Lo scopo degli attacchi di phishing e' di solito legato all'acquisizione di dati personali relativi ad accesso a conti bancari on-line, al furto di credenziali di carta di credito, al furto di altri dati personali riservati, come indirizzi mail (compreso la password di accesso), dati anagrafici della persona bersaglio del phishing, ecc.... che potrebbero essere utili ai phishers per sviluppare un successivo attacco.
Quello che si nota, e' che una mail di phishing 'classica' essendo generalmente riferita ad una singola banca od azienda, ha dei limiti relativamente alla possibilita' di riuscita dell'attacco stesso (evidentemente se non sono cliente della banca target non saro' interessato a seguire i 'consigli' presenti in mail) ed anche i dati da acquisire si limitano,di solito, a credenziali di carta di credito (molto di piu negli ultimi mesi che in passato), o di accesso al conto online.... (pratica ultimamente contrastata attraverso dispositivi hardware di verifica accesso al conto online).
Oltre al fatto che il numero di possibili bersagli offerto da un fake messaggio che prenda di mira una compagnia di telefonia mobile e' certamente molto piu' ampio, (milioni di utenti), una azione di phishing come quella che vedremo, si sviluppa, per sua stessa natura, con la richiesta sia di dati personali (in primo luogo il numero di telefono ma anche indirizzo, cod.fiscale o partiva IVA ecc... ) e con l'acquisizione di numeri di carta di credito relativamente al pagamento on-line della ricarica telefonica.
Un phishing quindi che spazia su un ampia scelta di possibili dati sensibili da acquisire e che puo' essere facilmente strutturato in maniera altamente ingannevole.
Vediamo alcuni dettagli:
Questa una delle mail ricevute
con semplice testo in buon italiano e con logo WIND acquisito da sito IT che si occupa di tariffe di servizi telefonici
Questo un dettaglio dei riferimenti ai nomi dei files logo gif utilizzati dal messaggio e nel reale sito
Una analisi dell'header in mail presenta anche riferimenti ad IP italiani
Il clone WIND linkato in mail utilizza hosting su server USA e dominio creato in data attuale per ospitare i fakes forms di richiesta dati (registrazione dominio a nome di italiano anche se dato non significativo)
Ecco invece alcuni dettagli dell'accurato form di richiesta dati che presenta nella prima parte quella del numero telefonico e di una mail di riferimento (dato utile ai phishers per acquisire eventuali nuovi indirizzi mail se diversi da quello usato nel phishing attuale)
e
Si passa poi alla richiesta di dati anagrafici e fiscali
per proseguire (dopo simulazione di ritardo dovuto alla connessione di trasferimento dato in corso) alla richiesta dei dati di carta di credito (ampia scelta)
Da notare come un confronto del presunto numero di ordine in due differenti sessioni di link al fake sito Wind mostri identico valore !!!
Una volta acquisiti questi dati, viene richiesta anche la password relativa al servizio 'Verified by VISA'
permettendo cosi' ai phishers di completare l'acquisizione di una notevole quantita' di dati personali sensibili.
Si passa poi allo screen finale dove si conferma la ricarica free e l'invio all'indirizzo mail indicato nel form, di conferma della ricarica
Successivamente si viene rediretti al reale sito WIND
Un phishing quindi altamente ingannevole e che presenta un livello di dettaglio di acquisizione dati personali estremante elevato.
Anche se probabilmente alcuni dati di chi cade nel phishing potrebbero essere richiesti solo per aumentare la natura ingannevole del sito, non e' neppure da escludere che gli stessi servano poi per ulteriori azioni ai danni di utenti Wind.
Come gia accaduto altre volte uno dei pochi 'punti deboli' di questo attacco potrebbe essere l'indirizzo web utilizzato per il fake sito WIND che non ricorda quello del reale dominio Wind.
Una ragione in piu' per verificare sempre accuratamente l'indirizzo web a cui si viene linkati da mail dubbie e possibilmente anche l'IP number relativo al sito a cui si e' connessi.
Edgar
Quello che si nota, e' che una mail di phishing 'classica' essendo generalmente riferita ad una singola banca od azienda, ha dei limiti relativamente alla possibilita' di riuscita dell'attacco stesso (evidentemente se non sono cliente della banca target non saro' interessato a seguire i 'consigli' presenti in mail) ed anche i dati da acquisire si limitano,di solito, a credenziali di carta di credito (molto di piu negli ultimi mesi che in passato), o di accesso al conto online.... (pratica ultimamente contrastata attraverso dispositivi hardware di verifica accesso al conto online).
Oltre al fatto che il numero di possibili bersagli offerto da un fake messaggio che prenda di mira una compagnia di telefonia mobile e' certamente molto piu' ampio, (milioni di utenti), una azione di phishing come quella che vedremo, si sviluppa, per sua stessa natura, con la richiesta sia di dati personali (in primo luogo il numero di telefono ma anche indirizzo, cod.fiscale o partiva IVA ecc... ) e con l'acquisizione di numeri di carta di credito relativamente al pagamento on-line della ricarica telefonica.
Un phishing quindi che spazia su un ampia scelta di possibili dati sensibili da acquisire e che puo' essere facilmente strutturato in maniera altamente ingannevole.
Vediamo alcuni dettagli:
Questa una delle mail ricevute
con semplice testo in buon italiano e con logo WIND acquisito da sito IT che si occupa di tariffe di servizi telefonici
Questo un dettaglio dei riferimenti ai nomi dei files logo gif utilizzati dal messaggio e nel reale sito
Una analisi dell'header in mail presenta anche riferimenti ad IP italiani
Il clone WIND linkato in mail utilizza hosting su server USA e dominio creato in data attuale per ospitare i fakes forms di richiesta dati (registrazione dominio a nome di italiano anche se dato non significativo)
Ecco invece alcuni dettagli dell'accurato form di richiesta dati che presenta nella prima parte quella del numero telefonico e di una mail di riferimento (dato utile ai phishers per acquisire eventuali nuovi indirizzi mail se diversi da quello usato nel phishing attuale)
e
Si passa poi alla richiesta di dati anagrafici e fiscali
per proseguire (dopo simulazione di ritardo dovuto alla connessione di trasferimento dato in corso) alla richiesta dei dati di carta di credito (ampia scelta)
Da notare come un confronto del presunto numero di ordine in due differenti sessioni di link al fake sito Wind mostri identico valore !!!
Una volta acquisiti questi dati, viene richiesta anche la password relativa al servizio 'Verified by VISA'
permettendo cosi' ai phishers di completare l'acquisizione di una notevole quantita' di dati personali sensibili.
Si passa poi allo screen finale dove si conferma la ricarica free e l'invio all'indirizzo mail indicato nel form, di conferma della ricarica
Successivamente si viene rediretti al reale sito WIND
Un phishing quindi altamente ingannevole e che presenta un livello di dettaglio di acquisizione dati personali estremante elevato.
Anche se probabilmente alcuni dati di chi cade nel phishing potrebbero essere richiesti solo per aumentare la natura ingannevole del sito, non e' neppure da escludere che gli stessi servano poi per ulteriori azioni ai danni di utenti Wind.
Come gia accaduto altre volte uno dei pochi 'punti deboli' di questo attacco potrebbe essere l'indirizzo web utilizzato per il fake sito WIND che non ricorda quello del reale dominio Wind.
Una ragione in piu' per verificare sempre accuratamente l'indirizzo web a cui si viene linkati da mail dubbie e possibilmente anche l'IP number relativo al sito a cui si e' connessi.
Edgar
Nessun commento:
Posta un commento