venerdì 3 gennaio 2014

Phishing Google. Alcuni KITS (03 gennaio)

Sempre numerose online le fake pagine di login a GMail ma anche, piu' genericamente, a servizi Google.
Vediamo alcuni KITS acquisiti online relativi a questo genere di phishing che rimane estremamente diffuso anche ai danni di altri servizi webmail tra cui quelli gestiti da Yahoo e da Microsoft.

Ricordo che per KIT di phishing intendo quel file di solito zip,rar..ecc... creato allo scopo di distribuire un sito di phishing completo (contiene la struttura del sito clone cioe' codici php, immagini, script ecc....).
A volte i phishers dopo averlo uploadato sul sito compromesso da usare per l'hosting  non lo eliminano lasciandolo cosi' a disposizione di chi analizza il clone di phishing.
L'analisi dei contenuti permette di capire come e' gestito il phishing, a chi vengono inviate le credenziali acquisite, eventuali analogie con altri phishing e con chi li gestisce ecc.....

Vediamo alcuni dettagli:

Il primo KIT 


e' il piu' semplice dei tre ma per certi versi forse il piu' efficace nell'azione di phishing in quanto presenta la tipica pagina di login a Google, non necessariamente a GMail ma anche a tutti gli altri servizi online come GPlus, GDrive ecc....


Il phishing e' gestito tramite semplice php dal codice ben noto


Altro KIT questo 


che vede una maggiore complessita' della struttura del sito di phishing con una fake pagina di login a GMail 


a cui segue la fake pagina di verifica dell'identita' di chi effettua il login


 con lo   scopo di ottenere anche l'eventuale indirizzo di mail alternativa o il numero di telefono
Questi i codici php che gestiscono l'invio al phisher delle credenziali  eventualmente sottratte 




Un terzo KIT


che vede un contenuto simile al precedente ma con solamente la pagina di login con layout piu' curato con aggiunta di loghi e immagine di telefono


In questo caso si nota come il codice php sia differente nell'acquisizione delle credenziali in quanto le stesse vengono salvate su file di testo che risiede nel medesimo folder del clone e non sono inviate via mail al phisher.


In questo caso il phisher dovra' poi accedere al folder che ospita il clone per 'recuperare' la lista delle password acquisite dal fake login.

Edgar
Posted by at

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)