c.m.g
31-05-2012, 06:35
30 maggio 2012 – 11:12 pm
http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia.jpg
Apprendiamo oggi tramite un articolo apparso sulla versione web di La Stampa (http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=10462&ID_sezione=38&utm_source=Twitter&utm_medium=&utm_campaign=) di un presunto tentativo di phishing ai danni della compagnia aerea Alitalia. Il fatto risale all’inizio del mese di maggio anche se della vicenda si è appreso solo ieri. Nello specifico risulta coinvolto un sito web truffa alitali.it che reindirizza le potenziali vittime all’interno del dominio notiziedeattualita.com nel quale è presente un clone del vero alitalia.it.
Una volta all’interno del clone il pc dell’utente, sempre secondo quanto riportato dall’articolo, dovrebbe essere infettato dal trojan w32.dialer.hh. Alitalia da parte sua ha prontamente avvertito le autorità compententi tanto che il giudice per le indagini preliminari (GIP) di Roma ha già disposto il sequestro preventivo e l’oscuramento dei due siti (risultano ancora raggiungibili ndr).
http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_01-150x150.png (http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_01.png) http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_02-150x150.png (http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_02.png)
Ma è realmente così? Per noi qualcosa non torna.
1) Innanzitutto non si può parlare di un vero caso di phishing. Manca il vettore. Ossia il mezzo per diffondere la truffa. Noi di Anti-Phishing Italia non abbiamo rilevato nessuna email riguardante Alitalia, lo stesso dicasi per i principali database di phishing a livello mondiale. Un tentativo di phishing ai danni della nostra compagnia di bandiera non è nei radar di nessuno.
2) Il sito alitali.it risulta registrato tramite provider spagnolo da una certa sig.ra Sandra Belucci la quale è anche intestataria di:
alitali.it
alitala.it
altialia.it
si tratta tutte di alterazioni del nome alitalia, le stesse che si potrebbero verificare in seguito ad una errata digitazione sulla tastiera. Questa è forse la chiave per spiegare ciò che è accaduto. Più che di phishing si dovrebbe parlare di typosquatting (http://it.wikipedia.org/wiki/Typosquatting). Ad avvalorare la nostra tesi anche l’elemento che all’interno del sito clone non viene sottratto nessun dato. L’unico campo funzionante è un apposito box nel quale effettuare la ricerca per un volo. Box che a sua volta conduce nel noto sito di viaggi edreams.it. Si tratta in poche parole di un modulo pubblicitario,analizzando il codice html del sito, rilasciato dalla compagnia di pubblicità online Tradedoubler.
http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_03-150x137.png (http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_03.png) http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_04-150x150.png (http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_04.png)
Quindi è plausibile pensare che tali domini, registrati tra il 2009 e il 2011, siano stati creati per lucrare tramite contratti di affiliazione sfruttando eventuali errori commessi dagli utenti nel digitare il sito web alitalia.it. Pertanto il phishing questa volta non c’entra.
In merito al trojan w32.dialer.hh, analizzando il sito clone ed il suo redirect da parte nostra non è stato individuato nessun codice maligno in grado di infettare il computer della potenziale vittima.
Giancarlo Lillo
Responsabile area tecnica
Anti-Phishing Italia
Ulteriori informazioni:
Alitalia: “clonato” il sito web per rubare i dati finanziari dei clienti (http://www.techeconomy.it/2012/05/30/alitalia-clonato-il-sito-web-per-rubare-i-dati-finanziari-dei-clienti/) – Techeconomy.it
Attacco hacker al sito Alitalia, i siti di phishing sono ancora online. Ma chi c’è dietro? (http://tech.fanpage.it/attacco-hacker-al-sito-alitalia-i-siti-di-phishing-sono-ancora-online-ma-chi-c-e-dietro/) – Fanpage.it
Sequestrato sito clone di Alitalia (http://www.aduc.it/notizia/sequestrato+sito+clone+alitalia_125495.php) – ADUC
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/phishing/2012/05/30/2428#more-2428)
http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia.jpg
Apprendiamo oggi tramite un articolo apparso sulla versione web di La Stampa (http://www.lastampa.it/_web/cmstp/tmplrubriche/tecnologia/grubrica.asp?ID_blog=30&ID_articolo=10462&ID_sezione=38&utm_source=Twitter&utm_medium=&utm_campaign=) di un presunto tentativo di phishing ai danni della compagnia aerea Alitalia. Il fatto risale all’inizio del mese di maggio anche se della vicenda si è appreso solo ieri. Nello specifico risulta coinvolto un sito web truffa alitali.it che reindirizza le potenziali vittime all’interno del dominio notiziedeattualita.com nel quale è presente un clone del vero alitalia.it.
Una volta all’interno del clone il pc dell’utente, sempre secondo quanto riportato dall’articolo, dovrebbe essere infettato dal trojan w32.dialer.hh. Alitalia da parte sua ha prontamente avvertito le autorità compententi tanto che il giudice per le indagini preliminari (GIP) di Roma ha già disposto il sequestro preventivo e l’oscuramento dei due siti (risultano ancora raggiungibili ndr).
http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_01-150x150.png (http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_01.png) http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_02-150x150.png (http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_02.png)
Ma è realmente così? Per noi qualcosa non torna.
1) Innanzitutto non si può parlare di un vero caso di phishing. Manca il vettore. Ossia il mezzo per diffondere la truffa. Noi di Anti-Phishing Italia non abbiamo rilevato nessuna email riguardante Alitalia, lo stesso dicasi per i principali database di phishing a livello mondiale. Un tentativo di phishing ai danni della nostra compagnia di bandiera non è nei radar di nessuno.
2) Il sito alitali.it risulta registrato tramite provider spagnolo da una certa sig.ra Sandra Belucci la quale è anche intestataria di:
alitali.it
alitala.it
altialia.it
si tratta tutte di alterazioni del nome alitalia, le stesse che si potrebbero verificare in seguito ad una errata digitazione sulla tastiera. Questa è forse la chiave per spiegare ciò che è accaduto. Più che di phishing si dovrebbe parlare di typosquatting (http://it.wikipedia.org/wiki/Typosquatting). Ad avvalorare la nostra tesi anche l’elemento che all’interno del sito clone non viene sottratto nessun dato. L’unico campo funzionante è un apposito box nel quale effettuare la ricerca per un volo. Box che a sua volta conduce nel noto sito di viaggi edreams.it. Si tratta in poche parole di un modulo pubblicitario,analizzando il codice html del sito, rilasciato dalla compagnia di pubblicità online Tradedoubler.
http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_03-150x137.png (http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_03.png) http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_04-150x150.png (http://www.anti-phishing.it/wp-content/uploads/2012/05/alitalia_it_300512_04.png)
Quindi è plausibile pensare che tali domini, registrati tra il 2009 e il 2011, siano stati creati per lucrare tramite contratti di affiliazione sfruttando eventuali errori commessi dagli utenti nel digitare il sito web alitalia.it. Pertanto il phishing questa volta non c’entra.
In merito al trojan w32.dialer.hh, analizzando il sito clone ed il suo redirect da parte nostra non è stato individuato nessun codice maligno in grado di infettare il computer della potenziale vittima.
Giancarlo Lillo
Responsabile area tecnica
Anti-Phishing Italia
Ulteriori informazioni:
Alitalia: “clonato” il sito web per rubare i dati finanziari dei clienti (http://www.techeconomy.it/2012/05/30/alitalia-clonato-il-sito-web-per-rubare-i-dati-finanziari-dei-clienti/) – Techeconomy.it
Attacco hacker al sito Alitalia, i siti di phishing sono ancora online. Ma chi c’è dietro? (http://tech.fanpage.it/attacco-hacker-al-sito-alitalia-i-siti-di-phishing-sono-ancora-online-ma-chi-c-e-dietro/) – Fanpage.it
Sequestrato sito clone di Alitalia (http://www.aduc.it/notizia/sequestrato+sito+clone+alitalia_125495.php) – ADUC
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/phishing/2012/05/30/2428#more-2428)