La maggior parte dei contenuti (files php, java, html, immagini di vario genere, ecc....) che costituiscono un sito di phishing, vengono messi on-line attraverso l'upload sul sito compromesso che li ospitera' ( o su sito creato appositamente a questo scopo), attraverso file (zip, rar..ecc..) che prende comunemente il nome di “KIT di phishing”.
Anche se di solito il phisher dopo aver estratto i contenuti fake, provvede a cancellare il file, a volte non esegue questa operazione lasciando disponibile il KIT a chi analizza il sito di phishing.
Attraverso l'utilizzo di semplici scripts e' quindi possibile automatizzare l'operazione di ricerca, acquisendo cosi' diversi KIT relativi ai piu' differenti phishing attualmente attivi.
Ecco ad esempio alcuni KIT attualmente on-line che sono stati rilevati su siti compromessi che presentavano un clone di phishing attivo.
Nel dettaglio il numero piu' alto di KIT rilevati attualmente appartiene a phishing webmail con struttura abbastanza semplice, e codice php di invio credenziali sottratte, limitato a pochi dati sensibili (di solito solo username e password di login)
Qui vediamo un KIT attivo online
con un dettaglio del codice che gestisce l'invio dei dati ai phishers.
Ecco un caso con il nome del file compresso
che evidenzia la tipologia di questo phishing
Altri KIT come ad esempio quello Apple (in basso a sinistra nello screenshot)
mostrano struttura piu' complessa, con codice che acquisisce un maggior numero di dati sensibili personali e di carta di credito.
Questo un caso attuale che mostra ancora un KIT di phishing Google
In ogni caso l'analisi dei KITs permette di acquisire diverse INFO relative sia all'indirizzo mail a cui vengono inviati i dati sottratti, ma anche di valutare, ad esempio, la diffusione di un particolare phishing associandolo a chi lo gestisce.
Edgar
Nessun commento:
Posta un commento