sabato 8 dicembre 2007

Phishing CARTASI. Alcune considerazioni

Che il sistema utilizzato per salvare dati di login non fosse nuovo (files txt disponibili per chiunque visiti il sito) lo conferma il post che ho trovato su http://exploit.blogosfere.it/2007/10/analizziamo-un-caso-di-phishing.html
nel quale viene evidenziato un caso di phishing a Poste Italiane :

"..Dal sito riesco a recuperare un file.txt che l'applicazione web popola con le utenze inserite delle vittime:............. . Per fortuna, come potete vedere, molti utenti si sono resi conto della truffa ma analizzando bene il file, esso sembrerebbe contenere alcuni account autentici; il phisher per qualche motivo ha preferito custodire anche la lista IP delle vittime ...................... "

In quel caso si trattava di file di testo simili a quelli presenti su CARTASI'

Nel caso di Cartasi' il fatto di salvare gli IP delle "vittime" e' necessario dato che occorre una chiave che metta in relazione di due files generati e cioe' quello con il login eh1.txt (password) e quello con i datidella carta eh.txt
Dato che l'unico campo comune disponibile e' l'indirizzo IP, in quanto l'orario presente varia gia' passando dalla pagina di login a quella di notifica del numero di carta, pare chiaro che possa essere utilizzato per correlare i due files e permetterne una corretta interpretazione.

Sara' interessante eseguire una analisi statistica sia degli IP che degli orari del file eh1.txt per vedere come si distribuisce questo specifico phisihing tra i vari utenti internet italiani.

Per quanto si riferisce invece ai contenuti delle password dei file eh1.txt sembra di capire che la maggior parte di chi ha effettuato il login lo ha fatto per inviare falsi dati essendo ben consapevole che si tratta di una mail e di sito fasulli anche se una piccola parte pare non essere al corrente del pericolo e probabilmente ha fornito login di accesso valide.

Per sola curiosita' posto l'header della mail di phishing

sapendo comunque che le informazioni contenute nello stesso sono rese inattendibili dallo spammer.
In ogni caso se si guarda la riga conetnente ........lasallegeneralhospital.com.lasallegeneralhospital.com (66.112.13.78) si vede che l'indirizzo IP non corrisponde al lasallegeneralhospital.com ma ad un server di Century Telephone Ent., Inc. 100 Century Park Drive Monroe, LA (USA) mentre per quanto si riferisce invece all'ip nella riga dell' header relativa a ... from FAITH (unknown [207.70.62.10]) questo corrisponderebbe al provider SolutioPro sempre locato in USA.
Non e' poi da escludere che queste mail arrivino tramite qualche botnet e quindi gli indirizzi ip siano del tutto fittizi.
La cosa interessante sarebbe verificare una mail similare ricevuta da altri per confrontare nei due header gli indirizzi from e gli IP collegati.

Edgar

Nessun commento: