venerdì 25 gennaio 2013

Uso di tools online per la creazione di 'web form' mirato ad acquisire credenziali web-mail.(25 gennaio)

Nel post di ieri abbiamo visto come i phishers utilizzino fake pagine di login a servizi di web-mail per cercare di acquisire le credenziali di accesso.
La creazione di simili pagine presuppone la conoscenza di un minimo di nozioni su come gestire form, acquisire i dati inseriti e non ultimo la disponibilita' di un hosting per i contenuti di phishing.
Generalmente vengono utilizzati siti legittimi compromessi oppure siti creati al momento usando (vedi il caso di ieri) servizi di free hosting.
Un altro sistema molto semplice ma non per questo meno efficace pare essere quello di approfittare di 'tool online' per la creazione e la gestione di forms.
Molto usato e' ad esempio il servizio di Google Docs che permette di creare un form online mettendolo in relazione con un foglio di calcolo Google Docs per acquisire facilmente quanto immesso nel form.

Il caso odierno vede una mail di spam in lingua italiana che facendosi passare per inviata da noto provider IT ha ad oggetto “Ultimo avviso Aggiorna il tuo Limite account”
Questo genere di mails informa di solito del superamento dei limiti di spazio mail-box assegnato ed invita a loggarsi al servizio mail seguendo il link presente nel messaggio.
A parte il fatto che per gestire il nostro account dobbiamo sempre  loggarci allo stesso tramite la pagina web ufficiale raggiungibile tramite l'url legittima e non cliccando su link presenti in mails di dubbia affidabilita', nel caso odierno per di piu' si viene linkati ad un form assolutamente 'ANONIMO' (solo i 4 campi di input) cosa che dovrebbe ulteriormente insospettire.

La spiegazione di un layout cosi' 'essenziale' si spiga con il fatto che il phisher ha usato uno dei tanti tools online per la creazione e la gestione di form.

Ecco un dettaglio della pagina home in lingua inglese del tool online tradotta con Google translator


Come si legge, con pochi click e' possibile creare un form e relativi codici php che invieranno i dati raccolti ad una mail, oppure scritti su file , DB ecc....
Notate anche che si spiega di copiare il codice cosi' ottenuto sul proprio 'server' (ad esempio un servizio di free hosting web).
In realta' chi ha creato il form di phishing parrebbe non essersi preoccupato nemmeno di trasferire form e codici generati su altro server ma usa direttamente il form fraudolento nel folder del sito di tool dove viene generato.

Ecco infatti il folder del sito di tool web form con un lungo elenco di form generati dai pishers.
Notate come parecchi nomi ricordino servizi web mail o di assistenza online ecc.... a probabile conferma dell'ampio utilizzo del tool in azioni di phishing


Tra i vari presenti, troviamo anche il subfolder linkato nella mail di phishing odierna


e, nel dettaglio, possiamo vedere il form linkaato dalla mail fake (con campi in lingua italiana) usato appunto per acquisire i dati.


Tra l'altro il servizio offerto dal tool mette a disposizione un viewer nel caso quanto acquisito (indirizzo mail, password ecc...) venga salvato su file e non inviati via mail e quindi possiamo trovare alcuni folders con al loro interno una 'vista' dei contenuti di login sottratti dai phishers. 


Edgar

Nessun commento: