lunedì 28 gennaio 2013

Ancora false pagine di login a noti servizi free di web-mail.(28 gennaio)

Ecco un attuale caso di falsa pagina di login a servizio di web-mail che, ancora una volta, sfrutta il logo Microsoft (ed il nome Microsoft nella url) per tentare di ingannare maggiormente il visitatore.



Vediamo alcuni interessanti dettagli:

Il phishing vede come primo passo l'uso di un dominio dal nome ingannevole che ospita un codice di redirect.
Ovviamente essendo un dominio creato ex-novo ed in data abbastanza recente


i phishers hanno creato una url che ricorda maggiormente un nome simile all'originale che verra' clonato.
In questo caso e' stato scelto il nome Microsoft con inserite nel testo alcune ulteriori lettere ma sempre mantenendo una stretta somiglianza con il nome originale.

Ecco come si presenta, sul fake dominio Microsoft, il contenuto del folder che ospita il codice di redirect (il file con data di ieri evidenziato in verde) ma che include anche diversi altri codici di phishing sia  come sola gestione dei dati acquisiti attraverso forms (soli codici php) che come layout di sito fake di banca (codici html, immagini jpg ecc....)


In particolare, oltre al codice di redirect abbiamo anche:

1) un phishing che interessa Postbank su folder


e con source della pagina di login come


2) due phishing ai danni rispettivamente di VirginMoney e Barclays su folder


come codici php che puntano a


e


In questo caso si tratta solo di hosting dei codici php di supporto ai form di phishing  (forms presenti probabilmente su altro sito o allegati in mail).

Ecco, ad esmpio, come si presenta il codice relativo ad acquisizione credenziali Barclays


3) un folder che ospita una copia del phishing webmail uguale a quella attuale in uso sul sito a cui si viene reindirizzati.

4) ulteriori folders che contengono codi di acking di vario genere …...

Tornando al redirect al fake login webmail, oggetto del post, il re-indirizzamento punta a sito compromesso (quindi non su dominio creato allo scopo di hostare codici di phishing come il caso precedente).
Comunque, anche se viene utilizzato sito compromesso dal nome di dominio pre-esistente, i phishers approfittano del fatto che possono creare una serie di sub-folders dai nomi ingannevoli.
Questo un dettaglio dei nomi di folders creati dai phishers dove vediamo ritornare il nome Microsoft


mentre questo il contenuto del folder dove e' stato predisposto tutto quello che serve a gestire la pagina fake di accesso al servizio mail ( codice html della pagina, le immagini dei loghi dei servizi mail coinvolti, il codice php di invio credenziali sottratte ecc....)


Il risultato e' 


con form di immissione di nome utente e password da scegliere tra diversi noti  servizi disponibili


Esiste comunque anche la possibilita' di scelta generica per chi non utilizzasse una delle webmail elencate.

La gestione dei dati sottratti presenti nel form avviene con questo semplice codice php che provvede ad inviare al phisher, via mail, l'username e la password digitati 


ed a reindirizzare poi sul reale sito Microsoft.com/security/.

Edgar

Nessun commento: