dello stesso.

Ecco un parziale elenco degli screenshot acquisiti attualmente:


Come si nota alcuni screenshots risultano 'vuoti' oppure con la tipica segnalazione di sito non raggiungibile, 'forbidden' ecc.
Questo si spiega con il fatto che  alcuni degli indirizzi sono andati OFF-line oppure perche' la pagina sfrutta java scripts o flash, che sono volutamente disabilitati sul programma di cattura screenshot, onde evitare eventuali 'problemi' di sicurezza.
Capita infatti che alcuni links postati dagli utenti siano non tanto relativi a phishing ma collegamenti a pagine con script malware che potrebbe attivarsi al momento del caricamento della pagine web per effettuarne lo screenshot.

Vediamo ora alcuni screenshots selezionati tra quelli attuali e che dimostrano la vastita' degli 'interessi' dei phishers.
Si va infatti da note aziende sino a particolari nomi non molto diffusi e mai visti in rete in casi di phishing.
In generale si tratta comunque di aziende,banche e servizi Internet a diffusione mondiale con un elevato numero di utenti, cosa che garantisce una maggiore possibilita', per i phishers, di acquisire dati sensibili 'validi'
La tendenza  e' inoltre quella di sottrarre in maniera fraudolenta credenziali nella maggior parte relative a Carta di Credito ed anche a login di accesso a noti servizi di web-mails.

Ecco i dettagli (le INFO relative all'attivita' dell'azienda sono di fonte Wikipedia} :

Amazon
Amazon.com, Inc. (NASDAQ: AMZN) e' una compagnia di commercio elettronico statunitense con sede a Seattle, nello stato di Washington.
Fondata con il nome di Cadabra.com da Jeff Bezos nel 1994 e lanciata nel 1995, Amazon.com inizio' come libreria online, sebbene presto allargo' la gamma dei prodotti venduti a DVD, CD musicali, software, videogiochi, prodotti elettronici, abbigliamento, mobilio, cibo, giocattoli e altro ancora. 
Amazon ha creato poi altri siti in Canada, Regno Unito, Germania, Austria, Francia, Italia, Spagna, Cina e Giappone e spedisce i suoi prodotti in tutto il mondo. 


Altro clone Amazon in lingua tedesca


Bank Of America
La Bank of America e' la piu' grande banca commerciale degli Stati Uniti d'America in termini di depositi e la piu' grande compagnia del suo tipo nel mondo.
Prima del 1993, la Bank of America era conosciuta come Nations Bank, con sede a Charlotte (North Carolina). 
Nel 1998 la Nations Bank si fuse con la Bank of America di San Francisco e assunse il nome di Bank of America.
La storia della pre-1998 Bank of America nasce dalla Bank of Italy, fondata a San Francisco da Amadeo Giannini nel 1904. 
Al tempo del terremoto di San Francisco del 1906, Giannini riusca' a salvare il denaro depositato dal crollo dell'edificio in cui la banca era ospitata e dagli incendi. 
Contrariamente a molte altre banche, fu quindi in grado di prestare denaro a coloro che erano stati colpiti dal disastro.
Si tratta di phishing abbastanza diffuso


Capital One
Capital One Financial Corp. (NYSE: COF) e' una holding bancaria statunitense specializzata in carte di credito, mutui casa, prestiti auto, servizi bancari e prodotti di risparmio. 
E' il quarto cliente della United States Postal Service ed ha il sesto piu' grande portafoglio di depositi negli Stati Uniti.


Login fake a web mail con visualizzazione di loghi multipli di servizi webmail.
Larga diffusione di pagine come questa


ma anche realizzate utilizzando il noto servizio di Google Docs che permette di creare e mettere on-line forms come questo 


ed i cui dati vengono salvati su foglio elettronico Google docs associato ai campi del form.

Halifax 
Halifax e' una catena bancaria del Regno Unito ed una divisione di Bank of Scotland, a sua volta interamente controllata da Lloyds Banking Group. 
E 'il piu' grande fornitore del Regno Unito di mutui residenziali e dei conti di risparmio. 
Prende il nome dalla citta' di Halifax, West Yorkshire dove e' stata fondata come societa' nel 1853. Il suo slogan e' "A Little Extra Help".
Phishing abbastanza diffuso , cosi' come quello Lloyds Banking Group


Banco Patagonia
Banco Patagonia e' una banca commerciale argentina con sede a Buenos Aires. 
La societa' conta attualmente piu' di 775.000 clienti ed e' la sesta piu' grande banca dell'Argentina.
Phishing mai rilevato da questo blog in precedenza e che parrebbe essere rivolto solamente ai clienti locali della banca.


PayPal

PayPal e' un sistema di pagamento online che permette a qualsiasi azienda o consumatore che disponga di un indirizzo email di inviare e ricevere pagamenti. 
Registrandosi gratuitamente, e' possibile aprire il proprio account che consente di effettuare pagamenti utilizzando la mail e la relativa password.

Sicuramente uno tra i piu' diffusi se non il piu' diffuso phishing almeno attualmente (vedi precedente post).
Decine di layout differenti in varie lingue e che tentano di acquisire le credenziali di Carta di Credito.
Attualmente prevale questo genere di layout


ma anche


ed altri ancora.

Skype
Skype e' un software proprietario freeware di messaggistica istantanea e VoIP. 
Esso unisce caratteristiche presenti nei client piu' comuni (chat, salvataggio delle conversazioni, trasferimento di file) ad un sistema di telefonate basato su un network Peer-to-peer. 
Gli sviluppatori sono gli stessi che hanno realizzato il popolare client di file sharing Kazaa, ossia la Sharman Networks. 
Il prodotto e' stato introdotto nel 2002. La soluzione tecnica e' stata messa a punto in Estonia da Jaan Tallinn, Ahti Heinla e Priit Kasesalu.
La possibilita' di far uso di un servizio a pagamento, SkypeOut, che permette di effettuare chiamate a telefoni fissi, rendono il programma competitivo rispetto ai costi della telefonia tradizionale, soprattutto per le chiamate internazionali e intercontinentali. 
Il 10 maggio 2011 Microsoft ha acquistato Skype per 8,5 miliardi di dollari, divenendone il quarto proprietario in otto anni. 
A tale proposito, Microsoft ha lanciato Skype su piattaforma Windows Phone e Xbox Live.
Phishing abbastanza diffuso ultimamente e che in questo particolare caso vede il clone


ospitato su


con whois IT 


TAM
TAM Airlines(in portoghese: TAM Linhas Aereas)e' il marchio brasiliano del Gruppo LATAM Airlines 
La societa' e' attualmente la piu' grande compagnia aerea brasiliana.
Si tratta di phishing abbastanza diffuso.


Questo un dettaglio del folder che ospita diversi cloni TAM con data recente


Edgar