giovedì 24 dicembre 2009

Phishing Windows Live in lingua italiana

Mentre, come descritto nel precedente post, c'e' chi approfitta del servizio free Microsoft Spaces Live, per linkare pharmacy, dating, vendita online di merce contraffatta...ecc..., c'e' anche chi propone un phishing ai danni del noto servizio di posta elettronica Hotmail e Windows Live in lingua italiana.

Come riportato anche da PhishTank (qui e qui) , sono attualmente presenti in rete 2 siti su servers IT, che in maniera leggermente differente, come modalita', cercano di ingannare chi visitasse le pagine (forse rediretto sulle stesse da qualche mail di spam o da links in pagina web) per acquisire i dati personali di login.

Il primo sito, hostato su
presenta sia una pagina di phishing che riproduce quella di login Hotmail

ma anche, cosa piu' interessante, una pagina di falso login al servizio Windows Live (a cui si viene rediretti da quella di falso login Hotmail)



estendendo quindi l'azione di phishing anche ai danni di Messenger , Xbox live ecc....
Una volta inseriti i dati di login si viene rediretti sul reale sito Microsoft.

L'altro sito, sempre presente anche su PhishTank, presenta IP relativo a

e la sola pagina di login ad Hotmail


che redirige poi sulla pagina originale Microsoft

una volta inseriti i dati di login.

Entrambi i siti non sembrano registrati in data recente.

Edgar
Posted by at Nessun commento:

Continua intenso lo spam natalizio con il supporto di Microsoft Spaces Live

In un recente post avevamo visto come Microsoft Spaces Live sia ampiamente utilizzato in questi giorni, attraverso la creazione di nuovi blogs di utenti con nomi di fantasia, come supporto allo spam di pharmacy, vendita online di merce contraffatta ecc....

La quantita' di mails di spam e' veramente notevole ed ogni tanto abbiamo anche qualche novita' relativamente ai messaggi ricevuti.

E' il caso ad esempio di questo gruppo di mails

tra cui molte presentano, cosa non comune, oltre al destinatario anche un elenco di altri indirizzi mail, che , a giudicare dalla loro struttura, sembrerebbero appartenere a indirizzi legittimi.

Capita cosi', che, anche chi magari voleva mantenere riservato un suo indirizzo mail, oltre ad averlo ormai inserito suo malgrado nei database utilizzati da chi invia spam, lo vede comunque reso pubblico in rete

Ecco la mail:

con il source


che evidenzia il lungo elenco di indirizzi allegato, mentre ancora una volta vediamo come Microsoft Spaces Live sia utilizzato come supporto al link presente in mail.

Un attuale report URIBL mostra che effettivamente , in questo momento, Microsoft Spaces Live si posiziona al primo posto come supporto allo spam natalizio


ed inoltre, esaminando con tool Webscanner, nei dettagli, il lunghissimo elenco, (circa ottomila !!!! url)


si scopre che solo i falsi blogs non recenti sono stai messi OFFline da Microsoft.

Attraverso il tool Webscanner si puo' infatti filtrare la lista presente su URIBL caricando i singoli sorgenti dei blogs, scoprendo cosi' che, oltre alla quasi totalita' di pagine attive rispetto al lungo elenco , possiamo trovare links non solo a siti di vendita merce copiata (puntano di solito a sito con whois cinese)


o pharmacy


ma anche una notevole quantita' di links a servizio di dating russo (363 blogs Spaces Live)

attraverso questi fake blog

ma anche links a siti porno i vario genere

Evidentemente Microsoft dovra' impegnarsi in maniera piu' attiva, per tentare di eliminare questo supporto fornito, anche se involontariamente, allo spam.

Inoltre, come qualcuno avra' notato, anche Blogspot sembra essere tra i preferiti, per la creazione di falsi blog con pagine di links, anche se i numeri sono decisamente minori.
Forse anche per questo, l'intervento di Google nell'eliminare le pagine incriminate sembra piu' efficace (una analisi con Webscanner della lista presente su URIBL mostra che la maggior parte dei blog indicati nel report URIBL e' adesso OFFLINE)

Edgar
Posted by at Nessun commento:

mercoledì 23 dicembre 2009

Nuovo attacco a siti .IT hostati su servers UK - AGGIORNAMENTO ore 22.50 (thai time)

Come era prevedibile si sta verificando la progressiva comparsa nei risultati di una ricerca in rete di nuovi siti .IT hostati su server UK che presentano l'inclusione delle pagine di falso blog con links a fake AV e siti poco affidabili.

Come si puo notare in questa ricerca esguita alle ore 22.50 (le 16.50 in Italia) vi sono alcuni risultati aggiornati da pochi minuti che indicano nuovi siti IT coinvolti.

Un whois punta sempre al medesimo hoster UK gia coinvolto in precedenza in questo genere di compromissione di siti .IT

Maggiori dettagli sul precedente post.

Edgar
Posted by at Nessun commento:
Iscriviti a: Post (Atom)