lunedì 23 luglio 2012

La 'fantasia' dei phishers non ha limiti. Un phishing ingannevole e molto particolare ai danni di noto hoster IT (23 luglio)


Come gia' visto parecchie volte, i phishers dimostrano sia nella scelta dei targets da colpire che nelle modalita' di attacco una notevole 'fantasia'
Basta vedere come, ad esempio, veniva attuato il phishing allo scopo di bypassare i tokens OTP descritto in questo precedente post, dove si procedeva con una serie di richieste volte a rendere inefficace la protezione di sistemi di protezione che usano la password inviata via SMS.

Quello che vediamo ora e' invece un phishing che va' a colpire un noto hoster italiano, attraverso la richiesta fake del pagamento del rinnovo del servizio di hosting.
Si tratta della prima volta che un phishing del genere viene analizzato su questo blog, e che parrebbe  essere molto ingannevole se non altro perche' chi lo attua potrebbe procurasi indirizzi mail legati strettamente allo specifico oggetto del phishing.
E' infatti chiaro che molti dei siti web, in special modo personali, sono stati creati, registrati e messi online dalla stessa persona che li usa per proporre contenuti, blogs ecc...
E' quindi molto probabile che tra gli indirizzi mails rintracciabili sul sito ce ne sia uno di chi amministra il sito (e quindi paga anche l'hosting), cosa che permetterebbe facilmente ai phishers di venire in possesso di una mail a cui inviare la richiesta di 'fake' pagamento con buone probabilita' di successo.
In altre parole i phishers potrebbero rintracciare dalla rete indirizzi mails che si riferiscono a chi  fisicamente  amministra e 'paga' l'hosting del sito, magari filtrando la ricerca solo per quello specifico hoster, e quindi evitare di inviare mails di spam senza verifiche ma solo mirate a chi potrebbe cadere piu' facilmente nel tranello della falsa richiesta di pagamento.

Vediamo qualche ulteriore dettaglio:

Tramite un redirect con url ingannevole ed ospitato su servizio di free web (di cui vediamo la home)



si passa al sito di phishing  ospitato su server 


che mostra la presenza di 


Traducendo la pagina dal russo parrebbe trattarsi di un probabile servizio free di hosting.


Questa invece la pagina di phishing


dove notiamo sia il logo dell'hoster IT che i dettagli di quanto deve essere pagato  per il servizio ed, a destra, il form relativo alle credenziali di carta di credito

La scelta e' ampia includendo anche PostePay.


Una occhiata al source dimostra come i vari loghi siano linkati a partire da differenti siti


tra cui uno in varie lingue tra cui quella italiana anche se su server tedesco


Cliccando su 'procedi con la verifica'  si viene portati, senza apparentemente controllo della presenza o meno di dati digitati nel form, ad una pagina 'Verified by VISA' con richiesta della password


 per passare poi a successiva pagina di conferma


e redirect  sul reale sito dell'hoster IT.

Chiaramente le finalita' di un phishing come quello visto ora sono il furto  di credenziali di Carta di Credito (compreso anche la password del servizio Verified By Visa ) in linea con le attuali tendenze rilevabili in rete dove il furto di dati sensibili riguardo a Carte di Credito e password di verifica come quelle 'By Visa' e' sempre piu' diffuso.
In ogni caso si tratta di un phishing, come detto in premessa, molto particolare e che stupisce per la 'fantasia' dei phishers nel trovare sempre nuovi 'bersagli' da colpire.

Edgar

Nessun commento: