giovedì 16 ottobre 2014

Ancora falsi account Google ai danni di utenti IT (16 ottobre)

Sempre molto grande il numero di pagine web che propongono falsi layout di login a servizi webmail ma anche a generici login a servizi forniti in rete da note aziende quali Google, Yahoo , Microsoft ecc...

Di solito queste pagine di phishing sono ospitate su siti compromessi ed in maniera minore su domini creati allo scopo dai phishers.

In questi screenshots vediamo come un semplice form di login, chiaramente fasullo, venga proposto associandolo a multiple mailbox


a Gdrive


ecc....

Si tratta comunque di siti fake dal codice abbastanza semplice e costituito da pochi files e quindi facilmente uploadabili su sito compromesso.

E' il caso di questo sito compromesso


su IP 


che presenta incluso questo semplice  phishing di cui vediamo la struttura


con anche la presenza del KIT di phishing lasciato online.

Questa la fake pagina di phishing ai servizi Google in lingua italiana


molto simile all'originale


e che acquisisce le credenziali di accesso a Google.
Una volta confermato il falso login si viene linkati al reale sito Google in lingua inglese.


Come visto in precedenza e' presente il KIT di phishing che possiamo analizzare.
Si tratta di file zip contenente i files che costituiscono il clone Google e che vediamo in dettaglio


Questo il source del file php che esegue l'invio delle credenziali sottratte 


Come curiosita' si nota che sia il testo costituente l'indirizzo mail a cui vengono inviate le credenziali che del testo presente nel codice ricercato in rete, parrebbe essere in lingua nigeriana.

Come sempre scopo di questo genere di phishing che risulta negli ultimi mesi essere una importante percentuale sul phishing totale in rete, e' quello di acquisire indirizzi mail validi da utilizzare in campagne di spam ma, cosa piu' importante, accedere in maniera fraudolenta a mailbox ma anche altri servizi online.
Ad esempio l'accesso all'account Google riguarda non solo la webmail ma anche Gplus, Gdrive e documenti condivisi ecc... senza considerare che frequentemente la stessa password viene usata dagli utenti Internet per accedere a piu' servizi  sensibili come home banking ecc... 

Edgar

Nessun commento: