sabato 13 luglio 2013

Webmail phishing (13 luglio)

Veramente elevata la quantita' di fake pagine di login a webmail od a servizi web online che richiedono per il login indirizzo mail e password.
Di solito i phishers mettono online pagine che consentono l'accesso multiplo a differenti account proponendo ad esempio login a Yahoo mail, GMAIL, Microsoft Live ecc... sul medesimo form. 
Lo scopo e quello di acquisire il maggior numero di accessi legittimi a mailbox per poi utilizzarli in azioni di spam, di distribuzione malware o phishing, ma anche di furto di dati personali che potrebbero essere acquisiti accedendo alla  mailbox compromessa.
Se poi si pensa che sono in molti ad utilizzare la medesima password di accesso a piu' servizi WEB, il rischio e' ancora piu' elevato.
Ecco alcuni esempi attualmente online tratti dalle decine se non centinaia di pagine di phishing o comunque di login fake a servizi WEB.

Questa una pagina di login multiplo a webmail che dovrebbe permettere un accesso a Google Docs attraverso login a differenti servizi, cosa naturalmente non vera, ma che potrebbe indurre ad usare uno dei fake form di login proposti.


La particolarita' e' che la pagina ed i codici relativi sfruttano il servizio free di hosting Altervista.
Tra l'altro la data di creazione dell'account free non sembra neanche molto recente.


Questa una pagina che riproduce un login ad account Google Docs.


Si tratta di fake pagina su sito con IP


Come succede spesso in questi casi non si tratta del solo phishing hostato su questo sito compromesso, ma una sommaria analisi dei contenuti mostra una estesa presenza sia di codici di hacking (es. questo mailer)


ma anche di KITS di phishing tutti mirati a colpire servizi webmail di vario genere.
Qui vediamo ad esempio un folder contenente sia il KIT del phishing Google che un phishing Remax.


Remax e' una azienda che si occupa del mercato immobiliare USA ed e' sempre molto presente in casi di phishing con decine di pagine clone di acquisizione credenziali di accesso a webamail.

Ecco un tipico layout di phishing Remax tratto da Phishtank


ed ecco il KIT incluso nel sito compromesso


con un dettaglio di uno dei semplici codici PHP che si occupano di trasferire i dati sottratti al phisher.
Sempre sul medesimo sito troviamo una pagina clone di accesso a Yahoo


piu' altri files collegati sempre a phishing webmail.

Questo invece e' un phishing Google Drive


con una scelta simile a quella precedente (phishing Remax) in fatto di fake login a servizi webmail.
Altra pagina simile alle precedenti e' questa


mentre qui vediamo l'ennesima pagina di phishing Remax 


facente parte di un gruppo di due phishing identici sul medesimo sito compromesso


Edgar

Nessun commento: