venerdì 29 agosto 2014

Phishing Apple IT. Un tipico caso di inclusione in massa di clone di phishing (29 agosto)

Molto spesso abbiamo visto, descritte su questo blog, azioni di hacking che vedevano includere pagine htm dal tipico layout (proclami di vario genere molte volte a scopo politico  ecc....)

Queste azioni sfruttavano anche vulnerabilita' che permettevano di includere codici su un buon numero di siti hostati su medesimo server ed era facile prevedere che ci potessero essere anche azioni di phishing supportate in maniera simile.

Ecco infatti, presente in rete questa mattina  (thai time), un phishing ai danni di utenti italiani di Apple attraverso un clone che si presenta con pagina fake di login 


seguita da pagina  fake di richiesta credenziali personali e di carta di credito:


Dopo la conferma si viene rediretti su legittimo sito Apple in lingua italiana


Ecco invece i dettagli relativi ad una analisi dei siti coinvolti hostati tutti su stesso IP giapponese


e che vede piu' di 20 cloni Apple ospitati su altrettanti  siti compromessi


Qui un dettaglio del report generato con script Autoit


Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

mercoledì 6 agosto 2014

Phishing ai danni di azienda italiana di telefonia. Segnalazione sul db del blog (6 agosto)

Ricevuta sul db del blog una segnalazione di phishing ai danni di nota azienda italiana di telefonia.


Si tratta di una mail di phishing dal tipico testo
----------------------------------------------------------------------------------
Gentile Cliente
Scegliendo la Ricarica telefonica da 20 euro.
riceverai in omaggio altri 20 euro di traffico telefonico con incluso 3
mesi di navigazione internet senza limiti da tablet e smartphone.

Come previsto della Promozione entro 45 Giorni riceverai senza ulteriori
costi aggiuntivi altri 60euro di traffico telefonico

Prosegui <link a sito di redirect>
-------------------------------------------------------------------------------------
che vede l'uso di un sito di redir che provvede a linkare il clone ospitato su hoster IT


Per quanto si riferisce al quesito posto dalla lettrice, che ringrazio per la segnalazione,

 ....... ho ricevuto la email il cui testo ho riportato in versione integrale qui sopra nel form, e sono certa che si tratti di phishing. Purtroppo ho cliccato sopra il link, anche se immediatamente ho cambiato la password relativa alla mia carta prepagata..........

se ci si e' limitati a cliccare sul link in mail, visualizzando la pagina clone nel browser, senza fornire comunque i propri dati personali tramite il form, non sussiste alcun problema di sicurezza, almeno in questo caso, visto che la pagina web con il fake form non parrebbe ospitare ulteriori codici malevoli.
Cosa diversa se chiaramente fossero state fornite credenziali e dati personali confermando ed inviando i forms presenti sul clone.

Informo anche che detto phishing e' stato segnalato a chi si occupa del contrasto a queste azioni fraudolente, azioni di phishing che vedremo probabilmente sempre piu' diffuse in conseguenza  dell'incremento della presenza di servizi online sia pubblici che privati. (home banking, pagamenti online di servizi forniti da  aziende pubbliche e private, accesso a siti di P.A. ecc....) 

Ricordo inoltre,  che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.

 Edgar