mercoledì 11 aprile 2012

Furto di credenziali di accesso a servizi di web-mail (11 aprile)

Il rischio di furto di credenziali di accesso ad account di posta elettronica gestiti da servizi free quali Gmail, Yahoo, Windows Live, solo per citarne alcuni tra i piu' noti, e sempre molto presente in rete.

Di solito vengono usati siti clone di pagine di login ma anche pagine costruite appositamente e che propongono login a differenti account mail utilizzando il medesimo form fake.
E' evidente che si cerca di far credere che la pagina di login sia predisposta per diversi servizi di web mail contemporaneamente, attraverso un layout con la presenza di numerosi loghi dei piu' svariati servizi Web-mail free.
Nel caso odierno e' anche visibile del testo in lingua cinese che tradotto con Google pare simile come contenuti a quello in lingua inglese:

Ecco invece come si presenta la pagina

che propone un generico accesso a foto online visibili solo dopo un login tramite il nostro account mail.

Una volta acquisiti i dati si viene rediretti su un generico sito di foto online e di cui vediamo un dettaglio della homepage.

Una analisi dei contenuti mostra un whois Usa per quanto di riferisce al sito compromesso che ospita il falso login

mentre possiamo trovare diversi riferimenti a mailers, ma anche a shell php forse usata da chi gestisce il fake login non escludendo comunque che si tratti di shell legata a precedente azione di hacking.

Ecco alcuni screenshots dei numerosi codici mailer presenti (ben 3)

e (con curioso riferimento al noto calciatore italiano ?)

ed ancora

mentre questa la shell PHP

Continuando nella ricerca si scopre anche un'altra pagina inclusa, che, nella piu' classica delle configurazioni di sito di phishing, propone il layout di pagina di login ad account Yahoo mail

Si tratta,quindi, di una ulteriore conferma dell'utilizzo del sito compromesso Usa essenzialmente ai fini di acquisire credenziali di accesso a servizi email, da utilizzare probabilmente, in seguito, in azioni fraudolente di vario genere. (spam, furto di dati personali, distribuzione malware ecc....)
E' evidente che l'operazione tempestiva da eseguire, nel caso ci si accorgesse di esse caduti nel tranello della fake pagina, sara' quella di modificare la nostra password di accesso al servizio web-mail ed anche le eventuali altre utilizzate e legate alla mail (spesso molti usano la stessa password per diversi accounts e-mail o peggio anche per diversi servizi Internet....magari anche di accesso a conti bancari online ecc...), sperando sempre che la stessa operazione (la modifica della password) non sia gia' stata eseguita dai phishers, rendendo il nostro account inaccessibile

Edgar

Nessun commento: