lunedì 16 maggio 2011

Universita' e Pharmacy (16 maggio)

Anche se il titolo del post potrebbe far pensare ad un argomento legato ai siti delle Facolta' di Farmacia di Universita' italiane in realta' si tratta della ennesimo post che dimostra di come la vendita online di farmaci sia una delle attivita' piu' diffuse in rete ed utilizzi i risultati di ricerche in rete con il supporto di codici inclusi su siti legittimi.

Come gia' descritto in passato, la distribuzione di medicinali di dubbia affidabilita' attraverso siti appositamente creati, e' una delle maggiori attivita' illegali in Internet.

In un rapporto pubblicato dalla European Alliance for Access to Safe Medicines (EAASM) si legge che :

* Il 62% dei farmaci acquistati on-line sono falsi o di qualita' inferiore (compresi i medicinali indicati per il trattamento di patologie gravi come malattie cardiovascolari e respiratorie, disturbi neurologici, e le condizioni di salute mentale).

* il 95,6% delle farmacie on-line operano illegalmente.

* il 94% dei siti web di pharmacy non hanno riferimenti per verificare chi li gestisce.

E' evidente che queste attivita' per poter essere attuate necessitano oltre che dei siti destinati alla vendita anche un adeguato sistema di 'pubblicita'' degli stessi, cosa che puo' essere facilmente ottenuta attraverso i risultati di una ricerca in rete che puntino alle pagine di vendita.

Per fare questo uno dei sistemi piu' utilizzati e' sfruttare siti esistenti per includere al loro interno codici di redirect in maniera automatica al sito di pharmacy.

Quella che vedremo ora e' la situazione odierna che vede colpiti siti rilevati su un singolo IP di nota Universita' Italiana .

Una caratteristica interessante e' che, oltre al coinvolgimento di siti italiani, si tratta di risultati di ricerca che propongono anche un testo in lingua italiana e che quindi parrebbero essere mirati proprio per una utenza IT

Vediamo alcuni dettagli:

Questa la prima sommaria ricerca attraverso Google per individuare l'eventuale (si fa per dire) presenza in rete di un dominio IT preso di mira dai 'venditori' di medicinali:

Quello che si rileva subito e':

1- la data recente per l'indicizzazione della ricerca ( 12 maggio) che fa pensare ad azione attuale di inclusione codici
2- i testi in italiano a commento dei risultati (ricerca ottimizzata per termini digitati in lingua IT)
3- identico dominio appartenente ad nota Universita' italiana per i diversi risultati prodotti da Google che coinvolgono differenti sottodomini

A questo punto provvediamo ad acquisire l'IP relativo al dominio visto ed eseguire un reverse IP ottenendo un elenco (probabilmente parziale) dei sottodomini presenti :

Si tratta ora di eseguire una ricerca per ognuno degli indirizzi attivi su quell'IP e con parole chiave adeguate (viagra...cialis... pharmacy)

Per fare questo utilizziamo un recente script creato in Autoit

che, in maniera automatica , in qualche decina di minuti, produrra' il seguente report:

e che, pur limitando l'acquisizione di soli 10 risultati di ricerca per parola chiave, presentera' centinaia di link.
Da quanto si vede, parrebbe che buona parte dei sottodomini trovati dal reverse ip siano coinvolti dalla inclusione di links a pharmacy.

Analizziamone ora in dettaglio uno tra i tanti presenti nel report

e proviamo a seguire il links che parrebbe puntare a pagina relativa ad antivirus.

In effetti abbiamo una pagina che descrive le modalita' di utilizzo di un noto AV ma, come si vede, niente che faccia riferimento a vendita di medicinali online.

La cosa si spiega semplicemente con la consueta modalita' utilizzata dai creatori e gestori di questo genere di attacchi, che vede l'uso di codice che, solo nel caso di accesso al link tramite il risultato della ricerca Google (e non con link diretto digitato nel browser) portera' al sito di pharmacy.

Uno dei vantaggi principali e' che il sito colpito continuera' ad essere visto normalmente dai suoi visitatori senza che si venga portati in automatico sul sito di pharmacy, tenendo cosi' ben nascosta l'inclusione dei codici di redirects.

In pratica quando si accede al link a pharmacy da motore di ricerca il codice di redirect a pharmacy incluso nel sito universitario si attiva, mentre visitando direttamente la pagina (in questo caso quella sull'uso del software AV ), non accade nient'altro che la corretta visualizzazione dei contenuti legittimi.

Per simulare una visita alla pagina come se provenissimo da Google, basta comunque forzare, tramite uno dei tanti addons Firefox, il referer, simulando quello prodotto dal motore di ricerca

Adesso digitando il link ottenuto dal report veniamo rediretti su

come succede anche per le altre centinaia di links prodotti dal report.

Edgar

Nessun commento: