27 luglio 09

Phishing PosteIT e sito pesantemente compromesso
Quella ricevuta oggi, tra le tante, sembrava un mail di phishing ai danni di PosteIT delle solite, ma una analisi dei contenuti a permesso di scoprire un sito USA che definire compromesso e' forse riduttivo.................. (continua sul blog) (http://edetools.blogspot.com/2009/07/phishing-posteit-e-sito-pesantemente.html)


Siti compromessi in massa su server IT (27 luglio o9)
Praticamente la totalita' dei siti IT presenti su ha, al momento di scrivere il post, la homepage sostituita da ..........(segue sul blog)
(http://edetools.blogspot.com/2009/07/siti-compromessi-in-massa-su-server-it.html)

Ancora phishing ai danni di banca italiana e dati di login online
Su segnalazione Filoutage, ecco un sito di phishing, questa volta ai danni di banca italiana e precisamente Banca Fideuram.............
(segue sul blog) (http://edetools.blogspot.com/2009/07/ancora-phishing-ai-danni-di-banca.html)

Buone vacanze a tutti!!!

Edgar :D

Fonte: http://edetools.blogspot.com/

Ottima pubblicita' per il tuo blog, ma di phishing di questo tipo ce ne sono un centinaio al giorno.

http://www.phishtank.com e' un ottimo repository di phishlinks, inoltre basta effettuare una ricerca filtrata su http://www.zone-h.com per avere una lista aggiornata in real-time dei siti "compromessi", oltre ad avere lo screenshot, hai anche il SO su cui gira il sito.

Scusa ma non ho capito queste tue affermazioni .... e chiedo magari un parere ad altri lettori del forum...

Conosco entrambi i siti ma mi pare che a parte fare la lista dei siti colpiti o di phishing quello che propongono si fermi li'......... o mi sono perso qualcosa ?

Inoltre se vogliamo fare un elenco di repository di phishing, phistank e' solo uno dei tanti , prova ad esempio a vedere phishery.internetdefence.net.. ecc....

Poi quando affermi "ma di phishing di questo tipo ce ne sono un centinaio al giorno" dimostri di non conoscere molto bene la cosa...visto che si, che ce ne sono si centinaia, forse anche migliaia, ma che si differenziano molto per la tipologia adottata.
Abbiamo phishing con redirect, phishing su botnet con fastflux, phishing che passano per siti di alias, phishing con la tecnica dell'inclusione di frames ecc...ecc. Ma certo che se ci fermiamo alla lista di phishtank sembrano tutti uguali....

Se permetti, credo che dei 959 posts che ho scritto e pubblicato ce ne siano un bel po che non hanno niente a che fare con i siti che hai citato, o sbaglio ???? e se intendi per questo pubblicita' del blog allora tutta l'aerea news e' per forza una pubblicita' di altri siti, blogs, ecc. in quanto tutti post dell'area News riguardano articoli e notizie pubblicati da altri siti ma anche blog in rete...

Saluti

Edgar :D

Il sito compromesso con whois Taiwan visto questa mattina e che reindirizzava sul sito di phishing pesantemente compromesso hostato in USA presenta una nuova caratteristica che lo rende diverso dai normali phishing con redirect che vediamo tutti i giorni.

Sembra infatti che il sito di phishing finale a cui punta il sito di Taiwan muti ciclicamente ad intervalli di qualche ora

Nel tardo pomeriggio di oggi infatti, seguendo il link in mail si veniva reindirizzati su questo sito con whois USA che propone al suo interno anche il completo KIT di creazione del phishing ai danni di PosteIT

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2027%207/1obfukitfolder.jpg

Questo il contenuto del file .TAR che mostra come alcuni dei files abbiano data di ieri e tra i quali notiamo i files in formato TXT che conterranno i dati di chi avra' effettuato il login sul falso sito.

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2027%207/1kittar.jpg

Attraverso la path dei files di testo indicata nel file TAR possiamo quindi verificare se effettivamente esistono questi file online sul sito di phishing, ed in effetti abbiamo la conferma della loro esistenza.

Anche questa volta sembrerebbe che la maggior parte di chi si e' loggato al falso sito di PosteIT sia al corrente che si tratta di phishing ma rimangono comunque alcuni utenti che forse potrebbero aver digitato i dati di accesso personali in maniera corretta.

Dopo qualche ora il redirect tramite sito taiwanese e' di nuovo mutato puntando a nuovo sito di phishing con redirect su sito australiano compromesso (al momento di scrivere il post e' offline) per poi ritornare sul sito visto questa mattina nel precedente post.

In pratica a fronte di una mail abbiamo diversi indirizzi di phishing che sono sempre attivi in quanto sfruttano il redirect iniziale.

E' probabile che questo continuo variare del redirect serva per tentare di rendere le pagine di phishing piu difficili da rilevare anche se c'e' da dire che, essendo tutte raggiungibili solo dal link presente in mail e relativo al sito di Taiwan basterebbe che la pagina che ospita il codice di redirect fosse messa offline per bloccare di fatto la diffusione di tutti i siti di phishing ai danni di PosteIT visti ora.

Edgar :D

fonte: http://edetools.blogspot.com/2009/07/aggiornamenti-sul-phishing-ai-danni-di.html

martedì 28 luglio 2009

NB. Anche se alcuni links sono in chiaro (es.la pagina di phishing Intesa SP) usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).

Si tratta del sito di Taiwan che sembra redirigere su un vasto numero di pagine di phishing ai danni di PosteIT

Quest'oggi il redirect ha puntato inizialmente, a nuovo sito compromesso, che tra l'altro dovrebbe trattare di software Open Source Linux e di sicurezza in rete, ma che vede al suo interno la presenza di pagina di phishing ai danni di PosteIT.
(img sul blog)
Anche questa volta , vista l'origine comune di questo sito di phishing ai danni di PosteIT con quelli precedenti e' stato probabilmente utilizzato il medesimo KIT di phishing che come avevamo visto in precedenza utilizzava un file user.txt per salvare i dati di login degli utenti di PosteIT caduti nel tranello del falso sito.

Una ricerca del file infatti propone il solito file user.TXT che questa volta, almeno per ora, sembra contenere tutti dati di fantasia e non reali, introdotti da chi evidentemente conosce la natura fraudolenta della mail ricevuta.

Successivamente il redirect e' stato nuovamente modificato proponendo un sito compromesso, sempre USA, che tratta di Web Design – Web Hosting ecc....
Anche questa volta il solito sito di phishing PosteIT con il consueto file user.txt facilmente raggiungibile.

E' probabile che ci saranno ancora altre variazioni degli indirizzi di phishing almeno sino a quando il sito principale di redirect hostato in Taiwan sara' attivo.

Per quanto riguarda l'uso di fastflux per distribuire phishing, sono sempre attivi quelli segnalati nei giorni scorsi, tra cui, ad esempio questo

mltjd(dot)com

che redirige su altro indirizzo sempre con la medesima tipologia di variazione dell'IP di provenienza con questi risultati:

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/phishingpage.jpg

A titolo di curiosita', vorrei far notare a chi utilizza il sito Phishtank che nello stesso momento di acquisizione di questo screenshot, la lista, al riguardo di mltjd(dot)com , presentava la pagina di phishing come OFFLINE

http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/poste%20fastflux/phishtank.jpg

questo non per contestare la validita' di repository di phishing quali phishtank, ma per evidenziare che si tratta di liste gestite in maniera automatizzata che a volte non rispecchiano l'attuale situazione dei siti (sia online che offline).

Come sempre l'uso di IP che variano ad ogni consultazione delle pagine ne rende difficoltosa se non praticamente nulla la possibilita' di stabilirne la reale provenienza permettendone cosi' il mantenimento online per molto tempo

Edgar :D

fonte: http://edetools.blogspot.com/2009/07/ancora-due-aggiornamenti-su-siti-di.html