giovedì 10 febbraio 2011

Phishing PostePay e Mediolanum. 'Hijacked subdomains of legitimate websites' e Subdomains wilcards per phishing evoluto ed ingannevole (10 febbraio)

In questo recente post descrivevo un phishing PostePay con mail creata utilizzando un unico file immagine png per porpore il testo del messaggio.
Nello stesso post veniva evidenziato l'uso di tecniche certamente piu' complesse che i soliti redirects gestiti da files manager mal configurati presenti in grande numero online. (Innova Studio, Easy Content f.m. Ccc....).

Attualmente la stessa tecnica di gestione del sito clone (Hijacked subdomains ) sembra interessare non solo PosteIT ma anche Banca Mediolanum, come vedremo in dettaglio.

Nel post vedremo anche come sia attualmente on-line un dominio altamente ingannevole poste.lt (LT non IT) che utilizza la tecnica delle wilcards per i nomi di sottodominio.

I due link esaminati sono recentemente apparsi sul Pishtank dove pero', pur essendo attivo, quello ai danni di PostePay viene indicato Off-line.

Questo puo' essere dovuto al fatto che i cloni di phishing analizzati parrebbero avere un sistema di riconoscimento dell'IP che blocca la visualizzazione del sito per indirizzi diversi da quelli in range IT.

Il primo phishing che prendiamo in considerazione e' quello ai danni di Banca Mediolanum
Possiamo vedere come il dominio

corrisponda a sito legittimo con whois

Lo stesso dominio viene utilizzato dai phishers attraverso il sottodominio

per linkare alla fake pagina Mediolanum, ma anche per proporre una immagine che simula il testo della mail di phishing e da utilizzare nel fake messaggio.

In realta' se andiamo ad esaminare gli IP di provenienza notiamo differenze tra l'IP del sito 'originale' e quello del clone Mediolanum.

La stessa cosa accade per il clone PostePay

e per la relativa immagine da utilizzare come testo della mail di phishing


Ancora una volta possiamo vedere come i phishers utilizzino sottodomini creati allo scopo di linkare siti clone.

Un interessante post apparso su blog.unmaskparasites.com riporta alcuni dettagli sulla tecnica di utilizzo di “hijacked subdomains of legitimate websites' e individua come probabile fonte di questi attacchi il controllo da parte di hackers o phishers dei tools di amministrazione del setup dei DNS presenti su siti compromessi.
In effetti se andiamo ad analizzare i record DNS relativi a questi due phishing

e


abbiamo la conferma (Record A) del differente redirect al sottodominio di phishing.

In piu' sembra che i phishers abbiano pensato anche al possibile uso di sub-domains wilcards come si evidenzia da (notare l'asterisco al posto del sottodominio)

Basta infatti digitare qualunque stringa come nome di sottodominio per visualizzare il sito clone.

Ma c'e' di piu':

Analizzando tramite Robotex l'Ip di provenienza del fake PostePay otteniamo questo interessante report

dove viene evidenziata la presenza di un dominio attivo poste.lt (LT non IT) che risulta particolarmente ingannevole.

Da quanto rileviamo dal report si tratta di dominio di creazione recente e che supporta la wilcard per i relativi sottodomini.

Una veloce verifica dimostra che qualunque stringa di testo (ad es. un ingannevole 'servizioclienti') utilizzata come nome di sub-domain porta a questi risultati (accedendo sempre con IP in range IT)

ma anche ad esempio un qualunque testo come

Edgar

Nessun commento: