Negli ultimi mesi le segnalazioni di false pagine di login a servizi webmail sono notevolmente aumentate e non e' difficile trovarne anche specifiche pagine create per una utenza italiana della rete.
Di solito questi fake layouts di login vengono linkati da mails simili a questa ricevuta di recente
e il fake login e' di tipo generico senza specificare un particolare servizio webmail
Questo garantisce ai phishers un piu' alto numero di possibili accounts di posta da colpire rispetto ad un phishing mirato ad una sola azienda.
Una volta in possesso dei dati di login i phishers potranno utilizzarli sia per visionare i contenuti della la mailbox colpita e cercare dati sensibili in essa contenuti ma anche utilizzare l'account compromesso per inviare mails allo scopo di attuare truffe online, distribuzione malware ecc...
Inoltre, come evidenzia proprio il testo presente sul fake form di login Google che andremo a vedere, lo stesso permette in realta' l'accesso a tutti i servizi Google aumentando i rischi per chi avesse fornito le proprie credenziali ai phishers.
Anche se l'utilizzo di uno specifico target, in questo caso Google, riduce il numero di possibili accounts da colpire, la cura posta nella costruzione del layout di phishing permettera' comunque di avere una pagina piu' ingannevole che se si trattasse di un generico form di login, come visto in premessa.
Vediamo alcuni dettagli:
Ecco come appare il fake login Google
Il clone e' ospitato su sito ampiamente compromesso con whois
ed e' raggiungibile tramite redirect ottenuto sfruttando questo servizio di 'free URL redirection'
Notate come sia possibile specificare un dominio .IT tra quelli disponibili, cosa che e' stata utilizzata dai phishers che hanno creato due URL di redirect trovate tramite l'analisi delle statistiche online del sito che ospita il clone
Le stesse statistiche, molto dettagliate, permettono di acquisire gli indirizzi IP delle connessioni al sito che ospita il clone ed evidenzino come sia presente un elevato numero di connessioni dall'Italia
cosa che farebbe pensare ad una azione di phishing molto efficace relativamente alla possibile acquisizione di credenziali di login a Google.
Le stesse statistiche permettono di rilevare la presenza di altre pagine di login Google in diverse lingue
ed anche
ed un riferimento a Yahoo.
Come c'era da aspettarsi una analisi dei contenuti del sito compromesso dai phishers, mostra diversi tools php, uploadati probabilmente a supporto del phishing come questi mailers
e
ed ancora
C'e' anche da rilevare come, sempre attraverso le statistiche online, gia' almeno dallo scorso mese di aprile, parte dei cloni trovati fossero attivi.
Edgar