Phishing Banca di Roma: programma rivelatore

[SuperSandro]

Da alcune settimane sto provando il programma (versione free) LinkScanner Lite che elabora indirizzi web per scoprire se possono essere ricondotti a siti di Phishing.

Oggi ho ricevuto una mail della Banca di Roma (ovviamente si tratta di phishing), ho sottoposto l'indirizzo a LinkScanner ed effettivamente il sito è stato definito "sospetto" (vedi immagine allegata a questo post, in GIF monocromatica per esigenze di ingombro).

Domanda: qualcuno sa suggerirmi altri programmi (free) che svolgono funzioni similari? Nel recente passato LinkScanner non sempre è stato in grado di individuare siti chiaramente phishing (silmil-Postepay e altri).

Grazie!

[xcdegasp]

la toolbar di Finjan svolge un lavoro simile...
sia questo tool che LinkScanner vannopresi molto con le pinze

[forum1]

il miglior programma è il cervello, nessuna banca o simile ti manda e-mail chiedendoti di inserire i dati di login.
basta cestinare tutte le e-mail con richieste simili, spesso scritte in italiano approssimativo.

[Chill-Out]

diciamo che ne Finjan Secure Browsing ne Link Scanner Lite/Pro sono specifici per quanto concerne il fenomeno dilagante del Phishing meglio utilizzare Netcraft Toolbar disponibile sia per IE che FF

[SuperSandro]

Quote:

Originariamente inviato da Chill-Out

... meglio utilizzare Netcraft Toolbar disponibile sia per IE che FF ...

L'ho installato (grazie!) e devo riconoscere che è veramente notevole per i dettagli che visualizza.

Quote:

Originariamente inviato da xcdegasp

la toolbar di Finjan svolge un lavoro simile...

Ho installato anche questo, ma probabilmente ne ho scaricati troppi(!). Nei risultati dei motori di ricerca, infatti, compaiono le segnalazioni di McAfee e LinkScanner (installati in precedenza): di Finjan nemmeno l'ombra. Proverò a rimuovere gli altri per valutarlo singolarmente.

Quote:

Originariamente inviato da forum1

il miglior programma è il cervello, nessuna banca o simile ti manda e-mail chiedendoti di inserire i dati di login. basta cestinare tutte le e-mail con richieste simili, spesso scritte in italiano approssimativo.

...che c'entra! Ci mancherebbe altro che apriamo mail sconosciute. Lo sfizio è vedere che cosa succede installando programmi che sorvegliano la nostra navigazione.

---------------

Tra l'altro, penso che NetCraft si installi molto in profondità: sul mio PC (Win XP home SP2) il *meraviglioso* programma PrevX 2.0 segnala ogni nuova installazione. Ebbene, dell'installazione di Finjan si è accorto (con tanto di Alert), ma NetCraft l'ho installato senza che venisse visualizzato alcun avviso.
Devo preoccuparmi?

[xcdegasp]

la toolbar di MacAfee puoi benissimo cestinarla, ha un'utilità pari allo zero...
l'ho provata in maggioe giugno, mi classificava la concorrenza come pericolosi

[Sisupoika]

Quote:

Originariamente inviato da SuperSandro

Domanda: qualcuno sa suggerirmi altri programmi (free) che svolgono funzioni similari?

Nessuno. Invece di installare software sul tuo computer, usa un DNS server che filtri automaticamente a livello di connessione, impedendoti di visitarli, siti con attacchi phishing o comunque maligni.

www.opendns.org

E' sufficiente cambiare i DNS della tua connessione di rete con quelli di OpenDNS, una operazione che richiede pochi secondi.
Cosi' facendo utilizzerai OpenDNS con i settings di default. Se poi registri un'account e crei un profilo per la rete in cui ti trovi (basata su indirizzo IP), puoi anche personalizzare il funzionamento del filtro cambiando le regole a tuo piacimento per i filtri di phishing, parental control (pornografia ecc), proxy avoidance.

IMHO la migliore soluzione per i tre soggetti appena elencati, dal momento che i filtri non richiedono alcun software sulla tua macchina, sono percio' - ovviamente - sempre aggiornati in tempo reale, e in piu' possono accelerare la risoluzione DNS rispetto ai DNS del tuo provider (anche se cio' dipende dal provider e, sembra, dalla locazione geografica; per me in UK e Finlandia OpenDNS velocizza la mia navigazione in maniera notabile).

Tieni presente che qualunque altra soluzione di tipo software, sia esso una applicazione stand alone oppure un plugin per il tuo browser, puo' al contrario rallentare la tua navigazione poiche' quel software dovra' effettuare una richiesta al suo server per verificare l'attendibilita' del sito che stai visitando.
Inoltre molti filtri software/plugins sono abbastanza bloated, aggiungono funzionalita' spesso del tutto inutili oltre al puro controllo phishing che hanno come unico concreto effetto quello di rallentare ulteriormente la tua navigazione.
E' chiaro che con moderne e veloci broadband questo impatto non si notera' tantissimo, ma e' da prendere in considerazione e comunque dipendera' dalla disponibilita' del server che effettuera' i vari controlli per ciascuna richiesta da parte della soluzione software adottata.

Un'alternativa ad OpenDNS - che comunque rimane la scelta migliore IMHO - sempre in tema di soluzioni senza installazione di alcun software o plugins, e' utilizzare il filtro anti phishing di Google integrato in Firefox (che trovi nelle opzioni del programma).

In aggiunta, puoi prevenire il caricamento di possibili siti nocivi aggiornando il tuo file HOSTS. Ti rimando a questa mia discussione in merito dove puoi trovare una semplice soluzione batch che aggiornera' il tuo HOSTS automaticamente quando vi sara' una versione aggiornata del database di questa sorta di filtro.

http://www.hwupgrade.it/forum/showth...isupoika+hosts

Quote:

Originariamente inviato da forum1

il miglior programma è il cervello, nessuna banca o simile ti manda e-mail chiedendoti di inserire i dati di login.
basta cestinare tutte le e-mail con richieste simili, spesso scritte in italiano approssimativo.

Putroppo il cervello da solo non basta in questi casi; come ho sottolineato nei miei precedenti test a proposito di phishing, e' possibile camuffare un link affinche' esso appaia (anche ai normali filtri di phishing!) "originale" mentre invece quel link portera' l'utente altrove o, alternativamente, compiera' azioni inattese sfruttando appunto l'apparente "invisibilita'" dell'esecuzione.
Dai una occhiata ai miei thread in proposito per qualche info in piu'.

In particolare,

http://www.hwupgrade.it/forum/showth...poika+phishing

[SuperSandro]

Quote:

Originariamente inviato da Sisupoika

... usa un DNS server che filtri automaticamente a livello di connessione, impedendoti di visitarli, siti con attacchi phishing o comunque maligni. www.opendns.org ... E' sufficiente cambiare i DNS della tua connessione di rete con quelli di OpenDNS, una operazione che richiede pochi secondi...

Anzitutto ti ringrazio per il suggerimento: OpenDNS mancava alla mia collezione di attività dedicate alla sicurezza. Tuttavia...

...tuttavia vorrei alcune rassicurazioni prima di procedere all'attivazione di quanto riferisci.

1) se non ho capito male, dovrei impostare un DNS diverso da quello di default del mio PC (a proposito, il collegamento al web lo ottengo tramite un router; di conseguenza, in Protocollo Internet(TCP/IP)/Proprietà gli indirizzi sono assegnati automaticamente).

2) Così facendo, però, il traffico da / verso il web viene dirottato su OpenDNS, filtrato e quindi restituito al mio PC.

3) Servizio ammirevole, ma mi viene in mente la stessa domanda ogni volta che utilizzo servizi simili a OpenDNS: "Dal momento che il servizio è gratuito, che cosa ci guadagnano le aziende che lo offrono?" Si tratta solo di un ritorno di immagine per vendere prodotti HW più sofisticati e, stavolta, a pagamento?

Per quanto riguarda la lentezza delle connessioni, dovuta ai filtri inseriti sul PC, me ne sono accorto, eccome. Tra le altre cose, ho anche inserito un'attività (non so come chiamarla altrimenti) basata sulla gestione del file HOSTS. Visiterò il link indicato in fondo al tuo post: si annuncia molto interessante!

[forum1]

ed io ripeto

nessuna banca o simile ti manda e-mail chiedendoti di inserire i dati di login

Bisogna capirle questo. L'inganno parte da lì.

Finché la gente non capirà che se una mail ti offre 500 euro o un telefono gratis in cambio dei tuoi dati di login allora il phishing continuerà.
Si autoalimenta come gli appelli bufala sui virus che bruciano il settore zero dell'hard disk.

Io non ho bisogno che l'antiphishing di Thunderbird o di Firefox mi avvisino che un sito è truffaldino

[gomax]

Quote:

Originariamente inviato da forum1

ed io ripeto

nessuna banca o simile ti manda e-mail chiedendoti di inserire i dati di login

Bisogna capirle questo. L'inganno parte da lì.

Finché la gente non capirà che se una mail ti offre 500 euro o un telefono gratis in cambio dei tuoi dati di login allora il phishing continuerà.
Si autoalimenta come gli appelli bufala sui virus che bruciano il settore zero dell'hard disk.

Io non ho bisogno che l'antiphishing di Thunderbird o di Firefox mi avvisino che un sito è truffaldino

Questo lo sappiamo più o meno tutti in questa sezione... ma vallo a spiegare a milioni di "utonti"

Ciao

[forum1]

Quote:

Originariamente inviato da gomax

Questo lo sappiamo più o meno tutti in questa sezione... ma vallo a spiegare a milioni di "utonti"

Ciao

ma il punto è proprio questo, i vari programmi di protezione annebbiano il cervello, cioè ti dicono che un sito è sicuro e tu sei portato a credergli.
Ti fanno abbassare la guardia e ti disabituano a pensare.

[gomax]

Quote:

Originariamente inviato da forum1

ma il punto è proprio questo, i vari programmi di protezione annebbiano il cervello, cioè ti dicono che un sito è sicuro e tu sei portato a credergli.
Ti fanno abbassare la guardia e ti disabituano a pensare.

Purtroppo è più comodo (e soprattutto remunerativo...) creare timore e spaventare gli utenti e poi vendergli prodotti per la sicurezza piuttosto che insegnargli a pensare.

Ciao

[SuperSandro]

Quote:

Originariamente inviato da Sisupoika

... In aggiunta, puoi prevenire il caricamento di possibili siti nocivi aggiornando il tuo file HOSTS. Ti rimando a questa mia discussione in merito dove puoi trovare una semplice soluzione batch che aggiornera' il tuo HOSTS automaticamente quando vi sara' una versione aggiornata del database di questa sorta di filtro. http://www.hwupgrade.it/forum/showth...isupoika+hosts

Ho letto la discussione indicata: proprio in quella discussione, stamattina ho fornito il mio contributo sulla gestione del file HOSTS (vedi post N. 25). Mi farebbe piacere sapere che cosa ne pensi.

PS: "semplice" soluzione batch? Forse ho sbagliato a scaricare il file ZIP (anzi, HostsWebFilter.RAR) che risulta di quasi 5 MB e contiene decine e decine di file...

[Sisupoika]

Quote:

Originariamente inviato da SuperSandro

Anzitutto ti ringrazio per il suggerimento:
1) se non ho capito male, dovrei impostare un DNS diverso da quello di default del mio PC (a proposito, il collegamento al web lo ottengo tramite un router; di conseguenza, in Protocollo Internet(TCP/IP)/Proprietà gli indirizzi sono assegnati automaticamente).

Hai capito bene. Hai due possibilita': cambiare i DNS nella connessione di rete oppure nelle impostazioni del router, come di solito faccio io.

Quote:

2) Così facendo, però, il traffico da / verso il web viene dirottato su OpenDNS, filtrato e quindi restituito al mio PC.

No, si tratta di semplici richieste DNS, non di proxy, che e' un'altra cosa.
Nessun contenuto web e' trasferito da/verso OpenDNS e il tuo PC.
Quando visiti un sito, il tuo pc fa una richiesta DNS a OpenDNS, e se il sito e' rilevato come nocivo, vieni dirottato su una pagina di avviso invece che su quel sito. Tutto qui.

Quote:

3) Servizio ammirevole, ma mi viene in mente la stessa domanda ogni volta che utilizzo servizi simili a OpenDNS: "Dal momento che il servizio è gratuito, che cosa ci guadagnano le aziende che lo offrono?" Si tratta solo di un ritorno di immagine per vendere prodotti HW più sofisticati e, stavolta, a pagamento?

L'azienda guadagna dalla pubblicita' che viene mostrata col loro motore di ricerca quando cerchi di visitare un sito con indirizzo errato.

Quote:

Originariamente inviato da forum1

ed io ripeto

nessuna banca o simile ti manda e-mail chiedendoti di inserire i dati di login

Bisogna capirle questo. L'inganno parte da lì.

Finché la gente non capirà che se una mail ti offre 500 euro o un telefono gratis in cambio dei tuoi dati di login allora il phishing continuerà.
Si autoalimenta come gli appelli bufala sui virus che bruciano il settore zero dell'hard disk.

Io non ho bisogno che l'antiphishing di Thunderbird o di Firefox mi avvisino che un sito è truffaldino

E io ripeto che la tipologia di phishing cui ti riferisci e' la piu' semplice ed oggi ci sono metodi ben piu' intelligenti per ingannare l'utente.

Quote:

Originariamente inviato da SuperSandro

Ho letto la discussione indicata: proprio in quella discussione, stamattina ho fornito il mio contributo sulla gestione del file HOSTS (vedi post N. 25). Mi farebbe piacere sapere che cosa ne pensi.

PS: "semplice" soluzione batch? Forse ho sbagliato a scaricare il file ZIP (anzi, HostsWebFilter.RAR) che risulta di quasi 5 MB e contiene decine e decine di file...

Contiene anche la versione portable di IzArc per scompattare lo .zip

[SuperSandro]

A proposito di nuove tecniche, stamane ho esaminato l'indirizzo di un Phishing di Poste.it. Dall'immagine che allego, evidentemente hanno escogitato una qualche tecnica che impedisce di esaminare il file HTML.

Chi se la sente, può visitare quel sito web ed esaminarne la home page (a suo rischio e pericolo...)

[Sisupoika]

Quote:

Originariamente inviato da SuperSandro

A proposito di nuove tecniche, stamane ho esaminato l'indirizzo di un Phishing di Poste.it. Dall'immagine che allego, evidentemente hanno escogitato una qualche tecnica che impedisce di esaminare il file HTML.

Chi se la sente, può visitare quel sito web ed esaminarne la home page (a suo rischio e pericolo...)

E' uno dei motivi per cui ritengo spesso che questi programmi di controllo siano meno utili di quanto non si pensi

Nessuna particolare "tecnica".
Una volta trovate informazioni come indirizzi IP, host headers ecc dei server da cui partono le verifiche per LinkScanner e altri sistemi simili, e' fin troppo semplice bloccarli nell'applicazione web che effettua l'attacco phishing in modo che quei servizi non possano accedervi e, dunque, non possano rilevarne il contenuto e le intenzioni.
Inoltre non lasciarti ingannare dall'estensione .htm: sembrerebbe una normale ed innocua pagina statica ma puo' non esserlo. E' semplicissimo infatti configurare il web server per processare (ASP/.NET/PHP ecc) anche file con estensioni normalmente usate per file html statici senza codice server (come appunto il controllo di ip, host headers, ecc.)

Questo e' un altro vantaggio di una soluzione come OpenDNS: se il sito non e' accessibile ad OpenDNS per via di questo tipo di blocco, neanche l'utente puo' visitarlo, quindi rimane al sicuro.
Inoltre OpenDNS, una volta individuato un sito maligno, semplicemente cambia la entry nel cluster DNS cosi' che se l'utente fa una richiesta per quel sito, e' semplicemente rediretto automaticamente ad una pagina di avviso di OpenDNS; non avviene nessuna ulteriore richiesta al sito maligno.

[xcdegasp]

uso da tempo i server OpenDNS ma non sapevo che inglobassero questa utilissima funzione o almeno non ci avevo mai fatto caso

grazie della dritta sisupoika

[Sisupoika]

Quote:

Originariamente inviato da xcdegasp

uso da tempo i server OpenDNS ma non sapevo che inglobassero questa utilissima funzione o almeno non ci avevo mai fatto caso

grazie della dritta sisupoika

inoltre (from Wikipedia)

Quote:

Other features include a phishing filter and typo correction (for example, typing wikipedia.og instead of wikipedia.org). By collecting a list of malicious sites, OpenDNS blocks access to these sites when a user tries to access them through their service. OpenDNS recently launched Phishtank, where users around the world can submit and review suspected phishing sites.

[Sisupoika]

http://www.opendns.com/features/overview/

Quote:

OpenDNS operates and uses PhishTank, the Web's most trusted source of phishing data. PhishTank is so good, Yahoo! Mail uses its data to protect all account holders. The site works by having real people look at suspected phishing scams and verify their legitimacy.

Un'altra chicca sono gli shortcuts, utilissimi

[bettarinho]

Quote:

Originariamente inviato da SuperSandro

A proposito di nuove tecniche, stamane ho esaminato l'indirizzo di un Phishing di Poste.it. Dall'immagine che allego, evidentemente hanno escogitato una qualche tecnica che impedisce di esaminare il file HTML.

Chi se la sente, può visitare quel sito web ed esaminarne la home page (a suo rischio e pericolo...)

Diabolici!