Pubblicato sul blog RSA un post che illustra una nuova tecnica di phishing che potrebbe presto sostituire o meglio affiancare le attuali in uso.
Il post indica in premessa come il 2012, sia stato un altro anno record nel numero di totale di attacchi di phishing con un 59% in piu' rispetto al totale calcolato per il 2011.( dai 279.580 attacchi del 2011 ai 445.004 del 2012)
Inoltre ne deriva che, secondo una ricerca di RSA, l'importo delle perdite in denaro 2012 dovute al phishing e' superiore del 22% rispetto alle perdite registrate nel 2011.
Vediamo alcuni dettagli:
Il vecchio SPAM di phishing si basava sul fatto che statisticamente piu' indirizzi di spam utilizzavo piu' era ed e' probabile che tra le tante mails inviate ci fossero molti possibili target da colpire.
Il nuovo attacco capovolge questa convinzione attraverso il concetto di utenze mirate al phishing.
Come si legge sul post RSA questo nuovo phishing e' paragonato un po come “i buttafuori al vostro night club preferito (Bouncer list ) ossia se gli utenti non sono sulla lista, allora niente phishing.
In altre parole il “kit di phishing buttafuori” si rivolge a un elenco predefinito di e-mail per ogni campagna.
Il blog spiega:
"Un valore ID utente viene generato per i destinatari mirati, inviando loro un URL univoco per l'accesso all'attacco e qualsiasi estraneo che tenta di accedere alla pagina di phishing viene reindirizzato a un codice di pagina '404' pagina non trovata e messaggio di errore.
RSA paragona l'attacco ad una "black hat whitelist" dove se il nome e' presente e l'ID relativo coincide chi riceve al mail potra' aprire la pagina fraudolenta mentre chi tentasse di aprire detta pagina senza essere in possesso della mail avrebbe solo un messaggio di errore.
Quindi '… quando le vittime accedono al link di phishing, il valore del loro 'ID' e' verificato in tempo reale non appena si tenta di visualizzare l'URL.
Dopo una scansione della " lista buttafuori ", i visitatori indesiderati non vedranno la pagina di phishing o meglio la pagina non verra' neanche generata dal KIT di phishing.
Per quanto riguarda gli utenti convalidati (in lista) il kit generera' invece immediatamente una pagina di attacco.
Il codice del kit e' programmato per copiare i file pertinenti in una nuova cartella temporanea e inviare alle vittime di quella pagina, al fine di rubare le loro credenziali. ( quindi uso di pagine dal nome random, cosa che vediamo gia' attualmente in maniera estesa ad esempio in phishing PayPal , VISA ecc... Un esempio QUI .....)
Secondo RSA, ogni campagna e' mirata ad una media di 3.000 destinatari con liste composte in ordine alfabetico.
In un caso recente i destinatari erano un mix di utenti webmail, indirizzi aziendali ecc... cosa che indica che si sono probabilmente aggregate un paio di liste di spam.
Si e' anche approfittato per gestire il phishing, di alcuni siti WordPress con vulnerabilita' plugin zero-day.
C'e' ora da vedere se assisteremo ad una diffusione su larga scala di questa nuova tecnica di phishing in relazione anche alla maggiore complessita' di attuazione e gestione rispetto al 'tradizionale' phishing basato su 'classico' SPAM.
Edgar
Nessun commento:
Posta un commento