lunedì 28 settembre 2009

Siti compromessi per diffondere phishing (agg. 28 settembre 2009)

Sempre molto attivo il phishing ai danni di Banche IT ma anche l'utilizzo di siti italiani compromessi per ospitare pagine o interi siti di phishing.
Al termine del post vedremo anche un sito Thai che presenta chiaramente vulnerabilita' sfruttate non solo per il phishing.

Questi alcuni casi odierni segnalati da Filoutage

Verified by Visa:
Da quanto si legge su una delle pagine internet che pubblicizzano Verified by Visa si tratta di:

"...un servizio con il quale e' possibile fare acquisti 'on line' con maggiore sicurezza. Attraverso un semplice procedimento di controllo, Verified by Visa conferma la Vostra identita' quando fate acquisti presso i negozi 'on line' che partecipano a questa iniziativa. E' un sistema comodo ed e' accessibile con la carta Visa che utilizzate attualmente........”
Non c'e' da meravigliarsi quindi se vengono create pagine di phishing atte a sottrarre i dati sensibili collegati a questo servizio.

Quello che vediamo e' il phishing ai danni di Verified by Visa in lingua francese

ma ospitato su server italiano

Si tratta di alcuni siti in fase di costruzione, da quanto appare nella homepage, ma che in realta' sono usati per hostare il phishing.

ed anche


Interessante invece questo server di prova utilizzato dagli studenti per le materie Informatica ecc... di Universita' Italiana, che ospita migliaia di folder relativi a 'esercitazioni' di informatica


e dove troviamo al momento recenti aggiornamenti con contenuti chiaramente di hacking

tra cui

oppure

e di conseguenza , anche in questo caso, siti di phishing come questo ai danni di gruppo bancario inglese
Evidentemente a chi usa il server di test vengono insegnate tecniche di creazione siti internet ma non di protezione dei contenuti da parte di attacchi informatici...

Questo, invece, un sito di autocarozzeria italiana che presenta evidenti segni di attacco ,

e che ospita al suo interno questo sito di phishing sempre ai danni di banca estera.


Per terminare vediamo un sito thai di grande e nota azienda locale, che ospita al suo interno un phishing ai danni di


La cosa interessante e' che andando sulla homepage e visionando un link relativo ad una succursale estera dell'azienda

troviamo questa pagina attiva di hacking

che tra le altre cose presenta un iframe

con links a sito probabilmente pericoloso (exploit o link a malware) che comunque risulta al momento OFFline.

Come si vede da questi casi, abbiamo quindi la conferma che una buona parte dell'attuale phishing in rete si 'appoggia' a vulnerabilta' presenti e con evidenti vantaggi, in quanto non occorre attivare nuovi siti da zero ma basta utilizzarne uno compromesso scegliendolo tra i tanti presenti in rete.

Edgar

2 commenti:

TNT ha detto...

L'ultimo iframe e' usato per diffondere il virus Virut, uno dei peggiori (e probabilmente il peggiore) virus in circolazione (per virus intendo "malware che infetta eseguibili PE").

Adesso il e' down, stranamente, ma potrebbe tornare attivo in ogni momento visto che quel sito e' stato usato per ANNI senza che nessuno facesse nulla:

http://www.google.com/webhp?hl=en&tab=gw#hl=en&source=hp&q="chura.pl"&

Edgar Bangkok ha detto...

Grazie della segnalazione.
In effetti avevo visto che c'era un iframe sospetto ma non ho approfondito la cosa causa poco tempo a disposizione.
Comunque, come hai anche rilevato, il sito sembra OFFline.
In ogni caso il sito thai compromesso e' sempre con il link attivo alla pagina con iframe nonostante si tratti di di sito thai di una azienda abbastanza nota, almeno da queste parti.
Tra l'altro il link e' sulla homepage e quindi ben raggiungibile ma sembra che non si accorgano del fatto che punta a pagina di hacking con in piu' l'iframe pericoloso.

Saluti

Edgar