sabato 28 settembre 2013

Ancora phishing ai danni di aziende di telefonia .IT (28 settembre)

Si tratta di alcune mails dal noto layout di phishing TIM


con messaggio codificato in base64 e IP in header come


Come si nota anche dal testo del messaggio mail lo scopo finale e' sempre il tentativo di acquisire dati personali di carta di credito e password del servizio "Verified by VISA".

Il link presente in mail punta a redirect


che a sua volta linka pagina che propone il 'solito' form con verifica formale dei dati inseriti (num. cellulare con prefissi TIM, num. carta di credito compatibile con il servizio selezionato ...ecc...)


per passare poi a form "Verified by VISA"


e quindi sul legittimo sito TIM.

Edgar

venerdì 27 settembre 2013

Inclusione di pagina di hacking su siti .IT (27 settembre)

37 dei 50 siti rilevati con reverse IP su 


includono attualmente questa pagina di hacking


Ecco il report generato da script Autoit


mentre una analisi dell'header delle pagine incluse mostra probabile data recente per l'azione di hacking.


Edgar

giovedì 26 settembre 2013

WEBmail phishing ai danni di utenti italiani della rete attraverso l'uso del servizio free di form2go.com (26 settembre)

Da tempo sono presenti in rete fake pagine con forms che riproducono login a WEBmail tra cui Yahoo, Gmail, Windows Live, AOL ecc... nonche' generici servizi di WEBmail
Nei casi analizzati nei mesi scorsi si trattava pero' di forms linkati da mails in lingua inglese e quindi non specificamente mirati ad utenti IT.
Le diverse mail ricevute in queste ultime ore mostrano invece un messaggio in lingua italiana


con header mail che mostra diversi IP coinvolti, come e' tipico in messaggi di spam e di phishing.


Il testo mail, a parte qualche errore, sembra quindi essere specificatamente cerato per acquisire dati di login a WEBmail di utenti IT.
Il messaggio ripropone la consueta INFO, gia' vista molte volte in analoghi casi, al riguardo di un possibile blocco del nostro account e invita a effettuare un login alla nostra mailbox attraverso il form linkato.
Si noti come non venga indicato uno specifico servizio free WEBmail ma si scriva  genericamente della ...tua quota Webmail ... e questo per avere un maggior numero di utenti da colpire.

Il form a cui si viene linkati 


presentai i consueti campi relativi a login WEBmail ed e' stato creato e gestito attraverso il servizio free di form2go.com

Una volta confermati i dati immessi (notare il pulsante con scritta 'presentare' che non e' sicuramente la miglior traduzione in italiano per un pulsante di conferma dati) viene proposto questo breve messaggio che informa della corretta acquisizione.


C'e' da dire che non vene eseguito nessun controllo su quanto digitato e la conferma della corretta acquisizione appare anche con form completamente vuoto.

Interessante come il servizio free usato, e cioe' form2go.com, 


venga utilizzato da spammers e phishers in maniera estesa.
Questo lo possiamo verificare modificando il numero presente nella url che e' specifico per ogni form messo online.
Capita cosi' che il form successivo a quello di phishing visto ora sia 


con evidente uso di links a pharmacy.
Ecco una altro 'form' catturato tra i tanti messi online e con link ed immagini a vendita di medicinali.


In realta' in questi casi gli spammers hanno abilmente usato le possibilita' offerte dai layout dei form ottenendo piuttosto una pagina con immagini e link ipertestuali a siti di pharmacy.


Edgar

sabato 21 settembre 2013

Inclusione di pagina di hacking su siti .IT (21 settembre)

Si tratta di circa la meta' dei 28 siti ottenuti da un reverse IP su 


e che includono questa semplice pagina


Ecco il report generato da script Autoit


mentre una analisi dell'header mostra probabile data recente per l'azione di hacking.


Edgar

giovedì 19 settembre 2013

Phishing PosteIT. Dal DB segnalazioni del blog una breve analisi dei contenuti fake ai danni di PosteIT (19 settembre)

Segnalatomi da un lettore del blog, che ringrazio, un phishing dal tipico layout PosteIT con allegato, e di cui pubblico una breve analisi.
Il phishing ai danni di Poste Italiane, e' sicuramente uno dei piu' presenti online per quanto si riferisce ad utenza IT della rete.
Per quantificare la grande quantita' di mails di spam relative a PosteIT ricordo, ad esempio, che da inizio anno le sole mails di phishing PosteIT ricevute nelle mailbox di questo blog ammontano a piu' di 300 con struttura in parte costituita da messaggio e links, in parte da messaggio e form allegato.

Questa la segnalazione odierna


dove viene evidenziata la presenza di allegato con link che sfrutta un sito italiano IT anche se hostato su


e che naturalmente risulta compromesso.
Interessante la presenza oltre ai codici di redirect anche di questo mailer 


che potrebbe essere stato usato per la diffusione dello spam e che conferma lo stato di compromissione del sito stesso.
Il redirect punta a sito in lingua inglese su 


che ospita il phishing posteIT che vediamo in questo screenshot.


Si notano inoltre alcuni codici php collegati alla gestione del phishing PosteIT


Ricordo che per chi volesse segnalare casi di phishing, distribuzione malware, siti dai contenuti dubbi ed hacking e' sempre disponibile il form del blog cliccando QUI.
Nel limite del tempo a disposizione  i casi piu' interessanti saranno oggetto di un post di analisi che verra' pubblicato sul blog.

Edgar

martedì 17 settembre 2013

Clone Vodafone - Segnalazione phishing dal DB del Blog (17 settembre)

Segnalatomi da  un lettore del blog, che ringrazio, attraverso il form segnalazioni phishing e malware del blog  che trovate QUI, un clone Vodafone IT


che presenta la consueta pagina con form raccolta credenziali personali e carta di credito (non parrebbero essere effettuati controlli formali sui dati immessi)


e seguente tipico form Verified By VISA 


per poi essere rediretti sul legittimo sito Vodafone.

Il clone e' ospitato su server con whois


ma con dominio  PL.

Ricordo che per chi volesse segnalare casi di phishing, distribuzione malware, siti dai contenuti dubbi ed hacking e' sempre disponibile il form del blog cliccando QUI.
Nel limite del tempo a disposizione  i casi piu' interessanti saranno oggetto di un post di analisi pubblicato sul blog.

Edgar

Phishing PayPal in thai (17 settembre)

Che il phishing ai danni di PayPal sia probabilmente quello piu' presente online trova conferma nelle decine se non centinaia di pagine clone segnalate ogni giorno.



La cosa particolare del caso PayPal odierno e' piuttosto la lingua utilizzata per le pagine fake e precisamente il thailandese.
Non capita spesso infatti di trovare cloni in lingua thai


con la 'solita' sequenza di richiesta dati di login


La poca presenza di pagine fake in lingua thai e' probabilmente dovuta al fatto che i phishers tendono a preferire siti clone PayPal per utenti europei o USA dove la diffusione del noto servizio internet e' sicuramente piu' alta.

Dal punto di vista pratico il clone in lingua thai e' ospitato su subdominio creato allo scopo su sito compromesso con whois


ma che ospita pagine relative ad hotel e ristorante locato in Ecuador.



Edgar

Nuovo 'defacement' ai danni di siti IT (17 settembre)

Un reverse IP su (IP tedesco ma numerosi domini .IT)


ed una successiva analisi dei sources delle homepages, rivelano, questa mattina (ora thai), 25 siti coinvolti


Ecco il report eseguito con script Autoit



Edgar

Finanziamento 10.000 euro PROTESTATI e CATTIVI PAGATORI. Ingannevole mail di phishing(17 settembre)

Si tratta di questa mail ricevuta da poco 


che, ad una prima sommaria analisi, pareva essere classificabile come uno dei soliti messaggi di spam pubblicitario relativo a prestiti a condizioni particolari come ad esempio prestiti a soggetti con precedenti problemi di solvibilita'.

Il mittente del messaggio si propone come una finanziaria facente parte del gruppo bancario 'Emirates NBD' realmente esistente e che Wikipedia descrive come :
…......Emirates NBD, the largest banking group in the Middle East in terms of assets, was formed on 16 October 2007 when the shares of Emirates NBD were officially listed on the Dubai Financial Market (DFM). The merger brought together the UAE's second and fourth largest banks (Emirates Bank and National Bank of Dubai) by assets and has created a bank with the largest asset base in the Middle East, summing up to more than AED 282 billion as at the end of the year 2008. The Group has operations in the UAE, the Kingdom of Saudi Arabia, Qatar, the United Kingdom and Jersey (Channel Islands), and representative offices in India, Iran and Singapore..............

La mail presenta headers con whois


Fin qui niente di particolare senonche' una analisi del source incomincia a rivelare 'strani' particolari.
Ad esempio un codice html che mostra riferimento in lingua italiana (che comunque non compare nella mail visualizzabile nel client di posta) a “Ministero Sviluppo Economico” 

 
La cosa fa subito pensare ai molti precedenti casi di phishing con offerte di bonus in denaro che erano proprio supportate da fake riferimenti sia a leggi italiane che al Ministero dello Sviluppo Economico (vedi numerosi casi QUI e QUI)

Approfondendo l'analisi del link proposto in mail si trova:


dove notiamo una serie di redirects gestiti con l'ausilio di un sito (NOIP.com) che proprio gia' in passato veniva utilizzato per i phishing con i falsi bonus in denaro, ed inoltre l'uso ampio di frames con riferimenti a domini come Altervista e comunque utilizzando domini creati allo scopo in data attuale.


Un whois del sito che gestisce il clone propone infatti data molto recente di creazione, con nome ingannevole


mentre questa e' la pagina proposta


Da notare come esista un frame che in realta' punta a form


Notate layout del form (colori) simile a casi gia' visiti in differenti casi:


Il form sfrutta servizio free di Altervista con account recente, come si evidenzia da questo report


Una volta compilato il form di richiesta finanziamento compare questo messaggio di attesa


che ricorda molto quello gia' noto nei casi precedenti che proponevano  bonus in denaro (es.caso del 7 luglio 2013)


Dopo qualche secondo di attesa  si viene di nuovo portati sulla pagina iniziale di richiesta form.

Ci troveremmo quindi di fonte ad un ennesimo phishing che questa volta pur non sfruttando richieste di credenziali di carta di credito potrebbe tentare di acquisire dati personali da utilizzare in seguito per tentativi di ulteriore phishing attraverso mails opportunamente create sfruttando i dati acquisiti oggi.
Inoltre ci sono parecchi particolari (riferimenti al Ministero dell'Economia, layout simili a gia' visti, uso del sito NOIP per creare url ingannevoli, ampio uso di FRAMES per proporre pagine non facilmente rilevabili come fake ecc....) che fanno pensare a una origine collegata a precedenti casi di phishing citati ad inizio post.

Edgar