giovedì 31 gennaio 2013

Falsa pagina 'Windows Live' con acquisizione credenziali di login. (30 -31 gennaio)

Sempre estremamente elevato il numero di false pagine di login a servizi di web mail.
Si tratta di pagine (ma a volte di interi siti fake) che propongono form di login (username e password) a noti servizi di WebMail (di solito evidenziati dalla presenza di diversi loghi sulla medesima pagina)


Attraverso questi cloni messi in rete i phishers possono cosi' venire in possesso di migliaia di credenziali da sfruttare poi per spam, furto di dati personali ecc.....

Ecco un esempio di fake pagina 'Windows Live' (in lingua spagnola)


attualmente online ed attiva e della quale abbiamo la possibilita' di analizzare i contenuti.(i folders e quanto in esso incluso sono visibili da browser senza restrizioni)


In dettaglio il folder che ospita il clone 'Microsoft Live' presenta in chiaro il file di 'raccolta' dei dati di accesso digitati da chi e' caduto nel phishing, cosa che rivela l'alto numero di credenziali sottratte.


Si tratta di oltre 75.000 records 


di cui una parte, come si vede, e' senza dati o dati non associabili a reale user e password (chi ha visitato il sito si e' probabilmente accorto che si trattava di un  falso) ma anche di un buon numero di records che presentano credenziali che parrebbero essere nomi reali e non di fantasia.

Inoltre si puo' notare come nell'arco di 24 ore il numero dei record  e' aumentato di oltre 300 unita' di cui una settantina che  sembrerebbero  reali users 'Windows Live'.

Questo dimostra ancora una volta come, nonostante il problema delle false pagine di login o piu' in generale del phishing sia ben noto, ci siano ancora parecchi utenti internet che cadono vittima del furto di dati personali piu' o meno sensibili.
C'e' anche da rilevare come il phishing analizzato abbia una efficacia notevole nel raccogliere dati personali di login cosa che spiega come mai in rete il numero di siti come quello visto ora, sia in costante aumento.

Edgar

martedì 29 gennaio 2013

'Vogliate ricevere Suo pacco' Continua lo spam di false comunicazioni DHL con link ad eseguibile malware (29 gennaio)

Sempre attivo in rete lo spam di false comunicazioni DHL che includono link a file malware sotto forma di file zip contenente eseguibile la cui icona fa apparire il file come testo Word anche se in realta' eseguibile .exe


Nelle ultime ore si possono trovare on-line numerose segnalazioni al riguardo.
Si tratta di mails di spam aventi per oggetto testi come:

DHL Vogliate ricevere Suo pacco.

E' possibile ricevere Suo pacco.

Lei ha bisogno di ricevere un pacco.  

DHL Lei ha bisogno di ricevere un pacco. 

A conferma della elevata diffusione dello spam possiamo anche vedere come la statistica delle pagine visitate su questo blog mostri che il post piu' letto nelle ultime 24 ore e' proprio quello che illustra questo genere di spam.


Una analisi dei contenuti del file zip scaricati da due diverse mail, evidenzia nette variazioni  tra la dimensione di quello linkato con data 26/1 e quello  datato 28/1, segno che chi distribuisce il malware aggiorna costantemente lo stesso onde renderne piu' difficile il rilevamento da parte dei softwares AV.


Una scansione del file piu' recente, datato 28/1 mostra basso riconoscimento 


mentre dopo circa sei ore lo stesso file, come succede spesso in questi casi, viene riconosciuto come malevolo da alcuni software in piu'


 anche se il numero complessivo risulta comunque sempre basso (10 su 46 software AV)
Questo il report VT, attuale time (ore 9 AM thai (IT - 6h) del 29/1)


mentre una analisi con Anubis individua il file con nome simile a quello gia' segnalato su forum tedeschi (nome del file > DeutschePost_ID.......)


E' anche chiaro che essendo DHL azienda controllata dalla Deutsche Post (la Deutsche Post, nel suo piano di diversificazione delle attivita' e di acquisizioni di societa' del mondo dei trasporti, comincio' ad acquistare azioni di DHL, arrivando a prenderne il controllo nel 2001 e la proprieta' completa nel 2002.(Wikipedia)), lo spam attuale ai danni di utenti IT possa essere visto come una variante di quello ai danni di utenti internet tedeschi.

Edgar

lunedì 28 gennaio 2013

Ancora false pagine di login a noti servizi free di web-mail.(28 gennaio)

Ecco un attuale caso di falsa pagina di login a servizio di web-mail che, ancora una volta, sfrutta il logo Microsoft (ed il nome Microsoft nella url) per tentare di ingannare maggiormente il visitatore.



Vediamo alcuni interessanti dettagli:

Il phishing vede come primo passo l'uso di un dominio dal nome ingannevole che ospita un codice di redirect.
Ovviamente essendo un dominio creato ex-novo ed in data abbastanza recente


i phishers hanno creato una url che ricorda maggiormente un nome simile all'originale che verra' clonato.
In questo caso e' stato scelto il nome Microsoft con inserite nel testo alcune ulteriori lettere ma sempre mantenendo una stretta somiglianza con il nome originale.

Ecco come si presenta, sul fake dominio Microsoft, il contenuto del folder che ospita il codice di redirect (il file con data di ieri evidenziato in verde) ma che include anche diversi altri codici di phishing sia  come sola gestione dei dati acquisiti attraverso forms (soli codici php) che come layout di sito fake di banca (codici html, immagini jpg ecc....)


In particolare, oltre al codice di redirect abbiamo anche:

1) un phishing che interessa Postbank su folder


e con source della pagina di login come


2) due phishing ai danni rispettivamente di VirginMoney e Barclays su folder


come codici php che puntano a


e


In questo caso si tratta solo di hosting dei codici php di supporto ai form di phishing  (forms presenti probabilmente su altro sito o allegati in mail).

Ecco, ad esmpio, come si presenta il codice relativo ad acquisizione credenziali Barclays


3) un folder che ospita una copia del phishing webmail uguale a quella attuale in uso sul sito a cui si viene reindirizzati.

4) ulteriori folders che contengono codi di acking di vario genere …...

Tornando al redirect al fake login webmail, oggetto del post, il re-indirizzamento punta a sito compromesso (quindi non su dominio creato allo scopo di hostare codici di phishing come il caso precedente).
Comunque, anche se viene utilizzato sito compromesso dal nome di dominio pre-esistente, i phishers approfittano del fatto che possono creare una serie di sub-folders dai nomi ingannevoli.
Questo un dettaglio dei nomi di folders creati dai phishers dove vediamo ritornare il nome Microsoft


mentre questo il contenuto del folder dove e' stato predisposto tutto quello che serve a gestire la pagina fake di accesso al servizio mail ( codice html della pagina, le immagini dei loghi dei servizi mail coinvolti, il codice php di invio credenziali sottratte ecc....)


Il risultato e' 


con form di immissione di nome utente e password da scegliere tra diversi noti  servizi disponibili


Esiste comunque anche la possibilita' di scelta generica per chi non utilizzasse una delle webmail elencate.

La gestione dei dati sottratti presenti nel form avviene con questo semplice codice php che provvede ad inviare al phisher, via mail, l'username e la password digitati 


ed a reindirizzare poi sul reale sito Microsoft.com/security/.

Edgar

domenica 27 gennaio 2013

Phishing estero ai danni del “Fondo nazionale assegni familiari' francese (27 gennaio)

Recentemente si sono visti in rete phishing ai danni di grandi aziende francesi come ad esempio quello a 'EDF' (azienda di produzione e distribuzione dell'energia elettrica in Francia) oppure quello ai danni di Carrefour ( azienda francese supermercati).

Si tratta in ambedue i casi di azioni  che dimostrano come si cerchi, da parte dei phishers, di coinvolgere il maggior numero possibile di utenti internet, attraverso uno spam legato ad aziende che si occupano di servizi od attivita' che coinvolgono un grande numero di cittadini.
Coinvolgere nel phishing una grande catena di supermercati (Carrefour) od una compagnia di produzione e distribuzione a livello nazionale dell'energia elettrica (EDF) aumentera' la probabilita' che chi riceve il fake messaggio sia effettivamente cliente dell'azienda colpita, con maggiore possibilita', quindi, che l'azione fraudolenta vada a buon fine.
Cosa c'e' di meglio allora che sfruttare, come oggetto della mail,il fatto che la stessa sia inviata da un ente che gestisce il pagamento di aiuti finanziari alle famiglie, proponendo un clone del sito web del “Fondo nazionale assegni familiari' francese.(vedi dettagli su pagina Wikipedia tradotta in italiano)


Il fake sito e' hostato su questo server USA


che propone una prima pagina con attesa simulata di alcuni secondi (allo scopo di ingannare meglio l'utente facendogli pensare di un ritardo nel collegamento al reale sito) 


a cui segue una serie di form 


con richiesta finale delle credenziali relative a carta di credito 


per poi redirigere sul reale sito del “Fondo nazionale assegni familiari'.


Le pagine di phishing mostrano la consueta struttura che viene usata in casi simili e cioe' l'utilizzo di contenuti e immagini raccolti da vari siti on-line.
Ad esempio l'immagine presente nell'animazione di 'attesa  connessione al sito' e' una gif animata presente su altro sito in lingua francese


Per rilevare quale sia il numero di utenti internet che si sono connessi al sito di phishing possiamo sfruttare la caratteristica struttura dello stesso.
Qui vediamo il folder principale che ospita sia la copia 'base' del sito di phishing che le centinaia di 'copie' clone individuabili da nomi di folder random.


La tecnica usata e' infatti quella di creare al momento della connessione ed in maniera del tutto trasparente per l'utente, una 'copia' della struttura base del sito di phishing salvandola con nome di folder random.
Contando il numero di folder creati possiamo sapere indicativamente quanti hanno seguito il link presente nella mail di phishing (un nuovo folder dal nome casuale ad ogni nuovo accesso al phishing)

Ecco che nella serata di ieri (26/1) avevamo


mentre questa mattina (27/1)


Dopo qualche ora il numero di folder creati saliva a piu' di 850: 


Tenendo anche conto che l'intervallo di tempo analizzato corrisponde a time europeo che coincide in buona parte con orario notturno (quindi meno accessi in rete), abbiamo piu' di 350 accessi, cosa che dimostra l efficacia della scelta dei phishers.

Questo phishing comunque non e' una novita' in quanto analizzando i contenuti del reale sito del “Fondo nazionale assegni familiari' francese , troviamo una ampia descrizione di azioni analoghe che vedono anche l'uso di una fake applicazione di telefonia mobile su Android.

Questi alcuni screenshot delle info riportate dal reale sito (tradotte con Google):




che dimostrano come ci sia stata nei mesi scorsi una intensa attivita' di questo genere di phishing.

Edgar

sabato 26 gennaio 2013

Phishing ai danni di grandi aziende di vendita al dettaglio. Aggiornamenti (25 gennaio)

Nel post di ieri venivano analizzati due phishing simili ai danni di note aziende a diffusione mondiale di distribuzione e vendita al dettaglio
Appare oggi in rete un nuovo clone TESCO che mostra qualche particolare in piu' relativamente all'azione di phishing.
Ecco la struttura del folder di phisihng su sito WP compromesso


che ospita sia il nuovo clone TESCO


ma anche un folder contenente questo codice html 


da cui si rileva che origine del phishing sarebbe la comunicazione di una vincita in denaro.
Come sempre succede in questi casi di phishing, la vincita potra' essere confermata solo loggandosi al sito fake TESCO e fornendo sia i dati di carta di credito che altri dati personali.

Tra l'altro, come si vede da uno dei nomi di folder presenti nello screenshot,  il sito compromesso ospita anche una pagina clone di login a banca CHASE.



Edgar

Riduzione Della Tassa!. Una mail di phishing PosteIT dal testo ingannevole (26 gennaio)

Il periodo di forte imposizione fiscale in Italia sembra essere entrato tra gli argomenti sfruttati dai phishers attraverso messaggio ingannevole allo scopo di indurre, chi ricevesse la mail, ad aprire e compilare il form allegato con tutte le conseguenze del caso.

Ecco alcuni dettagli sull'odierna mail di phishing PosteIT che in realta' sembra piuttosto venire presentata dai phishers come una comunicazione di enti preposti alla riscossione di imposte.



Come si nota la mail si compone di due parti ben distinguibili:

1) la prima, con in bella evidenza il testo 'Riduzione Della Tassa!'  e di seguito 

'…... Dopo l'ultimo calcolo annuale della vostra attivita' fiscali abbiamo stabilito che si ha diritto a ricevere un rimborso d'imposta di: 332,79 Euro 
A questo proposito, si prega di scaricare il modulo allegato a questa email e aprirlo in un browser web.......'

2) una seconda parte che invece informa di conto bloccato e che parrebbe essere copiata dai classici messaggi di phishing a banche e PosteIt:

'Una volta aperto, vi verra' fornito con i passaggi per ripristinare l'accesso al conto................... 
Apprezziamo la vostra comprensione mentre lavoriamo per garantire la vostra sicurezza account. 
NUMERO DI SCONTO FISCALE: IT0034078-POSTEPAY2013
Si prega ci permettono 9 a 14 giorni per elaborare il tuo rimborso.
'
A parte qualche errore nel testo si vede come i phishers si preoccupino anche di informare dei 9 ...14 giorni di attesa perche' ci vengano rimborsati 332,79 Euro di tasse pagate.
Evidentemente i phishers vogliono prendersi tutto il tempo necessario a completare la loro azione fraudolenta ed evitare eventuali 'reclami' alla reale gestione PosteIt da chi, una volta eseguita l'operazione di registrazione del fake form, non vedesse accreditato sul suo conto quanto stabilito in mail.

Segue poi, nel layout della mail, una classica immagine jpg di pubblicita' a  PostePay e tratta dal reale sito PosteIT.

Gli headers in mail rivelano provenienza del messaggio come 


mentre questo il form allegato


 con layout, molto utilizzato in casi di phishing PosteIT, e che tenta di sottrarre le credenziali di accesso alla carta PostePay


Il codice php di 'gestione' dei dati sottratti a cui fa riferimento il form allegato 


si trova invece su server koreano


Come si vede un bell'esempio di phishing con messaggio mail che adattandosi alla attuale situazione italiana, potrebbe indurre chi lo ricevesse a chiedere il falso accredito di parte delle tasse versate vedendosi invece sottratte le credenziali PostePay di accesso al conto.

Edgar