Phish-hunter in azione

Lunedì 17 Dicembre 2007, 11:10 in Defacement, Exploit, Phishing di Davide Denicolo

Sono ancora qui imperterrito nel tentativo di analizzare i diversi casi di phishing che si presentano ogni giorno nella mia mailbox (avere un filtro antispam a questo punto non so se sia cosa buona o cattiva). In effetti avere una casella mail "bombardata" da mail fasulle può essere un modo per spronare di riflesso gli utenti che su Exploit mi seguono. Entriamo in azione e vediamo di cosa si tratta.

Questa volta mi giunge un email da parte di una presunta "Poste Italiane" che si presenta in oggetto con il messaggio "Promozione di Natale conto BancoPosta". "Beh siamo vicino Natale...è giusto che Poste mi faccia un bel regalo...ma aspetta, io non sono cliente di Poste Italiane"!!

Il server violato è posizionato in Germania ma fortunatamente il buon Firefox con il plugin antiphishing mi segnala che il sito di Poste Italiane è in realtà una trappola; ne ero già al corrente ma fortunatamente qualcun'altro lo ha segnalato.

La tecnica usata per attaccare gli utenti è la medesima: un file index.php identico dal punto di vista del layout alla homepage di Poste italiane viene caricato sul sistema mediante una php-shell; nel dettaglio questa shell a differenza dell'altra volta presenta il banner "PHPShell by Macker - Version 2.6.4dev - June 28 2003" anche se offre funzionalità ridotte rispetto alla C99.

Compilati i campi che contengono gli estremi della carta postepay, verranno inviati attraverso una mail al phisher. il cui indirizzo risulta essere meeevsmine2@yahoo.com.
Questa volta però son riuscito ad anticipare il phisher estraendo dal sistema la pagina in questione.

Da come potrete notare, questo file effettua una serie di controlli per verificare che non ci siamo utenti che inseriscano a caso le informazioni nel form; una serie di espressioni regolari vadidano sintatticamente i campi come ( indirizzo di carta di credito,codice utente ecc... ). Quindi occhi sempre aperti e se avete segnalazioni da fare, commenti ed email sono sempre accetti.

Ho deciso inoltre personalmente di "distruggere" completamente php-shell, pagine e quant'altro dal sistema vulnerabile perchè vedere sotto i propri occhi dati "rubati" ad ignari utenti lascia davvero interdetti; parlarne in teoria è una cosa..vederlo in pratica è un'altra!!

Ecco alcuni screenshot:

12 commenti

18 Mar 2008
alle 16:50

gabriele

...ma non sei ancora qui, imperterrito da un po' troppo tempo?!? :)

06 Mar 2008
alle 16:50

Walter Giannò

Ciao! Vorresti che si presentasse alle elezioni regionali una lista di blogger? C'è un sondaggio in cui vorrei anche la tua preferenza! E' importante ai fini del rinnovamento politico della terra siciliana! http://waltergianno.splinder.com/post/16228424/Il+Sondaggio

25 Dic 2007
alle 20:07

Luigi Gallo

Non c'è sull'estratto conto? Impossibile che una banca non tenga in memoria i dati di un bonifico o qualsiasi altra operazione, incluso banca e cc del beneficiario. Deve averli per legge. Se dice di no, denuncia la banca!

A meno che non ci siano altri modi di trasferire denaro in modo legale e anonimo, ma mi sembra molto strano...

23 Dic 2007
alle 00:31

Giuseppe

Io sono uno degli stupidi che qualche mese fa, in un momento di disattenzione, ha inserito i propri dati in una di queste pagine, e mi sono stati sottratti circa 900 euro. La denuncia alla polizia postale e alle poste non è servita a nulla? Possibile che non ci sia niente da fare? Le Poste non sanno dove sono stati spostati i miei soldi? Qualcuno sa darmi qualche consiglio? Grazie in anticipo!

21 Dic 2007
alle 18:36

marco

Ciao a tutti anche io ieri ho ricevuto una email dalle poste e una da una banca che ne anche conosco e tutte e due che mi regalavano strenne di natale ma ho subito cancellato tutto ma la prossima volta le giro alla polizia postale.Grazie

21 Dic 2007
alle 14:36

pietro

è una piaga che i nostri politicanti avallano non facendo nulla per contrastarla mentre si riempiono la bocca con la pseudo legge sulla privacy sistematicamente ignorata dalle società che rivendono indirizzi e-mail e che poi vengono usate per spam e/o qltre truffe simili a quelle delle poste. A me in 20 indirizzi e-mail attivi arrivano giornalmente una ventina di richieste simili (tra banche ,poste e altro) oltre ad un centinaio di spam (questo con tutte le possibili opzioni antispam Una perdita di tempo che rapportata ai milioni di utenti del web causa (specie se si è connessi con un contratto a tempo) una perdita in soldi non indifferente .

21 Dic 2007
alle 13:31

ruggero

anche io neofita del computer ci sono cascato,per fortuna (da sempre prudente) non avevo stabilito ancora un rapporto completo per tutte le operazioni bancarie ma solo la lettura dei dati e mi sono salvato.Da allora quasi tutte le mail truffaldine le giro alla polizia postale sperando che questi delinquenti vengano presi, di più non posso fare ciao.

21 Dic 2007
alle 11:07

mario quici

come mai in europa non viene costituita una azione legale

contro questi delinquenti che credono di truffare il mondo

web

21 Dic 2007
alle 10:42

Paolo Zorzi

L'ingenuità delle persone è disarmante, ma è preoccupante che le autorità competenti non puniscano con estrema severità questi delinquenti che rubano le caramelle ai bambini! Severità, pubblicità ed opera di educazione, anche nelle scuole, deve essere assunta come una prassi per disinfestare la rete, dalla quale così tanto ormai dipendiamo, da delinquenti veri e propri. Grazie a coloro che si stanno impegnando a tal fine. Paolo Z.

19 Dic 2007
alle 18:15

giancarlo

Io in questi giorni sto ricevendo offerte di soldi dall'Inghilterra, Ruissia,etc e sono cifre grandi ,tipo:850.000.000.00 milioni di dollari.

18 Dic 2007
alle 01:53

gg

you are my hero!

17 Dic 2007
alle 15:04

Marco

Ciao,

qualche giorno in due minuti di ozio anche io ho dato un'occhiata ad una della mail di phishing ricevute (http://permartina.blogspot.com/2007/12/ancora-phising-truffa-online.html) ma ho preferito comunicare i dati delle credenziali vere che ho trovato inserite ad un responsabile dell'istituto bancario in questione.. ebbene si c'è gente che inserisce ancora le proprie credenziali!

vedi i prossimi 10
vedi tutti

Lascia il tuo commento

Accedi con Facebook

Esci da Facebook

Exploit