mercoledì 28 agosto 2013

Phishing webmail(28 agosto)

Numerosi i casi odierni di phishing ai danni di noti servizi webmail (Yahoo, Google,AOL ecc....)

Questo un parziale report


che evidenzia l'utilizzo di una pagina fake dal layout ben noto.


Notate il logo di Google Docs a cui si viener ediretti dopo l'inserimento dei  dati.
Si tratta di un phishing multiplo ai danni di differenti servizi webmail, simile e probabilmente derivato da una pagina gia' vista in moltissimi casi di phishing Remax  


(Remax e' una azienda che si occupa del mercato immobiliare USA ed e' sempre molto sfruttata dai phishers per gestire decine di pagine clone di acquisizione credenziali di accesso a webamail.)

In buona parte dei casi analizzati oggi sembra sia stato utilizzato questo KIT


che conferma l'analogia con il phishing Remax attraverso l'uso di un subfolder il cui nome fa esplicito riferimento proprio all'azienda in questione (notate anche l'immagine del logo Remax).


L'uso del medesimo KIT lo si rileva dalla presenza dello stesso subfolder in molti dei cloni online:


ed anche


Per quanto si riferisce ai codici php utilizzati notiamo la data abbastanza recente degli stessi  (in quanto modificati dal phisher per includere l'indirizzo mail d invio credenziali sottratte)


mentre qui vediamo i sources






con invio delle credenziali di login sempre allo stesso phisher.
Si tratta di codice molto semplice e gia' usato in passato.

Da notare come in uno dei siti analizzati i phishers abbiano anche lasciato online una lista in formato testo 


contenente piu' di 8.000 indirizzi e-mail AOL

Potrebbe trattarsi di un elenco da utilizzare in unione a mailer per inviare mails 'mirate' a specifici utenti di servizio webmail (in questo caso AOL)  aumentando le probabilita' che chi riceve il messaggio cada nel tranello della falsa pagina di login.
Come gia' scritto in passato, lo scopo e quello di acquisire il maggior numero di accessi legittimi a mailbox per poi utilizzarli in azioni di spam, di distribuzione malware o phishing, ma anche di furto di dati personali che potrebbero essere acquisiti accedendo alla  mailbox compromessa.
Se poi si pensa che sono in molti ad utilizzare la medesima password di accesso a piu' servizi WEB, il rischio di vedersi sottratti dati personali per chi fosse caduto nel phishing, e' ancora piu' elevato.

Edgar

Nessun commento: