domenica 23 marzo 2014

Ritorna il phishing ai danni di utenti IT del sito Expedia - Venere.com (23 marzo)

Ricordo che Expedia e' un sito di viaggi statunitense fondato da Microsoft nel 1996, con versioni in lingua per venti nazioni.
Tramite Expedia e' possibile prenotare biglietti d'aereo, hotel, automobili a noleggio, crociere, pacchetti vacanza e vari servizi attraverso internet o telefono.(fonte Wikipedia)

Ormai presente in rete da molto tempo il phishing Expedia (collegato anche a quello ai danni venere.com) torna nuovamente online.
In dettaglio la maggior parte del phishing rilevato nei mesi scorsi puntava come redirect finale al sito venere.com.
Venere.com e' infatti un sito di servizio online di prenotazione hotels, agriturismo ecc.... legato al gruppo di aziende facenti parte di Expedia

Questo il clone odierno (dal layout rinnovato rispetto ai primi phishing Venere.com)  hostato su sito compromesso con IP USA.


Ecco invece un dettaglio del folder che ospita il clone e che mostra data recente di creazione


cosi' come il response header della pagina di fake login


Una volta acquisite le  credenziali di accesso si viene rediretti sul legittimo sito collegato ad Expedia e precisamente venere.com


In effetti nella parte bassa della pagina del clone di login si nota come sia presente oltre al logo Expedia anche il logo venere.com  


In questo post una possibile spiegazione di come possano venire sfruttate le credenziali di accesso acquisite in maniera fraudolenta

Edgar  

lunedì 17 marzo 2014

Vi informiamo che hai ricevuto un telegramma. Mail di phishing PosteIT (17 marzo)

Ricevute alcune mail di phishing ai danni di PosteIT che utilizzano un testo, diverso dai soliti 'conto bloccato' 'bonus' 'vincita premio' ecc... che sono gli 'argomenti' piu' spesso utilizzati dai phishers per generare messaggi ingannevoli.

Si tratta infatti di mails che, come indica anche l'oggetto del messaggio, non proprio in corretto italiano, (ed il titolo del post)  ci informano di un telegramma consultabile on-line connettendosi al sito PosteIT linkato:


E' chiaramente un tentativo di incuriosire chi ricevesse la fake mail, invogliandolo a cliccare sul link presente in mail ed a loggarsi al falso sito di phishing PosteIT (vedi screenshot)


hostato su server


Questa la mail


che presenta nel testo, come tentativo per apparire piu' credibile, sia il nome della persona a cui e' stata inviata che data ed ora attuali.
Confrontando differenti mail ricevute si nota come altri dettagli (es. il numero del telegramma) siano invece sempre gli stessi:


Una analisi dell'header mail mostra


ed anche 


con, in entrambi i casi, stesso IP di possibile origine delle mails di phishing.

Edgar

sabato 15 marzo 2014

Siti IT compromessi (15 marzo)

Ecco un bell'esempio di come spesso si trovino siti compromessi le cui vulnerabilita' o comunque la possibilita' di alterarne i contenuti da remoto, vengano sfruttate da differenti personaggi ed in differenti momenti.

E' di questa mattina (ora thai) un sito di P.A. italiana (Comune del Sud Italia) hostato su 


che presenta questa semplice pagina di hacking


Questo il 'response header


Come succede abbastanza spesso se proviamo ad analizzare i siti hostati sul medesimo IP e filtrando al ricerca per termini di Pharmacy Hacking otteniamo decine di risultati relativi a siti IT che ospitano riferimenti e link  nascosti a pagine di vendita online di farmaci, soprattutto viagra e derivati.


Non sorprende che tra i molti siti presenti anche quello comunale visto prima faccia parte di questo lungo elenco


Nel dettaglio una ricerca limitata al solo dominio del Comune trova decine di risultati con links a Pharmacy
Ecco invece un frammento del source di una tra le numerose pagine web appartenenti al sito comunale e con evidenti segni di termini di Pharma Hack  ma non solo:


Una analisi delle probabili date di inclusione dei codici di pharmacy mostra comunque riferimenti a fine 2013 senza che appaiano nuove indicizzazioni di codici di pharmacy, da parte dei bot dei motori di ricerca, nel 2014.

Edgar

mercoledì 12 marzo 2014

Pharmacy Hacking. Aggiornamenti (12 marzo)

Ecco alcuni attuali casi di siti IT compromessi con inclusione di codici di Pharmacy Hacking, allo scopo di diffondere links nei risultati di una ricerca in rete.

Questo il sito di noto campione di ciclismo.italiano


che mostra alcune pagine che, probabilmente generate da codici di pharmacy hacking inclusi nel sito, mostrano parte del layout orinale (esempio le foto) ma con ampia parte del testo sostituita da termini di pharmacy in lingua italiana.

Questi invece alcuni siti legati all'istruzione pubblica IT che evidenziano azioni di Pharmacy Hacking.

Un sito di Ufficio Scolastico Regionale


con link a pharmacy incluso nel testo della pagina


Un sito di liceo con evidente presenza nel codice di links e testi  di Pharmacy (in questo caso nascosti)


ed un altro sito, sempre di liceo con links a pharmacy.


Si tratta comunque di un piccolo esempio di quanto e' possibile trovare attualmente online relativamente ad azioni di Pharmacy Hacking che colpiscono siti IT in maniera estesa.
Il fatto poi che links e testi di Pharmacy sono quasi sempre visibili solo al bot del motore di ricerca e non a chi visita normalmente i siti coinvolti favorisce ancora di piu' la permanenza online per lungo tempo delle pagine che linkano a siti di vendita online di medicinali (quasi sempre viagra e derivati).

Edgar

venerdì 7 marzo 2014

Phishing PosteIT, shortening URLS, siti di verifica del link corto e geo-localizzazione del visitatore del sito di redirect al phishing. (7 marzo)

Ricevo, da un lettore, una interessante segnalazione di phishing, sul DB segnalazioni del blog, che evidenzia la possibile inaffidabilita' dei servizi online di verifica degli indirizzi web 'corti' generati tramite siti di shortening URL.

Questo il testo presente nel campo 'note' della segnalazione sul Db del blog

“Il link e la mail, sono roba stracotta. Il problema e' un'altro e ben piu' grave.
Come puoi vedere si utilizza il solito link abbreviato, ma "resta di stucco NON e' un barbatrucco" i vari servizi di un-shortening, lo riportano come link affidabile e sicuro come poste.it!!!!
Prendiamo il primo dei 2 link (sono 2 mail identiche tranne per il link corto)
http://longurl.org/ dice che si tratta di http://www.poste.it
http://urlxray.com/ dice che si tratta di http://www.poste.it
http://unshorten.it/ dice che si tratta di http://www.poste.it e da altri 2 riferimenti di garanzia 100%
Andando sul sito bitly.com aggiungendo un + alla fine del link (http://bit.ly/1eCzncQ+), ossia il sito che ha creato il link corto, vediamo che afferma pure lui, spudoratamente, che si tratta di Poste Italiane - Privati !!!!
Notare che oggi, (il link cambia continuamente destinazione) punta a:
http://5.9.234.145/..................../themes/twentytwelve.........
Che aprendo la pagina si vede come url reale:
http://www.poste.it.online.9ljwgn............tent/plugins/.......
Insomma tutti i risolutori analizzati (non ne conosco altri) si piantano a risolvere la prima parte del link finale senza capire una emerita cippa di come funzionano i dominii internet !!! “

Come si vede il lettore ha testato attraverso diversi servizi di unshortening url il link 'corto' generato da bit.ly ottenendo sempre risultati legittimi di reale link a PosteIT

Riproviamo a verificare il link corto in mail come fatto dal lettore tramite alcuni servizi online:


Di solito viene evidenziato il link finale a cui punta bit.ly ma non i vari 'salti' intermedi.

Con questo servizio pero'


abbiamo anche un dettaglio del redirect intermedio


con l'indicazione della presenza di redirect, cosa che dovrebbe comunque insospettirci, ma comunque il sito finale e' sempre il legittimo PosteIT 
Anche quest'altro sito


evidenzia l'affidabilita' del sito finale di destinazione della url corta: (importante notare, per quanto vedremo in seguito, che pur su dominio IT il sito presenta ip num. su range UK)

Con bit.ly, che e' poi il servizio online usato per creare il link corto, 


possiamo avere anche qualche statistica


dove in particolare notiamo che lo spam di phishing deriva quasi tutto da indirizzi mail legati a libero mail:


Quindi, come indicato anche dal lettore, i vari siti di un-shortening parrebbero indicare un link finale affidabile e legittimo, cioe' un link a PosteIT.

Per capire meglio a cosa punta il link corto eseguiamo una analisi diretta con fiddler


dove si nota, anche in questo caso, il link corto punta a sito che redirige a sua volta su legittimo sito PosteIT.

Dove sta' allora, molto probabilmente, l'apparente inaffidabile comportamento dei siti di verifica della url corta che ci indicano come sito finale del redirect il reale e legittimo PosteIT anche se sappiamo che siamo realmente di fronte a mail di phishing ?

Proviamo a vedere cosa succede usando sempre l'indirizzo corto ma forzando IP italiano


Come si nota adesso l'url corta punta sempre al link di redirect ma questa volta veniamo portati sul clone di phishing con whois


I phishers usano una procedura ben nota di geo-localizzazione dell'IP di chi si connette al redirect: IP italiano ti redirigo su  clone PosteIT, IP non IT ti trasferisco sul legittimo sito PosteIT.
Lo scopo principale dovrebbe essere quello di escludere tutti quegli utenti non italiani o meglio non presenti sul suolo italiano che, quasi certamente, non starebbero usando servizi PosteIT.

Un effetto a mio avviso collaterale, che pero' spiega il fatto che i siti di un-shortening ci diano come risultato il link affidabile e legittimo PosteIT, e' che essendo i siti di un-shortening su servers non italiani (quindi IP in range non IT) e poiche' la loro analisi si basa sul seguire il percorso di redirect, per gli stessi il redirect puntera' sempre al legittimo sito PosteIT con risultato di mostrare il link finale come legittimo ed affidabile.
In altre parole se io mi connetto usando il short link in mail dall'Italia (o forzando IP italiano) saro' portato sul fake sito di PosteIT di phishing mentre se io sono su IP non italiano (anche un sito di un-shortening url di quelli visti e' su IP non IT) saro' rediretto su legittimo sito PosteIT ed il risultato finale sara' un link affidabile a PosteIT, sulla pagina di un-shortening. 

Edgar

giovedì 6 marzo 2014

Inclusione di pagina di hacking su numerosi siti .IT (06 marzo)

Si tratta di piu' di 160 siti hostati su 


che includono questa semplice pagina di hacking


Ecco una vista parziale del report generato da script Autoit


che evidenzia l'elevato numero di siti coinvolti.

Questa invece la parte finale del report dove vediamo sia il numero totale di casi analizzati ed il response header con data attuale.


Edgar

mercoledì 5 marzo 2014

Pharmacy Hacking. Aggiornamenti (05 marzo)

Poche righe per descrivere l'ennesimo caso di sito IT compromesso con inclusione di codici di Pharmacy Hacking, allo scopo di diffondere links nei risultati di una ricerca in rete.
Questo appunto uno dei risultati Google


che se cliccato, avendo preventivamente attivato un appropriato User Agent (Google Bot) porta a visualizzare nel browser una pagina del (leggo dal sito) 'Portale Ufficiale del turismo della Provincia e del Comune di ….......'con al top molto testo relativo a Pharmacy


Ecco un dettaglio:


Un whois mostra 


con IP specifico di Regione italiana.

Attualmente, come succede spesso in casi di Pharmacy, abbiamo anche riferimenti incrociati alla URL del sito IT compromesso, che compaiono su sito in lingua inglese di vendita viagra e derivati


Edgar

sabato 1 marzo 2014

Siti IT compromessi (01 marzo)

Questa mattina (ora thai) un buon numero di siti su dominio .IT ma hostati come


presentano la homepage sostituita da pagina di hacking.


Ecco un report generato da script AUTOIT 


che in dettaglio vede


con probabile data recente per l'azione di defacement


Come curiosita' si nota che l'immagine proposta sulla pagina di defacement e' linkata da Wikimedia


che offre anche direttamente l'url con cui referenziare l'immagine gif.


Edgar