sabato 13 novembre 2010

Referer e geo localizzazione degli IP per pharmacy online attraverso sito IT compromesso (agg. 13 novembre)

Il fenomeno della vendita online di farmaci attraverso siti creati appositamente allo scopo e' sempre molto diffuso.

Inoltre c'e' sempre da considerare il rischio che attraverso alcuni di questi siti vengano distribuiti medicinali che oltre a mancare dei principi farmacologici attivi siano invece dannosi.

E' di qualche giorno fa questo servizio (anche in lingua italiana) apparso su Euronews che illustra appunto il mercato europeo di farmaci contraffatti e a volte anche pericolosi per chi li utilizzasse.

Tornando ai siti di vendita online di medicinali vediamo ora questo attuale esempio che dimostra come questi siti vengano diffusi in rete utilizzando tecniche simili a quelle utilizzate nella distribuzione del malware ed attraverso la compromissione di siti web.

E' il caso di questo sito web di magazine italiano di design

che visitato normalmente da browser , apparentemente, non presenta nessun problema.

Se lo stesso sito viene invece raggiunto da una ricerca in rete attraverso, ad esempio, Google , come vedremo, quanto visualizzato e' ben diverso.

Ecco uno dei risultati di ricerca Google, che analizziamo in dettaglio:

Come si puo' notare il link trovato e' la home del sito www.xxxxxxxx.it a cui la ricerca associa testo relativo a vendita di viagra e derivati.

Visto che , come detto, il sito del magazine visitato da browser risulta perfettamente consultabile senza problemi, ci deve essere anche in questo caso, e come gia' visto per siti compromessi che distribuiscono malware, un codice incluso che utilizzando referer permetta di accedere al sito di pharmacy invece che a quello reale.

In effetti se proviamo nuovamente a visitare dal browser la homepage del sito IT ma, contemporaneamente passiamo come referer la stringa di ricerca generata da Google otteniamo

ma anche

ed ancora

A complicare ancora di piu' il comportamento di questo attacco pharmacy al sito IT parrebbe anche essere messo in atto un riconoscimento degli IP di provenienza del visitatore in quanto se andiamo a cliccare sui risultati della ricerca Google con IP 'italiano si viene semplicemente portati sul sito di design.

Riassumendo :

Accedendo direttamente da browser al sito non si nota nessun problema e questo con qualunque IP di provenienza (italiano e non):

raggiungendo il sito tramite una ricerca Google

(anche non specificatamente relativa a termini di pharmacy: cialis.viagra.ecc...) e con IP non IT si viene direttamente portati su siti di vendita online medicinali

raggiungendo il sito tramite una ricerca Google e con IP IT viene sempre aperto nel browser il sito originale di design

Da quanto visto si puo' evidenziare che chi gestisce questo attacco di pharmacy voglia ottenere links a pagine di vendita medicinali online solo per chi utilizzi una ricerca in rete e comunque per IP non di provenienza italiana, cosa voluta probabilmente per rendere maggiormente nascosto tutto il sistema di redirects a pharmacy alla normale utenza italiana e quindi anche a chi cura i contenuti del magazine online.

A riprova che si tratta di attacco attuale ecco i risultati della ricerca filtrata per URL del sito di design e usuali termini di pharmacy (viagra, cialis ecc...)

mentre una anteprima Google ci mostra ad esempio

che non corrisponde evidentemente con quanto visualizzato cliccando sul link del risultato di ricerca.

Per quanto si riferisce a whois dei siti linkati, nei casi visti, si tratta di IP olandesi ed USA mentre si fa ampio uso di redirect a partire dal codice incluso nel sito IT compromesso sino ad arrivare ad uno dei siti di pharmacy che vengono proposti come destinazione finale.

Edgar

Nessun commento: