giovedì 16 ottobre 2014

Ancora falsi account Google ai danni di utenti IT (16 ottobre)

Sempre molto grande il numero di pagine web che propongono falsi layout di login a servizi webmail ma anche a generici login a servizi forniti in rete da note aziende quali Google, Yahoo , Microsoft ecc...

Di solito queste pagine di phishing sono ospitate su siti compromessi ed in maniera minore su domini creati allo scopo dai phishers.

In questi screenshots vediamo come un semplice form di login, chiaramente fasullo, venga proposto associandolo a multiple mailbox


a Gdrive


ecc....

Si tratta comunque di siti fake dal codice abbastanza semplice e costituito da pochi files e quindi facilmente uploadabili su sito compromesso.

E' il caso di questo sito compromesso


su IP 


che presenta incluso questo semplice  phishing di cui vediamo la struttura


con anche la presenza del KIT di phishing lasciato online.

Questa la fake pagina di phishing ai servizi Google in lingua italiana


molto simile all'originale


e che acquisisce le credenziali di accesso a Google.
Una volta confermato il falso login si viene linkati al reale sito Google in lingua inglese.


Come visto in precedenza e' presente il KIT di phishing che possiamo analizzare.
Si tratta di file zip contenente i files che costituiscono il clone Google e che vediamo in dettaglio


Questo il source del file php che esegue l'invio delle credenziali sottratte 


Come curiosita' si nota che sia il testo costituente l'indirizzo mail a cui vengono inviate le credenziali che del testo presente nel codice ricercato in rete, parrebbe essere in lingua nigeriana.

Come sempre scopo di questo genere di phishing che risulta negli ultimi mesi essere una importante percentuale sul phishing totale in rete, e' quello di acquisire indirizzi mail validi da utilizzare in campagne di spam ma, cosa piu' importante, accedere in maniera fraudolenta a mailbox ma anche altri servizi online.
Ad esempio l'accesso all'account Google riguarda non solo la webmail ma anche Gplus, Gdrive e documenti condivisi ecc... senza considerare che frequentemente la stessa password viene usata dagli utenti Internet per accedere a piu' servizi  sensibili come home banking ecc... 

Edgar

venerdì 3 ottobre 2014

Nuovo phishing ai danni di azienda IT di telefonia segnalato sul 'DB segnalazioni phishing e malware' del blog (2 ottobre)

Ricevuta, da parte di un lettore del blog, che ringrazio,  una nuova segnalazione di phishing ai danni di nota azienda italiana di servizi di telefonia mobile, telefonia fissa e Internet.
Si tratta sempre delle solite pagine fake che attraverso falsi form di 'ricarica online' tentano di acquisire dati personali e di carta di credito.
Il messaggio mail, con qualche errore nel testo,  ricalca quelli gia' visti in passato, con utilizzo di testo ingannevole e promessa di forti sconti 

….................  Ricarica il tuo numero di telefono
Accedi al servizio per ottere con solo 20 euro di spesa,una
ricarica omaggio del valore di 50 euro, accesso a internet per 5
GB, 1000 minuti di chiamate verso tutti.!!!
Approfittane, offerta limitata fino a esaurimento schede
prepagate.................

Dal punto di vista della struttura del phishing segnalato oggi, e' interessante osservare come, specialmente negli ultimi mesi, si tenda ad utilizzare cloni di phishing posizionati su siti compromessi raggiungibili dopo una lunga sequenza di redirects.

In altre parole non ci troviamo piu' di fronte al consueto singolo redirect che sfruttando un codice incluso su sito compromesso puntava al clone di phishing, ma a numerosi reindirizzamenti che si interpongono tra link presente in mail e destinazione finale (form di phishing)

Tra i vantaggi che i phishers ottengono c'e' sicuramente la possibilita' di mascherare meglio l'url di phishing onde evitare che venga messa in blacklist, ma anche, se viene messo offline uno dei redirect intermedi , di avere maggiori alternative nel variare il percorso al phishing, riattivando cosi' il clone.
Altra caratteristica molto diffusa ultimamente e' quella di includere nella url, sequenze casuali di testo che variano ad ogni caricamento della pagina fake, rendendo cosi' inutile la notifica in blacklist dell'indirizzo del clone di phishing, in quanto sempre diverso.
Inoltre pare esserci un incremento nell'uso di servizi free online di url shortening o che comunque possono essere configurati per questo tipo di mascheramento della url  (vedi caso segnalato nel precedente post


ed anche di servizi (spesso free) che permettono di creare subdomini, partendo da elenchi di domini disponibili, che vengono fatti poi puntare a differente indirizzo di sito compromesso ospitante il clone

Vediamo alcuni dettagli:

Questo un report relativo alla connessione al clone partendo dalla url del link presente nell'odierna mail 


dove notiamo l'elevato numero di redirects,evidenziati in colore.

Se andiamo a verificare gli IP coinvolti in questo phishing, ecco invece la lunga sequenza di server coinvolti:





Informo che, come accade in questi casi, la segnalazione sul db del blog e stata inoltrata a chi si occupa di contrasto a questo specifico genere di phishing, cosa che ha permesso di verificare la messa OffLine del clone dopo circa un'ora dalla sua segnalazione.

 Edgar

Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.