mercoledì 18 gennaio 2012

Phishing PayPal con utilizzo di domini registrati allo scopo (18 gennaio)

L'alternativa all'uso di siti compromessi per ospitare redirect a phishing o cloni di phishing, e' quella di registrare un nuovo dominio sul quale poi hostare i codici di phishing o quelli di redirect al clone della banca.

Per fare questo si possono utilizzare o servizi free (es. Altervista, molto utilizzato nei casi di phishing ai danni di banche IT a diffusione regionale) oppure servizi a pagamento di hosting (di solito a basso costo)

Tra i vantaggi per i phishers ci sono la possibilita di creare nomi di dominio ed indirizzi web ingannevoli ma anche il fatto che, non essendo 'ospiti' su siti compromessi di 'terze parti', almeno in teoria, viene garantita una maggiore permanenza online dei cloni.

Chiaramente, specialmente nel caso di servizi free, dato che chi mette online il clone od il redirect viola il regolamento del Free Hosting, la permanenza online in molti casi dura poco a causa della sospensione dell'account.

Quello che vediamo ora e' un esempio di phishing PayPal che sfrutta sia un servizio di hosting IT che un servizio free romeno per mettere online un clone in lingua inglese.
Come si nota dalle date presenti sia di registrazione dei domini che di upload dei codici di phishing si tratta di phishing attuale e tuttora attivo.

Ecco alcuni dettagli:

Questo il dominio usato per il redirect

con whois IT

e registrazione in data molto recente

L'alternativa al fatto che si tratti di dominio creato appositamente dai phishers, sarebbe l'avvenuta compromissione dello stesso, a poche ore dalla sua attivazione da parte del provider IT.
Cosa possibile ma comunque poco probabile anche alla luce dei dati del 'registrant' che sembrano piu' di fantasia che reali.

Altra obiezione al fatto che si tratti di dominio creato appositamente dai phishers e' perche' non si sia creato un nome ingannevole (di dominio), per generare un indirizzo web piu legato al phishing PayPal, ma anche in questo caso si puo' obbiettare che essendo utilizzato per il redirect la relativa url non viene praticamente visualizzata nel browser, ma si passa subito a quella finale di hosting del clone.

Sarebbe comunque interessante monitorare detto dominio per vedere se in futuro verra' usato per altre azioni di phishing anche non legate a PayPal.

Tornando al redirect, questo punta a dominio creato sfruttando un servizio free web romeno

su server

Un dettaglio della struttura del phishing mostra date di ieri (17/1)

Il clone ripropone il consueto form di acquisizione dati sia anagrafici che di carta di credito, in linea con l'attuale tendenza del phishing che vede sempre piu' diffuso il furto di credenziali di carta di credito

Il form non effettua particolari verifiche sui dati inseriti tranne che per la presenza o meno degli stessi e redige poi a reale pagina UK di PayPal.

Edgar

Nessun commento: