[NEWS] Rassegna phishing 21 luglio 09. Alcune considerazioni

Edgar Bangkok · 21-07-2009, 13:29

martedì 21 luglio 2009

NB. Anche se alcuni links sono in chiaro (es.la pagina di phishing Facebook) usate possibilmente sandbox o pc virtuale per seguire i links in quanto si tratta pur sempre di sito dubbio anche come whois di provenienza.

Ecco alcune pagine di phishing tratte dalle numerose ed interessanti segnalazioni fornitemi da Filoutage.

1) Sito di agriturismo toscano con inclusione di phishing

Si tratta di una pagina di phishing ai danni di Bank Of America

Il phishing sfrutta un primo redirect
(img sul blog)

su sito hostato su un IP italiano gia' coinvolto piu' volte in passato

Questo invece il sito di phishing
(img sul blog)

hostato sempre sul medesimo range IP dell'hoster toscano di cui sopra
(img sul blog)

e che sfrutta un sito di agriturismo toscano, di cui vediamo la homepage.
(img sul blog)

2) Phishing Facebook in italiano

Questa la pagina di phishing ai danni di Facebook in lingua italiana

con un whois
(img sul blog)

Alcune considerazioni:

Visto che una volta introdotti i dati di login si viene rediretti sul reale sito, Facebook, ha implementato un interessante ed utile sistema di riconoscimento di eventuale provenienza da pagina di phishing
(img sul blog)
che propone una pagina di avviso che consiglia di cambiare subito la propria password di accesso, onde evitare problemi in futuro.

Sarebbe molto interessante se, visti i numerosi e continui tentativi di phishing ai danni di banche IT, anche queste potessero implementare un meccanismo simile a quello visto ora, ed adottato da Facebook anche considerato che in alta percentuale una azione di phishing ai danni di PosteIT o banche termina sempre con un redirect sul reale sito di PosteIT o della banca colpita.

In pratica, una volta terminata l'azione di phishing, quando si viene rediretti sul reale sito della Banca o di PosteIT questo dovrebbe effettuare una analisi del referer di provenienza del visitatore e se risultasse essere uno tra quelli segnalati come possibile caso di phishing, proporre la pagina che avverte del possibile problema.

Qui vediamo appunto il referer passato dal browser al sito originale Facebook vittima del phishing

In effetti si tratterebbe di un avvertimento a 'danno' ormai compiuto ma comunque sarebbe un ulteriore sistema per ridurre gli eventuali furti di dati personali sensibili.

Edgar

fonte: http://edetools.blogspot.com/2009/07...09-alcune.html

riva.dani · 13-08-2009, 00:05

Oggi mi è arrivata questa email:

Il link punta al sito http://www.cvingeniero.com/error/myposte.php (ho volutamente rimosso il link per evitare click involontari

)
Segnalo qui sperando di essere nel 3d giusto. La cosa che mi ha colpito è che è la prima email di Phishing che ricevo ad essere scritta in un italiano corretto, senza l'uso dei classici traduttori automatici, a parte la piccola svista "Per accesso, fai clic...". Ho cercato la URL con Google senza trovare risultati, per questo penso che sia una novità. Qualcun altro ha ricevuto la stessa email?

Ho poi provato, usando un Proxy e Firefox 3.5 su Ubuntu, a connettermi all'indirizzo. Il sito è decisamente fedele all'originale, con l'aggravante che i vari link puntano alle vere pagine di poste.it. Inoltre nella barra dell'indirizzo appare l'IP del sito, in quanto un nome diverso avrebbe insospettito molta gente immagino. Vi posto due screenshot per il confronto.

Vero

Tarocco

---

UPDATE:
Continuando (inserendo come nick e psw due insulti a caso

) si arriva ovviamente ad una richiesta dei dati della carta di credito. La posto perchè qui qualche strafalcione viene fuori, divertitevi a trovarli tutti!

21-07-2009, 13:29	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Rassegna phishing 21 luglio 09. Alcune considerazioni martedì 21 luglio 2009 NB. Anche se alcuni links sono in chiaro (es.la pagina di phishing Facebook) usate possibilmente sandbox o pc virtuale per seguire i links in quanto si tratta pur sempre di sito dubbio anche come whois di provenienza. Ecco alcune pagine di phishing tratte dalle numerose ed interessanti segnalazioni fornitemi da Filoutage. 1) Sito di agriturismo toscano con inclusione di phishing Si tratta di una pagina di phishing ai danni di Bank Of America Il phishing sfrutta un primo redirect (img sul blog) su sito hostato su un IP italiano gia' coinvolto piu' volte in passato Questo invece il sito di phishing (img sul blog) hostato sempre sul medesimo range IP dell'hoster toscano di cui sopra (img sul blog) e che sfrutta un sito di agriturismo toscano, di cui vediamo la homepage. (img sul blog) 2) Phishing Facebook in italiano Questa la pagina di phishing ai danni di Facebook in lingua italiana con un whois (img sul blog) Alcune considerazioni: Visto che una volta introdotti i dati di login si viene rediretti sul reale sito, Facebook, ha implementato un interessante ed utile sistema di riconoscimento di eventuale provenienza da pagina di phishing (img sul blog) che propone una pagina di avviso che consiglia di cambiare subito la propria password di accesso, onde evitare problemi in futuro. Sarebbe molto interessante se, visti i numerosi e continui tentativi di phishing ai danni di banche IT, anche queste potessero implementare un meccanismo simile a quello visto ora, ed adottato da Facebook anche considerato che in alta percentuale una azione di phishing ai danni di PosteIT o banche termina sempre con un redirect sul reale sito di PosteIT o della banca colpita. In pratica, una volta terminata l'azione di phishing, quando si viene rediretti sul reale sito della Banca o di PosteIT questo dovrebbe effettuare una analisi del referer di provenienza del visitatore e se risultasse essere uno tra quelli segnalati come possibile caso di phishing, proporre la pagina che avverte del possibile problema. Qui vediamo appunto il referer passato dal browser al sito originale Facebook vittima del phishing In effetti si tratterebbe di un avvertimento a 'danno' ormai compiuto ma comunque sarebbe un ulteriore sistema per ridurre gli eventuali furti di dati personali sensibili. Edgar fonte: http://edetools.blogspot.com/2009/07...09-alcune.html __________________ http://edetools.blogspot.com/

13-08-2009, 00:05	#2
riva.dani Senior Member Iscritto dal: Oct 2002 Messaggi: 3923	Oggi mi è arrivata questa email: Il link punta al sito http://www.cvingeniero.com/error/myposte.php (ho volutamente rimosso il link per evitare click involontari ) Segnalo qui sperando di essere nel 3d giusto. La cosa che mi ha colpito è che è la prima email di Phishing che ricevo ad essere scritta in un italiano corretto, senza l'uso dei classici traduttori automatici, a parte la piccola svista "Per accesso, fai clic...". Ho cercato la URL con Google senza trovare risultati, per questo penso che sia una novità. Qualcun altro ha ricevuto la stessa email? Ho poi provato, usando un Proxy e Firefox 3.5 su Ubuntu, a connettermi all'indirizzo. Il sito è decisamente fedele all'originale, con l'aggravante che i vari link puntano alle vere pagine di poste.it. Inoltre nella barra dell'indirizzo appare l'IP del sito, in quanto un nome diverso avrebbe insospettito molta gente immagino. Vi posto due screenshot per il confronto. Vero Tarocco --- UPDATE: Continuando (inserendo come nick e psw due insulti a caso ) si arriva ovviamente ad una richiesta dei dati della carta di credito. La posto perchè qui qualche strafalcione viene fuori, divertitevi a trovarli tutti! __________________ Intel Core i5 4690K by Cooler Master Hyper 412S \| ASRock Z97 Extreme4 \| G.Skill Ares 2x4GB DDR3 1600 \| MSI nVidia GTX 260 55nm \| Samsung SSD 840EVO 250GB \| Cooler Master Stacker \| Corsair RM650x Ultima modifica di riva.dani : 13-08-2009 alle 00:20.

Strumenti
Mostra una versione stampabile Invia questa pagina per email