sabato 30 novembre 2013

Phishing TIM (30 novembre)

Questa una mail ai danni di utenti TIM ricevuta in serata (ora thai)


 che dimostra come le azioni di phishing che prendono di mira aziende italiane di telefonia, soprattutto mobile, siano sempre numerose.

Questi gli IP in header mail


Il codice del messaggio in base64 mostra, quando decodificato,


come il logo in mail sia linkato da sito IT anche se su server USA.


Particolarita' del sito da cui e' linkato il logo Tim e' quella di avere i folder delle immagini utilizzate, esplorabile, e per di piu' con ampia scelta di loghi di molte compagnie telefoniche.(molte dimensioni immagine disponibili)


Altra cosa interessante e' l'hosting del clone TIM che e' su IP italiano


cosi come la registrazione del dominio con riferimenti a nominativo italiano (quasi sicuramente di fantasia)


Al momento di scrivere il post il clone TIM appare comunque non raggiungibile a seguito della sospensione dell'account.


Edgar

Phishing WIND (30 novembre)

Nuovo phishing WIND che in parte si differenzia dai precedenti sia per il layout mail, che per i contenuti del relativo KIT di phishing.

Questa la mail ricevuta 


con layout dove possiamo notare non solo il logo WIND, ma anche altri due loghi di banche IT (Agos e Credem)

Questi gli IP in header mail


L'inserimento dei due loghi nel messaggio oltre a quello WIND, ed anche il riferimento presente nel testo mail, cercano di rendere piu' credibile il phishing o comunque di estendere il target dell'azione fraudolenta.
I loghi presenti in mail sono linkati da differenti siti, come si nota dal source del messaggio, codificato in base64 come in numerosi precedenti casi.


Particolare curioso, attualmente, chi aprisse il messaggio mail, non vedrebbe il logo Wind, 


poiche' il sito  da cui viene linkato presenta avviso di “bandwidth limit exceded”.


Anche se e' difficile pensare che il solo accesso al logo hostato sul sito, da  parte di chi ha aperto le mails di phishing, abbia creato questo problema (viste anche le dimensioni di solito ridotte delle immagini logo), se la diffusione dei messaggi fake WIND fosse veramente estesa, cio' avrebbe potuto contribuire a generare il blocco del sito e relativo avviso “bandwidth limit exceded”.

Tornando al phishing, a parte il layout mail, il clone linkato presenta un phishing WIND con form di richiesta dettagliato dei dati di carta di credito a fronte della fake ricarica online.


Altra particolarita' il fatto che al sito clone WIND si acceda  tramite redirect 


attraverso sito compromesso con whois


e non link diretto, come accadeva negli ultimi phishing analizzati.

Il KIT di phishing presenta struttura abbastanza complessa rispetto ad altri visti ultimamente


Qui vediamo un dettaglio del file .htaccess che gestisce l'url che punta al clone WIND, url dove e' presente anche l'indirizzo mail a cui e' stato inviato il messaggio fake.


Dopo il form di richiesta credenziali di carta di credito si passa a pagina con form Verified by VISA 


a cui segue un redirect a sito legittimo WIND, area 'privati'.


Edgar

venerdì 29 novembre 2013

Siti IT compromessi. Aggiornamento(29 novembre)

In riferimento al defacement analizzato nel precedente post sembra trattarsi di azione 'work in progress', in quanto una attuale scansione dei siti present su


mostra che il numero di quelli compromessi e' aumentato notevolmente (in rosso i precedenti siti rilevati)


cosa che parrebbe configurare il caso attuale come azione di 'mass defacement'

Edgar

Siti IT compromessi.(29 novembre)

Attualmente presente in rete un defacement ai danni di alcuni siti IT


hostati su


e che presentano nella maggior parte la homepage sostituita da


ma e' anche presente questo layout


e


Il 'response header' indica data attuale per l'azione di defacement


Edgar

martedì 26 novembre 2013

Phishing 3 (26 novembre)

A distanza di poche ore dal precedente phishing TIM ecco una mail ai danni di 3.


Dallo screenshot si nota come il layout 3 sia praticamente identico al precedente phishing TIM.

Questi gli IP in header


Il dominio utilizzato a supporto del clone di phishing appare creato recentemente


Le analogie con il phishing TIM non si fermano al layout delle mail ricevute ma anche l'hosting appare utilizzare stesso servizio su IP canadese.
Al momento di scrivere il post l'hosting del sito di phishing e' comunque  sospeso, cosi come quello relativo all'hosting del clone TIM visto ieri.


Edgar

lunedì 25 novembre 2013

Phishing TIM (25 novembre)

Poche righe per descrivere un attuale phishing TIM, con la consueta mail


 dal source codificato in base64 e con header


Il clone TIM e' ospitato su dominio .NAME (non molto comune) e che risulta creato da poco tempo.


Un whois del clone TIM mostra IP canadese con hoster come


La struttura del sito di phishing comprende il 'solito' fake form


a cui segue quello di richiesta credenziali Verified by VISA


per passare poi al reale sito TIM.


Edgar

Gentile albergatore - Importanti informazioni di sicurezza. Ancora un phishing venere.com (25 novembre)

Ricevute alcune mails di phishing ai danni di venere.com.
Si tratta di phishing che segue, da poco, quello segnalato il 23 novembre con la differenza che questa volta si tratta di un uso di allegato mail mentre il precedente vedeva la presenza di form fake hostato su sito compromesso.

Il layout del form appare comunque identico nei due casi analizzati.


Dal testo mail, scritto in buon italiano, si capisce come il target siano gli albergatori o comunque chi utilizza il servizio di venere.com per gestire prenotazioni on-line.


Interessante anche l'header mail che mostra nuovamente IP italiano, come probabile origine dei messaggi mail, ed in particolare un IP appartenente a Fastweb.


Ricordo che la maggior parte dei casi analizzati nei mesi scorsi indicava sempre IP Fastweb (vedi es QUI)come probabile origine dei messaggi.

Il form fake usa un codice php


hostato su


Si tratta di servizio di free hosting web locato in repubblica Ceca, come vediamo da questo screenshot tradotto con 'Google Translate'


Stesso free hosting e' gia' stato usato altre voltre a supporto di phishing venere.com.

Una ipotesi sul possibile uso dei dati acquisiti dai phisher relativamente alle credenziali di accesso al servizio venere.com e' presente QUI

Edgar

domenica 24 novembre 2013

Siti IT compromessi.(24 novembre)

Attualmente presenti in rete una trentina di siti su dominio IT ma hostati su IP 


che presentano la homepage sostituita da 


Anche richiamando altre pagine dei siti colpiti (non solo la homepage),  il 'risultato' non cambia


Questo un report generato da tools Autoit


Altra segnalazione relativa invece a questo IP italiano


dove troviamo diversi siti


che presentano inclusa questa pagina di hacking


Il 'response header' indica data attuale per l'inclusione del codice di hacking


Si tratta di pagina di hacking che ritroviamo in precedente post 


gestita probabilmente da parte dei medesimi personaggi ma a danno di differente hoster.

Edgar