domenica 27 gennaio 2013

Phishing estero ai danni del “Fondo nazionale assegni familiari' francese (27 gennaio)

Recentemente si sono visti in rete phishing ai danni di grandi aziende francesi come ad esempio quello a 'EDF' (azienda di produzione e distribuzione dell'energia elettrica in Francia) oppure quello ai danni di Carrefour ( azienda francese supermercati).

Si tratta in ambedue i casi di azioni  che dimostrano come si cerchi, da parte dei phishers, di coinvolgere il maggior numero possibile di utenti internet, attraverso uno spam legato ad aziende che si occupano di servizi od attivita' che coinvolgono un grande numero di cittadini.
Coinvolgere nel phishing una grande catena di supermercati (Carrefour) od una compagnia di produzione e distribuzione a livello nazionale dell'energia elettrica (EDF) aumentera' la probabilita' che chi riceve il fake messaggio sia effettivamente cliente dell'azienda colpita, con maggiore possibilita', quindi, che l'azione fraudolenta vada a buon fine.
Cosa c'e' di meglio allora che sfruttare, come oggetto della mail,il fatto che la stessa sia inviata da un ente che gestisce il pagamento di aiuti finanziari alle famiglie, proponendo un clone del sito web del “Fondo nazionale assegni familiari' francese.(vedi dettagli su pagina Wikipedia tradotta in italiano)


Il fake sito e' hostato su questo server USA


che propone una prima pagina con attesa simulata di alcuni secondi (allo scopo di ingannare meglio l'utente facendogli pensare di un ritardo nel collegamento al reale sito) 


a cui segue una serie di form 


con richiesta finale delle credenziali relative a carta di credito 


per poi redirigere sul reale sito del “Fondo nazionale assegni familiari'.


Le pagine di phishing mostrano la consueta struttura che viene usata in casi simili e cioe' l'utilizzo di contenuti e immagini raccolti da vari siti on-line.
Ad esempio l'immagine presente nell'animazione di 'attesa  connessione al sito' e' una gif animata presente su altro sito in lingua francese


Per rilevare quale sia il numero di utenti internet che si sono connessi al sito di phishing possiamo sfruttare la caratteristica struttura dello stesso.
Qui vediamo il folder principale che ospita sia la copia 'base' del sito di phishing che le centinaia di 'copie' clone individuabili da nomi di folder random.


La tecnica usata e' infatti quella di creare al momento della connessione ed in maniera del tutto trasparente per l'utente, una 'copia' della struttura base del sito di phishing salvandola con nome di folder random.
Contando il numero di folder creati possiamo sapere indicativamente quanti hanno seguito il link presente nella mail di phishing (un nuovo folder dal nome casuale ad ogni nuovo accesso al phishing)

Ecco che nella serata di ieri (26/1) avevamo


mentre questa mattina (27/1)


Dopo qualche ora il numero di folder creati saliva a piu' di 850: 


Tenendo anche conto che l'intervallo di tempo analizzato corrisponde a time europeo che coincide in buona parte con orario notturno (quindi meno accessi in rete), abbiamo piu' di 350 accessi, cosa che dimostra l efficacia della scelta dei phishers.

Questo phishing comunque non e' una novita' in quanto analizzando i contenuti del reale sito del “Fondo nazionale assegni familiari' francese , troviamo una ampia descrizione di azioni analoghe che vedono anche l'uso di una fake applicazione di telefonia mobile su Android.

Questi alcuni screenshot delle info riportate dal reale sito (tradotte con Google):




che dimostrano come ci sia stata nei mesi scorsi una intensa attivita' di questo genere di phishing.

Edgar

Nessun commento: