giovedì 16 agosto 2012

Webmail phishing (16 agosto)

Analizzando i reports relativi al phishing attivo online si nota sempre una estesa presenza di pagine web che mostrano un falsi accessi a web mail creati allo scopo di acquisire le credenziali del servizio di posta elettronica.
Anche se di solito il phishing consiste in pagine clone di log a noti servizi di web mail (es.Yahoo)


la tendenza sembrerebbe essere quella di proporre una pagina che mostri differenti loghi di servizi web mail


e questo al chiaro scopo di aumentare le possibilita' che chi visita la pagina cada nel phishing.

Ecco un dettaglio di un report Autoit che raccoglie le segnalazioni di phishing e cattura uno screenshot ed altri dati relativi alla pagina clone quando questa e' attiva online.



Come si nota la provenienza degli IP mostra una varia geo-localizzazione dei siti, quasi sempre compromessi, che vengo utilizzati per ospitare le false pagine di login.

Ecco invece alcuni tra le decine di layout attualmente attivi 








che in dettaglio

od anche


con


dai layouts abbastanza simili

Questi altri layouts molto comuni





Di solito si cerca di associare la richiesta di un login a web mail con 'la scusa' di poter consentire  l'accesso ad altre pagine web di vario genere (cataloghi prodotti, files  ecc....)

Per quanto riguarda l'uso di questi dati di accesso a web-mails cosi' ricercati dai phishers si puo' pensare che una volta venuti in possesso delle credenziali di login  possano cercare di acquisire dati personali eventualmente presenti in messaggi mails, ma anche utilizzare gli accounts compromessi per effettuare invio di spam,  di messaggi con links a malware ecc... senza contare che, banalmente, l'operazione di phishing potrebbe servire semplicemente a confermare ed acquisire nuovi indirizzi email da usare in seguito.
C'e' inoltre da tenere presente che in alcuni casi lo stesso  accesso alla web-mail (es Google) permette di accedere anche ad altri servizi forniti dalla stessa azienda (nel caso di Google es. Google Docs ecc...) e quindi permetterebbe ai phishers di venire in possesso di altre info personali eventualmente collegate agli altri servizi online.
Come nota finale appare pure possibile che chi usa un accesso a web-mail utilizzi le stesse credenziali per linkarsi a servizi diversi e magari anche a dati piu' 'sensibili' quali ad esempio quelli di Internet Banking.

Edgar
Posted by at

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)