mercoledì 11 novembre 2009

Phishing InBank (11 novembre 09)

Si tratta di un sito di phishing (segnalatomi da Filoutage) ai danni del InBank (servizio molto utilizzato da Casse Rurali e Banche a diffusione regionale ecc...) e che consente di gestire i rapporti bancari dei clienti direttamente da Internet.

La pagina di phishing :

copia perfettamente l'attuale homepage di InBank

tranne che per la presenza di un terzo campo, nella pagina fasulla, relativo al 'codice dispositivo'.

Spesso vengono consegnati ai clienti delle banche dei piccoli 'dispositivi' hardware con display LCD che genera il codice di accesso da usare per il login (di solito al momento dell'esecuzione di transazioni online)(a volte anche come hardware USB)

C'e' anche da ricordare che l'uso di password create attraverso questi generatori di codici, molto diffusi per aumentare la sicurezza del login ed evitare il pericolo del phishing, potrebbe non essere sufficiente se il dispositivo utilizzato e' del tipo event-based (la password viene generata al momento e scade dopo il login – in pratica il codice generato vale solo per un singolo login dopodiche' bisogna generarne uno nuovo)
In questo caso il phisher potrebbe acquisire la password di accesso ed il codice dispositivo e ad esempio reindirizzare su una pagina creata appositamente per far apparire il sito della banca OFFline, per avere tutto 'il tempo' di accedere al conto online.
Anche con i dispositivi time-based non c'e' comunque da escludere che un sistema di phishing automatizzato possa accedere al conto bancario ed anche se ad esempio la nuova password viene generata e rimpiazza la precedente in maniera automatica dopo un minuto ....

Questo e' quanto apparso al riguardo su http://www.pcauthority.com.au

..... un codice a sei cifre di accesso ogni 30 secondi non e' completamente sicuro scrive Stephen Howes, CEO di GrIDsure , un token acquisito da un sito di phishing costituisce una opportunita' per accedere al conto.......
"Un sistema automatizzato ha solo bisogno di millisecondi per fare questo, e cosi' un token che rimane attivo per un minuto da' al truffatore tempo in abbondanza per condurre il suo attacco..............

Si tratta comunque di sistemi, specialmente per quello time-based , che dovrebbero ridurre le possibilita' di accedere in maniera fraudolenta al conto online in quanto i margini di tempo utili al phisher per loggarsi sono molto ridotti e richiedono tecniche abbastanza complesse per effettuare questo phishing in real-time.

Ritornando al sito di phishing questo risulta ospitato su sito coreano compromesso come si nota da questo whois
Edgar

Nessun commento: