domenica 9 settembre 2012

Phishing internazionale. Colpita la maggiore azienda produttrice e distributrice di energia in Francia (9 settembre)

Come e' evidente, il phishing ai danni di banche ed aziende italiane e' solo una piccola parte di quello che, a livello globale, propone ogni giorno centinaia di pagine clone ai danni di aziende piu' o meno note.

Quello che si nota, non solo per obiettivi IT, e' la tendenza nel cercare di acquisire, da parte dei phishers, credenziali di carta di credito piuttosto che  dati di login a conti bancari online, anche se ultimamente appaiono in rete tentativi di bypassare accessi ad internet banking che utilizzano protezioni basate su OTP (passwords generate da dispositivi hardware o gestite tramite SMS)

Non sorprende quindi che una verifica del report  Autoit che acquisisce le segnalazioni online di phishing mostri questo interessante clone ai danni della nota societa' elettrica francese EDF


EDF (Électricité de France) è la maggiore azienda produttrice e distributrice di energia in Francia.(fonte Wikipedia) e questo phishing potrebbe quindi garantire a chi lo gestisce, una notevole 'raccolta' di 'dati' sensibili anche considerato l'elevato numero di utenti coinvolti.

Vediamo alcuni dettagli.

Il clone e' ospitato su server 


e presenta in evidenza il logo dell'azienda


con un primo form di richiesta dei dati anagrafici ma anche della mail con la relativa password (anche l'acquisizione di credenziali di login a web-mail appare sempre piu' diffusa on-line attraverso false pagine di login)


La pagina seguente mostra poi l'acquisizione dei dati relativi alla carta di credito 


ed e' predisposta per accettare un buon numero di differenti nomi di banche


Successivamente si viene reindirizzati al reale sito di EDF.


Da un  punto di vista piu' tecnico si evidenzia il fatto che il sito clone parrebbe essere gestito con l'uso di una procedura gia' molto vista su phishing VISA (vedi questo post) e che consiste nel creare al momento del login al sito clone un folder dal nome random su cui duplicare il clone base in maniera automatica, e questo per garantire una probabile migliore contrasto ad eventuale blacklist dell'indirizzo web.


Al momento appaiono generati circa 180 nuovi folders


 che dovrebbero corrispondere quindi al numero degli accessi alle pagine clone EDF.


Questo sistema utilizzato spiega anche come mai sia notevole il numero di segnalazioni effettuate online in quanto ad ogni accesso abbiamo differente URL nella parte relativa al folder che ospita il fake sito EDF.
Notevole anche il fatto che dopo circa un minuto di intervallo il numero di folders clone aumenti di 5 ….8 volte dimostrando un elevato  numero di accessi al sito.


Come si vede, quindi,  un phishing estremamente curato nei dettagli e che va a colpire una azienda che pur non essendo una banca assicura comunque ai phishers un elevato numero di utenti da cui tentare di acquisire le credenziali di carta di credito.

Edgar

Nessun commento: