Come visto ieri il phishing PayPal e' uno tra i piu' presenti in rete e sfrutta sia domini creati appositamente che hacking di siti legittimi per ospitare le pagine clone con forms che tentano di acquisire credenziali di carta di credito e dati personali.
Il caso che vedremo oggi risulta poi essere particolare in quanto dimostra ancora una volta come vulnerabilita' presenti possano essere forse sfruttate a piu' riprese creando siti che includono un vasto 'campionario' di tipologie di hacking.
Vediamo qualche dettaglio:
Si tratta di questo sito comunale italiano
la cui homepage presenta date ed info su eventi recenti o prossimi confermando quindi l'aggiornamento dei contenuti e quindi il fatto che si tratta di sito attualmente attivo ed amministrato.
Analizzando le segnalazioni di phishing online si trova che il sito comunale presenta incluso un phishing PayPal tuttora attivo ed in lingua tedesca con la consueta pagina di login
a cui segue il form di acquisizione dati personali e credenziali di carta di credito
form che esegue una verifica formale dei dati digitati
Una ulteriore analisi dei contenuti del sito
evidenzia poi in due subfolders la presenza di codice che redirige in automatico, in un caso, su questa pagina in lingua inglese
con whois cinese
L'altro redirect presente parrebbe non puntare a sito attualmente attivo.
Ma non e' finita...
Approfondendo la ricerca attraverso l'uso di Google e di Bing si trova che sono indicizzate alcune pagine di pharmacy sempre aventi come url quella del sito comunale.
Aprendo i risultati nel browser otteniamo
con pagina comprendente frame che punta a sito di pharmacy attualmente attivo
La conferma della diffusione di links a pharmacy attraverso il sito comunale la abbiamo ricercando termini di pharmacy ed includendo nella ricerca l'url del sito stesso, ottenendo
dove compaiono nei risultati decine di links a pagine in lingua anche italiana che propongono ulteriori links al sito comunale proprio alla pagina di pharmacy vista prima.
Una veloce analisi di alcuni siti coinvolti nella diffusione dei links mostra comunque che la maggior parte risulta bonificata ed anche dalle date di indicizzazione (Google) parrebbe trattarsi di un pharmacy hacking ormai terminato.
In ogni caso resta attiva la pagina inclusa all'interno del sito comunale con frame che propone sito di pharmacy tuttora online.
Anche se queste azioni di pharmacy hacking o di phishing rilevate sono del tutto invisibili ad un normale visitatore del sito e quindi non rilevanti dal punto di vista della sicurezza di chi lo visita, l'effetto di questi attacchi genera quantomeno una serie di avvisi di sicurezza da parte di diversi servizi online che si occupano di analizzare lo stato di compromissione dei siti.
Qui vediamo ad esempio come il sito comunale visto ora sia catalogato da diversi servizi internet di verifica dei contenuti
con
Le segnalazioni potrebbero, al limite, portare il sito a comparire come poco affidabile anche nei risultati di ricerca online con tutte le conseguenze del caso.(blocco dell'indicizzazione di nuove pagine, comparsa di messaggi di allerta Google ecc...)
Edgar
Nessun commento:
Posta un commento