Ecco un attuale esempio di mail ricevuta da poco
mentre qui il clone linkato
con whois Cipro
Come gia' visto altre volte abbiamo la probabile origine francese del clone originale, confermata anche dal source del form fake PayPal
Per quanto si riferisce a Banche IT siamo sempre di fronte ai consueti tentativi, piu' o meno insistenti, di acquisire password di login a servizi di banking on-line.
Ecco alcuni dettagli di un odierno caso, che ripropone per l'ennesima volta sempre lo stesso indirizzo mail di invio credenziali al phisher, indirizzo che e' ormai attivo, ricercando sul Db del blog, almeno dal maggio 2011
Si tratta di un phishing che ripropone la 'classica' struttura gia' vista in centinaia di casi analizzati in passato.
Questo parte del testo in mail
Gentile Cliente,
Da domani 12 maggio 2012 il suo Home Banking si presentera' con una nuova
veste e le permetteraa' nuove funzionalita'.
Per accedere al nuovo Home Banking, clicca qui ….............
e dove si nota la data di domani relativa ad un presunto aggiornamento del sito della banca presa di mira.
Il link punta direttamente ad un clone gestito con la consueta tecnica del file (asset) manager disponibile online senza restrizioni
Per quanto si riferisce a Banche IT siamo sempre di fronte ai consueti tentativi, piu' o meno insistenti, di acquisire password di login a servizi di banking on-line.
Ecco alcuni dettagli di un odierno caso, che ripropone per l'ennesima volta sempre lo stesso indirizzo mail di invio credenziali al phisher, indirizzo che e' ormai attivo, ricercando sul Db del blog, almeno dal maggio 2011
Si tratta di un phishing che ripropone la 'classica' struttura gia' vista in centinaia di casi analizzati in passato.
Questo parte del testo in mail
Gentile Cliente,
Da domani 12 maggio 2012 il suo Home Banking si presentera' con una nuova
veste e le permetteraa' nuove funzionalita'.
Per accedere al nuovo Home Banking, clicca qui ….............
e dove si nota la data di domani relativa ad un presunto aggiornamento del sito della banca presa di mira.
Il link punta direttamente ad un clone gestito con la consueta tecnica del file (asset) manager disponibile online senza restrizioni
con un un folder creato allo scopo di ospitare il codice html della fake pagina di login
e subfolder contenente i file accessori al layout del fake sito
In realta' qualche restrizione sul sito che ospita il clone esiste, e precisamente parrebbe risultare l'impossibilita di lanciare eseguibili php, asp ecc....
Per ovviare questo i phishers hanno applicato la consueta alternativa presente in questi casi e cioe' un file php ospitato su differente sito.
Ecco infatti che il form di login presenta questo php hostato su diverso indirizzo web, tra l'altro gia' utilizzato in passato, e che viene gestito attraverso un 'classico' asset manager che permette l'upload e l'eventuale aggiornamento del php utile ai phishers.
Non sorprende quindi, viste le analogie con il passato, che il contenuto del php riporti la 'solita' mail che e' attiva almeno da un anno per simili casi di phishing
Una novita', almeno in parte, la abbiamo invece da un phishing segnalato in rete che vede una pagina clone con whois
presentare un form di login che ha incluso un campo relativo a password generata da dispositivo OTP.
Appare evidente che, visto l'uso del dispositivo OTP, il phisher dovrebbe attuare quello che si puo' definire anche come un “realtime phishing”
Anche se da questa sommaria analisi, non si puo' appurare se siamo di fronte ad un caso del genere e' comunque interessante vedere quanto si scrive in rete al riguardo del 'Real Time Phishing”
In dettaglio in un attacco di phishing in tempo reale l'utente inserisce le credenziali che devono essere subito catturate ed utilizzate dal phisher per aprire una sessione sul sito reale della banca
Le informazioni di autenticazione sono di solito create tramite dispositivi One Time Password (OTP), autenticazione via SMS ecc.... e dovrebbero rendere inefficaci i tradizionali attacchi di phishing che potremmo anche definire 'statici'.
In attacchi di phishing tradizionali, infatti, la vittima che accede ad una pagina clone, invia le credenziali di login, e queste credenziali vengono archiviate per un successivo utilizzo da parte dei phishers.
L'introduzione di autenticazione come One Time Password, ha reso questi attacchi inutili poiche' la password generata con dispositivo OTP diventa parte del processo di login in tempo reale ed inoltre c'e' solo un breve periodo di tempo in cui questi dati di autenticazione (password generata) possono essere utilizzati.
Con un attacco che potremmo anche definire del genere “man in the middle attack” (letteralmente …......l'uomo nel mezzo......... o meglio sarebbe ….....il phisher nel mezzo......... ) il sito di phishing e' invece interposto tra sito della banca e utente e di conseguenza le credenziali che l'utente invia al sito di phishing, compresi OTP, vengono catturate ed utilizzate immediatamente dai phishers per avviare una sessione fraudolenta con il sito della banca e non importa se il sito utilizza un apposito OTP token, SMS di autenticazione,ecc...
Edgar
Nessun commento:
Posta un commento