lunedì 31 ottobre 2011

Ancora phishing Lottomatica (31 ottobre)

Continua il phishing ai danni di Lottomatica (ne scrive anche Denis Frati ) che vede la mail ricevuta oggi con identico layout della precedente

L'unica differenza e' che, questa volta, viene utilizzato un differente hosting per il codice php e la pagina di redirect al reale sito Lottomatica

Si tratta di servizio di free hosting in lingua italiana

ma su IP francese di noto hoster FR

Da notare come sia il testo del messaggio mail, il layout della fake pagina di conferma acquisizione dati ma anche il probabile IP di source del messaggio

mostrano analogie molto strette con il precedente phishing.

Questi infatti gli headers della mail Lottomatica ricevuta il 28 ottobre

con identico probabile primo IP di provenienza del messaggio

Edgar

venerdì 28 ottobre 2011

Phishing Lottomatica (28 ottobre)

Si tratta di questa mail di phishing ai danni di Lottomatica, ricevuta in data odierna

Come si nota il messaggio propone un form allegato

con un completo layout di richiesta codici personali di accesso al servizio Lottomatica.

Una volta confermati i dati si viene rediretti a codice php

che gestisce questa fake pagina Lottomatica con la simulazione di una corretta acquisizione dei dati digitati nel form.

Il codice php e la fake pagina risultano hostati su servizio di free-web hosting Altervista con whois

Una volta presentata la fake pagina, dopo qualche secondo , si viene rediretti sul reale sito Lottomatica.

Un analisi degli headers in mail mostra

Edgar

lunedì 24 ottobre 2011

Uso di Google Docs a supporto di azioni di phishing (24 ottobre)

Tra i vari phishing presenti in rete un buon numero e' dedicato all'acquisizione di credenziali di accesso a servizi di web-mail.
Venire in possesso dei dati di login alla web-mail permette ai phishers sia di acquisire dati personali eventualmente presenti nei messaggi, ma anche di usare la mail-box compromessa per ulteriori azioni fraudolente senza contare che molto spesso lo stesso login alla web-mail permette anche l'accesso ad altri servizi online (vedi es Gmail ed i servizi di Google).
Inoltre non e' neanche da escludere che identiche credenziali di accesso venga utilizzate anche per loggarsi ad altri servizi online (es home banking ecc...) da parte del medesimo utente.
Di solito questi phishing propongono un clone della pagina di login al servizio di web-mail o un form generico che chiede di digitare dati quali l'indirizzo mail, la password usata , nome dell'utente ecc...

Anche se mettere online un form di acquisizione dati non richiede particolari capacita', rimane comunque il fatto che bisogna disporre di un indirizzo web sul quale hostare il codice del form e relativo codice di acquisizione dei dati ed e' per questo che i phishers hanno trovato alcune ingegnose soluzioni alternative.

E' il caso del servizio Google Docs che permette facilmente di metter online un semplice form linkadolo ad un foglio di calcolo sul quale verranno trasferiti i dati di login sottratti.

Ecco un attuale form Google Docs, che mostra un classico testo di phishing nel quale si informa che la nostra mailbox e' saturata di messaggi e che, per riattivarla per permettere di riceverne ed inviarne dei nuovi, bisogna loggarsi utilizzando il form proposto.

Una volta confermati i dati viene presentato questo messaggio nel quale appare la scelta di visionare quanto precedentemente acquisito dal form online

In questo caso verra' presentato il contenuto della tabella associato al form rendendo disponibili a chiunque e non solo al phisher quanto immesso da chi fosse caduto nel tranello della falsa comunicazione di web-mail non operativa.

C'e' infatti da ricordare che il form allegato allo spreadsheet in Google Docs nasce come utilita' per acquisire dati relativi esempio a questionari, sondaggi on-line ecc. e che quindi viene permesso a chi usa detto form anche di vedere i risulti delle altre riposte.
In realta' la possibilita' di vedere i risultati di quanto acquisito in precedenza e' attivabile come opzione come descritto negli help di Google Docs :

........................... Consentire ai rispondenti del modulo di visualizzare il riepilogo delle risposte
Puoi scegliere di consentire a coloro che hanno compilato il tuo modulo di visualizzare un riepilogo delle risposte. Seleziona l'opzione "Consenti a tutti di visualizzare il riepilogo delle risposte" nella finestra "Modifica conferma" per rendere il riepilogo visibile a tutti..........

opzione che evidentemente il phisher di turno utilizza rendendo cosi pubbliche tutte le credenziali di accesso eventualmente acquisite ed aggiungendo, se ce ne fosse bisogno, un ulteriore grado di pericolosita' a questa azione di phishing.

Edgar

giovedì 20 ottobre 2011

Siti IT compromessi. (agg.20 ottobre)

Quasi tutti i siti IT (45 su 49) rilevati con reverse IP su

appaiono aver subito l'inclusione di

Questo un report Webscanner

che evidenzia l'elevato numero di siti interessati

L'header della pagina mostra come data/time della probabile inclusione la giornata d ieri

Si tratta, come sempre, di attacchi che potrebbero, ad esempio, essere sfruttati come supporto ad azioni di phishing, redirects a phishing, SEO poisoning ma anche distribuzione di links a malware o malware.

Edgar

martedì 18 ottobre 2011

Phishing (18 ottobre)

Si tratta di alcune mails ricevute ieri che mostrano qualche piccola differenza sulla struttura del phishing rispetto ai soliti messaggi.

Questa una mai di phishing CartaSi che mostra un allegato

con questi contenuti

con codice debolmente offuscato.

Una volta de-offuscato


notiamo il link a pagina (dal layout datato) con form di login CartaSi


ed hostata su server


Questo invece il form allegato in mail ai danni di Paypal



con codice PHP ospitato su dominio creato in data attuale allo scopo

su noto servizio di hosting USA.

Una breve analisi del log presente

rivela IP esteri per chi ha avuto accesso al form (con testo in lingua inglese) , cosa che confermerebbe un phishing rivolto a utenti Paypal non italiani.

Edgar

lunedì 17 ottobre 2011

Un ' concentrato ' di codici di phishing (17 ottobre)

Si tratta di numerosi phishing ai danni sia di banche che di servizi di web-mail molto noti, con una lunga serie di cloni hostati tutti sul medesimo IP, che mostra whois USA.

Ecco la struttura dei contenuti di phishing,

dove possiamo notare date attuali per alcuni di quelli proposti.

I servizi web-mail attaccati sono in dettaglio:

e

e

Abbiamo inoltre alcuni cloni di pagine di login in lingua spagnola relativi ad alcune banche di differenti nazioni (Cile, Brasile, Spagna)

e

e

ed anche

Da notare pure la presenza di link ad eseguibile che VT vede come


Edgar

sabato 15 ottobre 2011

Phishing ai danni di banche estere (15 ottobre)

Interessante azione di phishing ai danni di Nedbank (Banca Sudafricana) (Nedbank is one of the largest banks in South Africa; however it is one of the newest banks to be incorporated in South Africa. It is headquartered in Johannesburg ) (fonte Wikipedia)

che coinvolge due siti su diverso IP ed hoster ma che hanno in comune l'utilizzo di Word Press.

In entrambi i casi

e


si nota la medesima tipologia di attacco che vede nel folder /plugins/ non solo il medesimo KIT di phishing in formato ZIP, ma anche la stessa shell 'menu.php', dal layout estremamente curato,

nonche' in un caso, questo mailer

Edgar

venerdì 14 ottobre 2011

Particolare mail di scam. “My name is Seif al-Islam Gaddafi ….....” (14 ottobre)

Tra le numerose mails di scam ricevute oggi, spicca questa dal mittente del tutto particolare....

La mail presenta headers

mentre il testo ricalca i soliti messaggi di scam relativi a ingenti somme di denaro che per essere trasferite su diverso conto necessitano della nostra collaborazione, che verra' ricompensata con una percentuale sull'importo della transazione.

Si tratta di uno dei consueti tentativi di truffa ben noti da tempo ma che questa volta risulta particolare proprio per il nome del 'fake' mittente utilizzato e cioe' Seif al-Islam Gaddafi.

Edgar

Gravi ed attuali inondazioni in Thailandia. Anche Bangkok a rischio (14 ottobre)

Anche se esula dai contenuti del blog segnalo l'attuale situazione di rischio inondazione anche per la capitale thai.
Dal 13 ottobre in Thailandia ci sono stati 283 casi di morte, oltre due milioni di persone colpite, con danni stimati fino a 156.700 milioni di baht (5,1 miliardi di dollari). L'inondazione ha coperto circa sei milioni di ettari di terreno, di cui oltre 300.000 ettari di terreni agricoli, in 58 province, da Chiang Mai sino a zone a nord della capitale Bangkok.
E 'stata descritta come la peggiore inondazione in termini di quantita' di acqua e di persone colpite degli ultimi anni.

In queste ore si sta cercando di limitare il flusso di piena che arriva dal nord della Thailandia , peraltro gia' sommerso dalle acque (situazione critica es. nella citta' di Ayutthaya)

Questa la mappa Google aggiornata a poche ore fa (ore 9 AM 14 ottobre – 4 am ita) delle zone di Bangkok che potrebbero essere interessate nelle prossime ore:

La situazione potrebbe diventare critica a causa anche delle maree alla foce del fiume che attraversa la citta' di Bangkok

Di seguito alcuni links che riportano la situazione aggiornata in tempo reale attraverso twitter:

http://twitterpowersearch.com/?q=bkkflood&q2=thaifloodENG&q3=thaiflood

http://twitter.com/#!/search?q=%23ThaiFloodEng


Alcune foto:

http://www.theatlantic.com/infocus/2011/10/worst-flooding-in-decades-swamps-thailand/100168/


Edgar