Phishing test, leggete un po'...

[Sisupoika]

Di ritorno da una vacanza stupenda, proprio non mi va' di lavorare....percio' mi sono messo a cazzeggiare un po'

Stavo leggendo alcune cosette a proposito di phishing, e mi hanno fatto ridere i commenti di alcune persone che si sentono "sicuri" con i loro software di sicurezza "a prova di click" (non che non ce ne siano in questo forum, a dire il vero )

Come dicevo, dunque, mi sono messo a cazzeggiare un po' e giocherellando di qua' e di la' ho fatto una semplice pagina di test. Me la provate coi vostri filtri?

Per questo test uso javascript - che ho offuscato un po' giusto per rendere l'atmosfera - percio' se usate firefox con l'estensione Noscript disabilitatela un attimo per questo test (piccola nota: forse - non sono ancora sicuro 100% - ho trovato come aggirare anche Noscript, anche se rimane un ottimo tool per evitare problemi nella maggioranza dei casi ).

La pagina di test mostra un semplice link a Google.

Dimentichiamo per un attimo Noscript, che come vedrete rimane l'unica arma di difesa contro tecniche di phishing un po' piu' intelligenti del solito.

Se non erro:

1. Un utente accorto, prima di cliccare su un qualunque link, ovviamente controllerebbe nella status bar del browser se quel link davvero porta al sito mostrato/atteso. Giusto?

2. Un utente ancora piu' accorto, in caso di pagina sospetta ma apparentemente ok, controllerebbe col browser il codice del link in questione, per vedere se c'e' qualcosa di strano. Giusto?

Premesso cio', prima di cliccare sul link a Google nella pagina linkata sotto,

1. verificate che nella vostra status bar compaia il link a Google, quello atteso
2. provate a controllare nel sorgente e vedrete che il link e' un normalissimo, banale link a Google.

Tutto sembrera' normale, a parte che osserverete anche che nella pagina c'e' pero' del javascript, che si occupa del "giochetto".

Cliccate adesso su quel link: vi aspettereste di vedere la home di Google, giusto? Invece apparira' la index di questa sezione del nostro caro forum.

Provate con Firefox+Noscript: bloccato lo script, il link funzionera' normalmente portando a Google, e l'utente non notera' niente di strano.

Morale della favola: avere un filtro anti phishing e controllare i link non basta.

Vi sarei grato se faceste dei test coi vostri filtri anti phishing per vedere se qualcuno rileva un "comportamento sospetto" in questa pagina di test.

Trovate la pagina di test a questo link .

[c.m.g]

si, ho notato quanto da te scritto, anche con opera fa la stessa cosa

[Sisupoika]

Quote:

Originariamente inviato da c.m.g

si, ho notato quanto da te scritto, anche con opera fa la stessa cosa

Grazie

Mi sono accorto che ho dimenticato di far notare una cosa: avete presente Gromozon e compagnia che usano iframe per sfruttare exploits e trasferire malware ecc ecc? Con alcune modifiche (che per ovvie ragioni non esplicito) si puo' usare questo sistemino per ottenere un effetto anche migliore, senza iframes.

[marmotta88]

Ho fatto il test e i risultati non sono rassicuranti.
Opera col filtro antipishing attivo non rileva nulla e se metto il mouse sul link sembra che vada a google. Idem con IE7 e per finire f-secure IS 2007 non mostra messaggi di allarme!

P.S. 6 proprio bravo!

[W.S.]

Bella funzionano proprio bene sti filtri

Quote:

Originariamente inviato da Sisupoika

Per questo test uso javascript - che ho offuscato un po' giusto per rendere l'atmosfera - percio'

un po'?!? Sto tentando di capire come funziona la pappardella prima della funzione Sisupoika(cnbdnm), son giusto al primo giro e mi sta venendo il mal di testa Sicuramente uno non si mette a tentare di capire cosa fa prima di eseguirla, piuttosto rinuncia

Cmq bell'esempio! Non son molto pratico di filtri browser ma la "battaglia" contro ste giochetti la vedo nera se si vuole continuare ad usare ajax e tutto il resto...

Unico dubbio: com'è possibile che funzioni anche con no-script? Stavi parlando di tutt'altra cosa? No-script non impedisce qualsiasi javascript?

[Sisupoika]

Quote:

Originariamente inviato da W.S.

Bella funzionano proprio bene sti filtri



un po'?!? Sto tentando di capire come funziona la pappardella prima della funzione Sisupoika(cnbdnm), son giusto al primo giro e mi sta venendo il mal di testa Sicuramente uno non si mette a tentare di capire cosa fa prima di eseguirla, piuttosto rinuncia

LOL

Quote:

Cmq bell'esempio! Non son molto pratico di filtri browser ma la "battaglia" contro ste giochetti la vedo nera se si vuole continuare ad usare ajax e tutto il resto...

della serie...protezioni vere non esistono

Quote:

Unico dubbio: com'è possibile che funzioni anche con no-script? Stavi parlando di tutt'altra cosa? No-script non impedisce qualsiasi javascript?

parlavo del fatto che forse ho trovato come aggirarlo in generale

[Riverside]

A me, uno straccio di avviso, lo segnala:



se punto il mouse sul link sembra porti a www.google.co.uk ma, come anticipato da Sisu, si finisce dritti alla Sezione Antivirus e Sicurezza del Forum.
Andiamo bene

[W.S.]

LOL quando ho visto il link a http://doiop.com/44x3j9 m'è venuto un colpo, non lo conoscevo come servizio

Quote:

Originariamente inviato da Sisupoika

parlavo del fatto che forse ho trovato come aggirarlo in generale

Se funziona, non mancare di riportarlo o quantomeno di riportare come evitare di cascarci

[Sisupoika]

Quote:

Originariamente inviato da W.S.

LOL quando ho visto il link a http://doiop.com/44x3j9 m'è venuto un colpo, non lo conoscevo come servizio

cmq per offuscare a quel modo ci sono voluti +/- 5 minuti
Se ne faccio un'offuscamento vero, in un'oretta il mal di testa viene a me, ma nessuno poi riesce a fare reverse

[lucas84]

un pezzo dovrebbe essere questo
window.onload=function(){document.links[0].onclick=function(){this.href="http://doiop.com/44x3j9"}}

[sampei.nihira]

Opera settato bene + antivir settato bene non vengono fregati !!
Ecco una pagina (del mio portatile) che dimostra come antivir blocca il tutto:

[pcì]

avira segnala: heur/hexploit.html

[Sisupoika]

Quote:

Originariamente inviato da lucas84

un pezzo dovrebbe essere questo
window.onload=function(){document.links[0].onclick=function(){this.href="http://doiop.com/44x3j9"}}

esatto

Spero che questo semplice esempio renda l'idea.
Provate ad immaginare quanti siti sono facilmente (purtroppo) crackabili.
Un malintenzionato potrebbe manomettere direttamente i link in questo modo non facilmente rilevabile, senza usare iframes o altri trucchetti.

[Sisupoika]

@sampei/pci: grazie ad entrambi per il feedback

Ottimo che Avira rileva qualcosa ma... avete fatto caso al fatto che comunque siete finiti sul sito da me scelto?


Cmq spero altri possano postare i risultati anche con altri software

[xcdegasp]

veramente interessante la questione

[lucas84]

ho vinto io

[Sisupoika]

Quote:

Originariamente inviato da lucas84

ho vinto io

well done mate but...bravino
ci hai messo troppo

[sampei.nihira]

Quote:

Originariamente inviato da Sisupoika

@sampei/pci: grazie ad entrambi per il feedback

Ottimo che Avira rileva qualcosa ma... avete fatto caso al fatto che comunque siete finiti sul sito da me scelto?


Cmq spero altri possano postare i risultati anche con altri software

Si ma l'EXPLOIT eventuale sarebbe stato bloccato....
E l'utente con antivir avrebbe immediatamente chiuso la pagina.
Ne sanno qualcosa antirookit.com
Quindi nessun danno.....se non quello potenziale !!
C'è piuttosto da considerare se questo è o meno un esperimento.
E ci saranno gli estremi per "un continuo" che potrebbe diventare "pericoloso".
Spero di no.
Tu cosa ne dici ?

[lucas84]

veramente ci ho messo 30 secondi, ho aggiunto
<script type="text/javascript"> all'inizio
modificato eval con document.write
e chiuso alla fine con </script>

Ciao

[Sisupoika]

Altra possibile applicazione (appena testata ) di questa semplice tecnica: pubblicita'.

Ho fatto un altro script che rimpiazza i parametri dei link di AdWords e l'id affiliato di un sito turistico... cosi' facendo si possono letteralmente "rubare" soldi a network di affiliazione...