giovedì 28 marzo 2013

Phishing ai danni di utenti IT di Facebook (28 marzo)

Ricevuta una mail che evidenzia un phishing che tenta di sottrarre credenziali di accesso ad utenti IT del noto social network.
Come vedremo da una breve analisi, oltre che a colpire utenti IT, la fonte del phishing parrebbe avere origine italiana almeno per quanto si riferisce agli headers rilevati in mail.
La possibile source italiana di questo phishing contrasta comunque con il testo del messaggio mail che se pur in lingua italiana non e' molto corretto, senza dimenticare che il fake form di login/registrazione account e' in lingua inglese.

Ecco alcuni dettagli:

Questa la mail 


i cui headers mostrano IP tutti italiani come probabile source dello SPAM


Il link presente in mail punta a fake form Facebook 


hostato su


con questa struttura di folder che ospita il clone creato in data recente


Analizzando il fake form vediamo come lo stesso sia gestito, relativamente all'acquisizione delle credenziali di accesso, in modo particolare e poco visto in altri casi.
Possiamo infatti notare come sia possibile dividere il form in due parti ben distinte e precisamente:

1) Un form di login a Facebook per chi possiede gia' l'account (gestito da codice PHP linkato su altro IP) e che inviera' ai phishers i dati acquisiti

2) Un form di nuova registrazione a Facebook gestito da legittimo php che linka al reale sito di Facebook


Probabilmente si vuole in questo modo rendere piu' credibile il form e d'altronde dal testo mail (….Per proteggere il tuo account, e sara necessario effettuare nuovamente l'accesso....) si capisce come il phishing sia rivolto a chi gia' possiede un account Facebook e che quindi scegliera' il fake form di login con conseguente furto delle credenziali di accesso.

Per quanto si riferisce all'utilita' per i phishers di acquisire credenziali Facebook ci sono diverse possibilita' di utilizzo delle stesse come ad esempio l'ulteriore invio di spam di phishing (con link malevoli ecc....)  attraverso gli elenchi di contatti  accessibili una volta loggati in Facebook con le password sottratte.
E' comunque anche probabile che una volta acquisiti i dati di accesso i cybercriminali approfittino del fatto che gli utenti tendono a utilizzare la stessa password in vari servizi web-based (Yahoo, Facebook, Gmail, Outlook Web Access, ecc) cosa che, al limite, potrebbe anche permettere l'accesso remoto  a reti aziendali.

Edgar

Nessun commento: