Le mails di phishing Cariparma ricevute oggi presentano alcune novita' sia nel link al clone presente nel messaggio, che nella strategia utilizzata per rendere maggiormente ingannevole il phishing, attraverso mail, senza link, ma dal testo che cerca di convincere ad accedere al sito clone della banca attraverso i messaggi ricevuti precedentemente.
Vediamo alcuni dettagli:
La prima novita' e' certamente interessante poiche' dimostra come i phishers si aggiornino sempre su quanto presentr in rete ai fini di rendere i links in mail meno sensibili a blacklisting.
Questa la mail ricevuta
con un dettaglio del link.E' del 12 aprile 2011 questa info apparsa ad esempio su http://seclists.org e di cui riporto parte del testo:
From: satyam pujari
*1-Open:*
*http://www.google.com/url?sa=D&q=http://www.0x.t35.com*
*2-Copy Link:* "The previous page is sending you to *http://www.0x.t35.com*"; * http://www.google.com/url?q=http://www.0x.t35.com&ei=r7meTaKlF426vwPe2uCRBQ&sa=X&oi=unauthorizedredirect&ct=targetlink&ust=1302249655383154&usg=AFQjCNG4ATH5al6movivnWoeLQJc1ABtSg
*3-Send to victim: *
(*http://www.0x.t35.com* could be a different (malicious) site hosting an exploit kit/malware which is not blacklisted yet)* * http://www.google.com/url?q=http://www.0x.t35.com&ei=r7meTaKlF426vwPe2uCRBQ&sa=X&oi=unauthorizedredirect&ct=targetlink&ust=1302249655383154&usg=AFQjCNG4ATH5al6movivnWoeLQJc1ABtSg *
In a real attack (phishing) scenario, this one can be used in a "quick targeted" attack as the link (ei/ust/usg params ) "expires" after some time.
If the link expires the attacker follows step 2 again.
--------------------------------------------------------------------------------------------------
Ricapitolando si tratta di una procedura che cerca di bypassare la finestra di avviso Google di redirect quando si utilizza una URL generata da una particolare ricerca (qui vediamo un esempio utilizzando l'URL del blog)
Una volte aperta la finestra di redirect bastera' copiare il link alla voce "the previous page send you to..." . per avere una url che reindirizzera' direttamente al clone, senza presentare la pagina di avviso Google vista sopra.
C'e' pero' da notare, come evidenzia il testo in inglese
In a real attack (phishing) scenario, this one can be used in a "quick targeted" attack as the link (ei/ust/usg params ) "expires" after some time.If the link expires the attacker follows step 2 again.
E cioe' che l'attacco di phishing deve essere eseguito a breve intervallo di tempo da quando si e' generata l'url Google di redirect poiche' il link, cosi generato, termina di funzionare dopo pochi minuti (….. the link (ei/ust/usg params ) "expires" after some time. ….......) e verra' quindi comunque proposta la pagina di avviso.
Dopo questa premessa vediamo il source mail
dove notiamo il link creato con le modalita' viste prima e che se cliccato presenta
in linea con quanto letto al riguardo del breve tempo di validita' del link stesso.(i phishers o non sapevano del time-out sulla validita' del link oppure hanno ritenuto che i messaggi giungessero 'in tempo' per fare si' che il link Google+redirect fosse ancora attivo e senza presentare l'allert.)
In ogni caso si tratta di una dimostrazione di come i phishers si tengano informati sulle ultime novita' anche se c'e' d dire che l'utilizzo di redirect attraverso url Google e' noto da parecchio tempo.
La novita' e stata quella nel trovare un meccanismo in grado di bypassare la finestra di avviso di Google redirect, anche se per un breve intervallo di tempo.
Questa invece una mail sempre legata a phishing Cariparma ma, cosa molto particolare, senza links od allegati:
Si tratta molto probabilmente di un tentativo per rendere piu' credibile l'insistente azione di phishing messa in atto da qualche giorno ai danni di Cariparma, attraverso un testo che sollecita la lettura della o delle mails di phishing ricevute.
Basta vedere infatti come nel testo compaiano frasi del genere
“......... non abbiamo ricevuto alcuna conferma del vostro conto a seguito della segnalazione inviata da noi. …....... ' od ancora “ …...Si prega di ricerca con attenzione la tua mail contenente SPAM ….......leggere e compilare i dati richiesti................ “ ed anche '…......... si prega di guardare con attenzione nella e-mail tra cui SPAM...........' ' …...... Registratevi con il vostro conto Internet Banking e seguite i passaggi necesari. ….....”
Come si vede un tentativo di rendere attendibili i messaggi precedentemente ricevuti, con i phishers che vogliono assicurarsi che le mails a noi indirizzate non siano finite per sbaglio nello Spam ….... o non lette......... e questo attraverso la novita' di mail senza links ma dai contenuti ingannevoli.
Edgar
Una volte aperta la finestra di redirect bastera' copiare il link alla voce "the previous page send you to..." . per avere una url che reindirizzera' direttamente al clone, senza presentare la pagina di avviso Google vista sopra.C'e' pero' da notare, come evidenzia il testo in inglese
In a real attack (phishing) scenario, this one can be used in a "quick targeted" attack as the link (ei/ust/usg params ) "expires" after some time.If the link expires the attacker follows step 2 again.
E cioe' che l'attacco di phishing deve essere eseguito a breve intervallo di tempo da quando si e' generata l'url Google di redirect poiche' il link, cosi generato, termina di funzionare dopo pochi minuti (….. the link (ei/ust/usg params ) "expires" after some time. ….......) e verra' quindi comunque proposta la pagina di avviso.
Dopo questa premessa vediamo il source mail
dove notiamo il link creato con le modalita' viste prima e che se cliccato presenta
in linea con quanto letto al riguardo del breve tempo di validita' del link stesso.(i phishers o non sapevano del time-out sulla validita' del link oppure hanno ritenuto che i messaggi giungessero 'in tempo' per fare si' che il link Google+redirect fosse ancora attivo e senza presentare l'allert.)In ogni caso si tratta di una dimostrazione di come i phishers si tengano informati sulle ultime novita' anche se c'e' d dire che l'utilizzo di redirect attraverso url Google e' noto da parecchio tempo.
La novita' e stata quella nel trovare un meccanismo in grado di bypassare la finestra di avviso di Google redirect, anche se per un breve intervallo di tempo.
Questa invece una mail sempre legata a phishing Cariparma ma, cosa molto particolare, senza links od allegati:
Si tratta molto probabilmente di un tentativo per rendere piu' credibile l'insistente azione di phishing messa in atto da qualche giorno ai danni di Cariparma, attraverso un testo che sollecita la lettura della o delle mails di phishing ricevute.Basta vedere infatti come nel testo compaiano frasi del genere
“......... non abbiamo ricevuto alcuna conferma del vostro conto a seguito della segnalazione inviata da noi. …....... ' od ancora “ …...Si prega di ricerca con attenzione la tua mail contenente SPAM ….......leggere e compilare i dati richiesti................ “ ed anche '…......... si prega di guardare con attenzione nella e-mail tra cui SPAM...........' ' …...... Registratevi con il vostro conto Internet Banking e seguite i passaggi necesari. ….....”
Come si vede un tentativo di rendere attendibili i messaggi precedentemente ricevuti, con i phishers che vogliono assicurarsi che le mails a noi indirizzate non siano finite per sbaglio nello Spam ….... o non lette......... e questo attraverso la novita' di mail senza links ma dai contenuti ingannevoli.
Edgar
Nessun commento:
Posta un commento