Non mi vedi …non esisto
giugno 21st, 2012
Martedì pomeriggio ho rilevato un attacco di phishing verso un istituto di credito del nord-est, che in passato non aveva ricevuto attenzioni da parte dei cyber criminali.
Le pagine clone erano state visualizzate con una connessione dsl home, quindi con ip dinamico. Mentre connettendomi con una linea business ricevevo il codice 403 Forbidden, stessa cosa dicasi tentando il download della pagina con HashBot.
Inizialmente pensai l’accesso alla pagina fosse già stato inibito da chi gestiva il server una volta notiziato della presenza sullo stesso di pagine fraudolente.
Alcuni le cancellano, altri modificano i permessi o intervengono diversamente al fine di renderle inaccessibili.
Tuttavia un successivo tentativo, connettendomi via tor con nodi di uscita italiani, permetteva di visualizzare la pagina.
Ieri ho provato a contattare l’istituto venendo “rimbalzato” verso la società che gli da in outsourcing i servizi di home banking e che si occupa anche di tali incidenti. L’addetto con cui ho parlato mi diceva di aver già ricevuto la segnalazione, ma che la pagine non c’era più.
Gli ho fatto presente che così non era e che quasi sicuramente, cosa non nuova nel phishing, era stato usato un filtro sugli indirizzi ip, un banale file htaccess. L’addetto era scettico, aveva provato anche dall’iPhone (quindi con una provider di connettività mobile) senza vedere nulla.
Vero. Anche io questa mattina ho provato dal tablet, con sim Vodafone, e con l’internet key H3G senza successo.
Tuttavia la pagina risulta ancora accessibile via tor con nodo di uscita italiano.
Risposta con connessione business
quando non va direttamente in time out.
Risposta attraverso alcuni nodi di uscita tor italiani
Se non la vedi …non significa per forza che non esista, magari è voluto che dalla rete dell’istituto e di alcune società/enti di sicurezza (netcraft per dirne una di cui avevo trovato il range rete in un htaccess) le pagine fraudolente non sia visibili. Magari il target da colpire è solo quello domestico ed allora i range ip dedicati alle aziende ..vengono bannati.
Ma se ti accontenti della risposta dell’ outsourcer ….
Se invece non ti accontenti posso farti vedere il mio pcap.
P.s.: Su Twitter ho postato l’url delle pagine clone, chi le visualizzasse senza tor e volesse gentilmente indicarmi alcuni dati (provider, ip dinamico/fisso, dev mobile) relativi alla propria connessione mi farebbe una cortesia.
3 Responses to “Non mi vedi …non esisto”
1Glamis
giugno 28th, 2012 @ 16:38
Molto interessante, complimenti per l’analisi.
Effettivamente può essere un buon modo per nascondere il phishing da un effettivo controllo da parte dei “buoni”.
Ma mi pongo due questioni:
1) se il phishing è orientato a utenti italiani, ad esempio, che senso ha mandare 403 proprio ai maggiori carrier Italiani?
2) come si può contrastare questa cosa? Tramite un servizio online che fa get della pagina da vari paesi?
2Benedetto
luglio 1st, 2012 @ 13:18
Mi piace.
3admin
luglio 30th, 2012 @ 12:03
arrivo a rispondere con molto ritardo e me ne scuso
viene effettivamente complesso determinare in base a cosa i phisher selezionino i propri visitatori. Talvolta i motivi mi sono assolutamente astrusi.
E’ tuttavia vero che in alcuni casi si rileva nel codice delle pagine il riferimento a servizi statistici che potrebbero dare al criminale valide indicazioni, per esempio su chi ha reagito o sugli ip da cui determinate reazioni sono giunte, e questa potrebbe essere una risposta.
Il servizio on-line viene di difficile utilizzo in script automatizzati, ci sono escamotage diversi per far uscire le richieste di uno script con ip di paesi diversi.
Leave a Reply