[NEWS] Aggiornamenti vari 27 luglio 09

Edgar Bangkok · 27-07-2009, 12:32

27 luglio 09

Phishing PosteIT e sito pesantemente compromesso
Quella ricevuta oggi, tra le tante, sembrava un mail di phishing ai danni di PosteIT delle solite, ma una analisi dei contenuti a permesso di scoprire un sito USA che definire compromesso e' forse riduttivo.................. (continua sul blog)

Siti compromessi in massa su server IT (27 luglio o9)
Praticamente la totalita' dei siti IT presenti su ha, al momento di scrivere il post, la homepage sostituita da ..........(segue sul blog)

Ancora phishing ai danni di banca italiana e dati di login online
Su segnalazione Filoutage, ecco un sito di phishing, questa volta ai danni di banca italiana e precisamente Banca Fideuram.............
(segue sul blog)

Buone vacanze a tutti!!!

Edgar

Fonte: http://edetools.blogspot.com/

Gennarino · 27-07-2009, 12:41

Ottima pubblicita' per il tuo blog, ma di phishing di questo tipo ce ne sono un centinaio al giorno.

http://www.phishtank.com e' un ottimo repository di phishlinks, inoltre basta effettuare una ricerca filtrata su http://www.zone-h.com per avere una lista aggiornata in real-time dei siti "compromessi", oltre ad avere lo screenshot, hai anche il SO su cui gira il sito.

Edgar Bangkok · 27-07-2009, 17:22

Scusa ma non ho capito queste tue affermazioni .... e chiedo magari un parere ad altri lettori del forum...

Conosco entrambi i siti ma mi pare che a parte fare la lista dei siti colpiti o di phishing quello che propongono si fermi li'......... o mi sono perso qualcosa ?

Inoltre se vogliamo fare un elenco di repository di phishing, phistank e' solo uno dei tanti , prova ad esempio a vedere phishery.internetdefence.net.. ecc....

Poi quando affermi "ma di phishing di questo tipo ce ne sono un centinaio al giorno" dimostri di non conoscere molto bene la cosa...visto che si, che ce ne sono si centinaia, forse anche migliaia, ma che si differenziano molto per la tipologia adottata.
Abbiamo phishing con redirect, phishing su botnet con fastflux, phishing che passano per siti di alias, phishing con la tecnica dell'inclusione di frames ecc...ecc. Ma certo che se ci fermiamo alla lista di phishtank sembrano tutti uguali....

Se permetti, credo che dei 959 posts che ho scritto e pubblicato ce ne siano un bel po che non hanno niente a che fare con i siti che hai citato, o sbaglio ???? e se intendi per questo pubblicita' del blog allora tutta l'aerea news e' per forza una pubblicita' di altri siti, blogs, ecc. in quanto tutti post dell'area News riguardano articoli e notizie pubblicati da altri siti ma anche blog in rete...

Saluti

Edgar

Edgar Bangkok · 27-07-2009, 19:15

Il sito compromesso con whois Taiwan visto questa mattina e che reindirizzava sul sito di phishing pesantemente compromesso hostato in USA presenta una nuova caratteristica che lo rende diverso dai normali phishing con redirect che vediamo tutti i giorni.

Sembra infatti che il sito di phishing finale a cui punta il sito di Taiwan muti ciclicamente ad intervalli di qualche ora

Nel tardo pomeriggio di oggi infatti, seguendo il link in mail si veniva reindirizzati su questo sito con whois USA che propone al suo interno anche il completo KIT di creazione del phishing ai danni di PosteIT

Questo il contenuto del file .TAR che mostra come alcuni dei files abbiano data di ieri e tra i quali notiamo i files in formato TXT che conterranno i dati di chi avra' effettuato il login sul falso sito.

Attraverso la path dei files di testo indicata nel file TAR possiamo quindi verificare se effettivamente esistono questi file online sul sito di phishing, ed in effetti abbiamo la conferma della loro esistenza.

Anche questa volta sembrerebbe che la maggior parte di chi si e' loggato al falso sito di PosteIT sia al corrente che si tratta di phishing ma rimangono comunque alcuni utenti che forse potrebbero aver digitato i dati di accesso personali in maniera corretta.

Dopo qualche ora il redirect tramite sito taiwanese e' di nuovo mutato puntando a nuovo sito di phishing con redirect su sito australiano compromesso (al momento di scrivere il post e' offline) per poi ritornare sul sito visto questa mattina nel precedente post.

In pratica a fronte di una mail abbiamo diversi indirizzi di phishing che sono sempre attivi in quanto sfruttano il redirect iniziale.

E' probabile che questo continuo variare del redirect serva per tentare di rendere le pagine di phishing piu difficili da rilevare anche se c'e' da dire che, essendo tutte raggiungibili solo dal link presente in mail e relativo al sito di Taiwan basterebbe che la pagina che ospita il codice di redirect fosse messa offline per bloccare di fatto la diffusione di tutti i siti di phishing ai danni di PosteIT visti ora.

Edgar

fonte: http://edetools.blogspot.com/2009/07...-danni-di.html

Edgar Bangkok · 28-07-2009, 13:15

martedì 28 luglio 2009

NB. Anche se alcuni links sono in chiaro (es.la pagina di phishing Intesa SP) usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).

Si tratta del sito di Taiwan che sembra redirigere su un vasto numero di pagine di phishing ai danni di PosteIT

Quest'oggi il redirect ha puntato inizialmente, a nuovo sito compromesso, che tra l'altro dovrebbe trattare di software Open Source Linux e di sicurezza in rete, ma che vede al suo interno la presenza di pagina di phishing ai danni di PosteIT.
(img sul blog)
Anche questa volta , vista l'origine comune di questo sito di phishing ai danni di PosteIT con quelli precedenti e' stato probabilmente utilizzato il medesimo KIT di phishing che come avevamo visto in precedenza utilizzava un file user.txt per salvare i dati di login degli utenti di PosteIT caduti nel tranello del falso sito.

Una ricerca del file infatti propone il solito file user.TXT che questa volta, almeno per ora, sembra contenere tutti dati di fantasia e non reali, introdotti da chi evidentemente conosce la natura fraudolenta della mail ricevuta.

Successivamente il redirect e' stato nuovamente modificato proponendo un sito compromesso, sempre USA, che tratta di Web Design – Web Hosting ecc....
Anche questa volta il solito sito di phishing PosteIT con il consueto file user.txt facilmente raggiungibile.

E' probabile che ci saranno ancora altre variazioni degli indirizzi di phishing almeno sino a quando il sito principale di redirect hostato in Taiwan sara' attivo.

Per quanto riguarda l'uso di fastflux per distribuire phishing, sono sempre attivi quelli segnalati nei giorni scorsi, tra cui, ad esempio questo

mltjd(dot)com

che redirige su altro indirizzo sempre con la medesima tipologia di variazione dell'IP di provenienza con questi risultati:

A titolo di curiosita', vorrei far notare a chi utilizza il sito Phishtank che nello stesso momento di acquisizione di questo screenshot, la lista, al riguardo di mltjd(dot)com , presentava la pagina di phishing come OFFLINE

questo non per contestare la validita' di repository di phishing quali phishtank, ma per evidenziare che si tratta di liste gestite in maniera automatizzata che a volte non rispecchiano l'attuale situazione dei siti (sia online che offline).

Come sempre l'uso di IP che variano ad ogni consultazione delle pagine ne rende difficoltosa se non praticamente nulla la possibilita' di stabilirne la reale provenienza permettendone cosi' il mantenimento online per molto tempo

Edgar

fonte: http://edetools.blogspot.com/2009/07...u-siti-di.html

27-07-2009, 12:32	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Aggiornamenti vari 27 luglio 09 27 luglio 09 Phishing PosteIT e sito pesantemente compromesso Quella ricevuta oggi, tra le tante, sembrava un mail di phishing ai danni di PosteIT delle solite, ma una analisi dei contenuti a permesso di scoprire un sito USA che definire compromesso e' forse riduttivo.................. (continua sul blog) Siti compromessi in massa su server IT (27 luglio o9) Praticamente la totalita' dei siti IT presenti su ha, al momento di scrivere il post, la homepage sostituita da ..........(segue sul blog) Ancora phishing ai danni di banca italiana e dati di login online Su segnalazione Filoutage, ecco un sito di phishing, questa volta ai danni di banca italiana e precisamente Banca Fideuram............. (segue sul blog) Buone vacanze a tutti!!! Edgar Fonte: http://edetools.blogspot.com/ __________________ http://edetools.blogspot.com/

27-07-2009, 12:41	#2
Gennarino Senior Member Iscritto dal: Jul 2000 Città: Belgio Messaggi: 831	Ottima pubblicita' per il tuo blog, ma di phishing di questo tipo ce ne sono un centinaio al giorno. http://www.phishtank.com e' un ottimo repository di phishlinks, inoltre basta effettuare una ricerca filtrata su http://www.zone-h.com per avere una lista aggiornata in real-time dei siti "compromessi", oltre ad avere lo screenshot, hai anche il SO su cui gira il sito. __________________ Member of HWUpgrade's Forum since JUL 2000 - Matricola: #4534 - #67 - Puffo Aviatore Se godeste questo alberino, vi assicurate abboni alla mia alimentazione RSS! GODA! Quando fai le cose per bene, nessuno sospettera' mai che tu abbia fatto realmente qualcosa.

27-07-2009, 17:22	#3
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Scusa ma non ho capito queste tue affermazioni .... e chiedo magari un parere ad altri lettori del forum... Conosco entrambi i siti ma mi pare che a parte fare la lista dei siti colpiti o di phishing quello che propongono si fermi li'......... o mi sono perso qualcosa ? Inoltre se vogliamo fare un elenco di repository di phishing, phistank e' solo uno dei tanti , prova ad esempio a vedere phishery.internetdefence.net.. ecc.... Poi quando affermi "ma di phishing di questo tipo ce ne sono un centinaio al giorno" dimostri di non conoscere molto bene la cosa...visto che si, che ce ne sono si centinaia, forse anche migliaia, ma che si differenziano molto per la tipologia adottata. Abbiamo phishing con redirect, phishing su botnet con fastflux, phishing che passano per siti di alias, phishing con la tecnica dell'inclusione di frames ecc...ecc. Ma certo che se ci fermiamo alla lista di phishtank sembrano tutti uguali.... Se permetti, credo che dei 959 posts che ho scritto e pubblicato ce ne siano un bel po che non hanno niente a che fare con i siti che hai citato, o sbaglio ???? e se intendi per questo pubblicita' del blog allora tutta l'aerea news e' per forza una pubblicita' di altri siti, blogs, ecc. in quanto tutti post dell'area News riguardano articoli e notizie pubblicati da altri siti ma anche blog in rete... Saluti Edgar __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 27-07-2009 alle 17:58.

27-07-2009, 19:15	#4
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Aggiornamenti Il sito compromesso con whois Taiwan visto questa mattina e che reindirizzava sul sito di phishing pesantemente compromesso hostato in USA presenta una nuova caratteristica che lo rende diverso dai normali phishing con redirect che vediamo tutti i giorni. Sembra infatti che il sito di phishing finale a cui punta il sito di Taiwan muti ciclicamente ad intervalli di qualche ora Nel tardo pomeriggio di oggi infatti, seguendo il link in mail si veniva reindirizzati su questo sito con whois USA che propone al suo interno anche il completo KIT di creazione del phishing ai danni di PosteIT Questo il contenuto del file .TAR che mostra come alcuni dei files abbiano data di ieri e tra i quali notiamo i files in formato TXT che conterranno i dati di chi avra' effettuato il login sul falso sito. Attraverso la path dei files di testo indicata nel file TAR possiamo quindi verificare se effettivamente esistono questi file online sul sito di phishing, ed in effetti abbiamo la conferma della loro esistenza. Anche questa volta sembrerebbe che la maggior parte di chi si e' loggato al falso sito di PosteIT sia al corrente che si tratta di phishing ma rimangono comunque alcuni utenti che forse potrebbero aver digitato i dati di accesso personali in maniera corretta. Dopo qualche ora il redirect tramite sito taiwanese e' di nuovo mutato puntando a nuovo sito di phishing con redirect su sito australiano compromesso (al momento di scrivere il post e' offline) per poi ritornare sul sito visto questa mattina nel precedente post. In pratica a fronte di una mail abbiamo diversi indirizzi di phishing che sono sempre attivi in quanto sfruttano il redirect iniziale. E' probabile che questo continuo variare del redirect serva per tentare di rendere le pagine di phishing piu difficili da rilevare anche se c'e' da dire che, essendo tutte raggiungibili solo dal link presente in mail e relativo al sito di Taiwan basterebbe che la pagina che ospita il codice di redirect fosse messa offline per bloccare di fatto la diffusione di tutti i siti di phishing ai danni di PosteIT visti ora. Edgar fonte: http://edetools.blogspot.com/2009/07...-danni-di.html __________________ http://edetools.blogspot.com/

28-07-2009, 13:15	#5
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS]Ancora due aggiornamenti su siti di phishing apparsi di recente martedì 28 luglio 2009 NB. Anche se alcuni links sono in chiaro (es.la pagina di phishing Intesa SP) usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....). Si tratta del sito di Taiwan che sembra redirigere su un vasto numero di pagine di phishing ai danni di PosteIT Quest'oggi il redirect ha puntato inizialmente, a nuovo sito compromesso, che tra l'altro dovrebbe trattare di software Open Source Linux e di sicurezza in rete, ma che vede al suo interno la presenza di pagina di phishing ai danni di PosteIT. (img sul blog) Anche questa volta , vista l'origine comune di questo sito di phishing ai danni di PosteIT con quelli precedenti e' stato probabilmente utilizzato il medesimo KIT di phishing che come avevamo visto in precedenza utilizzava un file user.txt per salvare i dati di login degli utenti di PosteIT caduti nel tranello del falso sito. Una ricerca del file infatti propone il solito file user.TXT che questa volta, almeno per ora, sembra contenere tutti dati di fantasia e non reali, introdotti da chi evidentemente conosce la natura fraudolenta della mail ricevuta. Successivamente il redirect e' stato nuovamente modificato proponendo un sito compromesso, sempre USA, che tratta di Web Design – Web Hosting ecc.... Anche questa volta il solito sito di phishing PosteIT con il consueto file user.txt facilmente raggiungibile. E' probabile che ci saranno ancora altre variazioni degli indirizzi di phishing almeno sino a quando il sito principale di redirect hostato in Taiwan sara' attivo. Per quanto riguarda l'uso di fastflux per distribuire phishing, sono sempre attivi quelli segnalati nei giorni scorsi, tra cui, ad esempio questo mltjd(dot)com che redirige su altro indirizzo sempre con la medesima tipologia di variazione dell'IP di provenienza con questi risultati: A titolo di curiosita', vorrei far notare a chi utilizza il sito Phishtank che nello stesso momento di acquisizione di questo screenshot, la lista, al riguardo di mltjd(dot)com , presentava la pagina di phishing come OFFLINE questo non per contestare la validita' di repository di phishing quali phishtank, ma per evidenziare che si tratta di liste gestite in maniera automatizzata che a volte non rispecchiano l'attuale situazione dei siti (sia online che offline). Come sempre l'uso di IP che variano ad ogni consultazione delle pagine ne rende difficoltosa se non praticamente nulla la possibilita' di stabilirne la reale provenienza permettendone cosi' il mantenimento online per molto tempo Edgar fonte: http://edetools.blogspot.com/2009/07...u-siti-di.html __________________ http://edetools.blogspot.com/ Ultima modifica di Edgar Bangkok : 28-07-2009 alle 13:55.

Strumenti
Mostra una versione stampabile Invia questa pagina per email