lunedì 19 luglio 2010

Phishing Cassa Risparmio di Ferrara (agg.19 luglio)

Ricevuta mail di phishing ai danni di CARIFE

che presenta un semplice testo con link a sito di redir gia' molto usato in passato per ospitare codici che puntano al sito finale di phishing.

Si tratta di sito canadese di cui potete leggere maggiori dettagli in questo post.

Come in passato, la presenza dell'interfaccia di amministrazione dei contenuti di Innovastudio continua ad essere il supporto dell'upload dei codici di redir.

Ecco appunto un dettaglio dei files scaricati sul sito canadese

in numero notevole che rivela anche la cronologia delle azioni di phishing.

Il phisher infatti non si e' neanche sforzato di cancellare i vecchi files presenti e che ormai puntano a siti OFFline

Una volta cliccato sul link presente in mail

si viene rediretti sul sito di phishing CARIFE appositamente creato

Da notare come l'interfaccia clonata del sito CARIFE sia quella attuale e non il vecchio layout dei precedenti phishing, ed una conferma che si sta' utilizzando una struttura di sito aggiornatissima la abbiamo esaminando come e' stato creato il falso sito.

Questo un dettaglio della pagina HTTrack che ci rivela l'utilizzo di questo software per creare il sito clone di CARIFE

Ricordo che HTTrack e' una applicazione OpenSource per il mirroring di siti web su supporto locale allo scopo, ad esempio, di effettuare una navigazione offline.

In questo caso il mirroring del sito (esteso anche ad alcuni subfolders di supporto al form di login es.cedacri.it) e' servito per preparare il nuovo ed aggiornato layout di phishing

In un dettaglio del codice generato da Httrack notiamo la data molto recente del mirroring del sito della banca.

Per quanto si riferisce all''utilizzo 'pratico' del sito fasullo, una volta acquisiti i dati personali si viene rediretti sul reale sito della cassa di Risparmio.

Una analisi del log del server che ospita il clone di CARIFE dimostra che anche questa volta esistono alcuni IP con riferimento a connessioni effettuate dalla Romania che conferma essere quindi una delle possibili nazioni che i phishers usano come base o transito per la loro attivita'

Edgar

6 commenti:

Michele Manzotti ha detto...

Salve,
In che modo è possibile analizzare i log del server per conoscere l'indirizzo ip di provenienza?
Grazie

Edgar Bangkok ha detto...

Normalmente un file di log come quelli che si possono trovare su alcuni siti di phishing analizzati recentemente comprende i dati relativi al percorso completo della pagina visualizzata dal browser di chi accede al sito,data e ora della visita, a volte l'user agent utilizzato ed anche l'indirizzo IP relativo.
E' molto semplice estrarre dal file di log ad esempio tutti gli indirizzi IP presenti , magari filtrandoli solo per i records dove compare la consultazione proprio del log stesso ( chi consulta il log e' quasi sicuramente chi gestisce il phishing o qualcuno che sta analizzando il sito e poco probabilmente un utente 'finale' caduto nel phishing ).

A questo punto basta passare la lista degli IP cosi' ottenuta ad una delle tante utility presenti in rete che risolve in blocco tutti gli indirizzi IP restituendo un report con i whois relativi.

Chiaramente l'IP di provenienza potrebbe anche non essere quello originale di chi accedeva al log dato che c'e' sempre la possibilita' che sia stato usato un proxy per nascondere il reale IP ma come illustra anche il blog denisfrati.it qui http://www.denisfrati.it/?p=2704 ma anche con maggiori dettagli qui http://www.denisfrati.it/?p=2508 ci sono numerosi riscontri ad esempio sulla probabile provenienza romena di phishing ai danni di banche italiane.

Saluti

Edgar

Michele Manzotti ha detto...

Grazie Edgar per la risposta.

[quote]
Normalmente un file di log come quelli che si possono trovare su alcuni siti di phishing analizzati recentemente
[/quote]
Sostanzialmente è un file txt hostato sul di phishing? Io pensavo che fosse possibile estrapolare questi dati con qualche interrogazione sul server web.

Grazie

Edgar Bangkok ha detto...

…...... Io pensavo che fosse possibile estrapolare questi dati con qualche interrogazione sul server web. …...

Assolutamente Si' ma c'e' solo un problema …. quello di accedere dalla rete ai log sul server che contiene il sito di phishing.
Come gia' scritto in un precedente commento relativamente ai contenuti, anche i logs presenti sul server sono normalmente disponibili solo a chi amministra il sito o il server relativo e quindi ben difficilmente si potra' consultarli dalla rete
Cosa diversa per quanto si riferisce a questi specifici casi di phishing, dove i files di log sono online e facilmente consultabili (basta conoscerne l'indirizzo web) anche da chi non e' loggato sul server.

Saluti

Michele Manzotti ha detto...

Capisco... ma di solito sono nome di file noti? (come ad esempio il robots.txt) oppure tendono ad avere nomi diversi? Un esempio del nome del file di log che hai trovato? (senza l'indirizzo preciso ovviamente).

Grazie mille per la tua disponibilità.

Edgar Bangkok ha detto...

I files di logs il piu' delle volte prendono un nome che ne indica ad esempio il tipo di contenuti oppure la data a cui fa riferimento il file ecc.. mentre l'estensione puo' ad esempio essere proprio .log.
In questi casi di phishing i logs sono tra l'altro salvati in una specifica directory che prende anch'essa il nome 'logs' e che quindi e' facilmente individuabile.
I nomi dei files presenti nel folder sono access.log o in alternativa access 100720.log dove 100720 e' la data nel formato aa-mm-gg relativa ai dati acquisiti.
Per quanto si riferisce invece al nome citato e cioe' robot.txt e' il nome di default con il quale si definisce un file di regole che vengono interpretate dal crawler di un motore di ricerca quando esamina i contenuti di un sito web.
Riveste anche un qualche interesse nell'analisi di un sito web in quanto puo' elencare nomi di folders presenti ma che si vuole tenere nascosti al motore di ricerca.
Date queste particolarita' e' praticamente da escludere che esista un file con contenuti di log denominato robots.txt.

Saluti