In 5 minutes

ottobre 11th, 2013

Questo post parte da uno stato pubblicato da Massimo Rabbi su FaceBook,

Immagine postata da Massimo Rabbi su FaceBook

relativo ad un tentativo di phishing a danno di utenti Mac.
Nel suo post sul social network Massimo indica anche l’url, che quindi riporto

hxxp://qualcuno-ip.homelinux.com/redirection/secure2-store/

—prima versione———
A giudicare dagli ip

denis@d3lab03 ~/ $ ping qualcuno-ip.homelinux.com
 PING qualcuno-ip.homelinux.com (80.69.77.253) 56(84) bytes of data.
 ^C
 --- qualcuno-ip.homelinux.com ping statistics ---
 3 packets transmitted, 0 received, 100% packet loss, time 2016ms
denis@d3lab03 ~/ $ ping homelinux.com
 PING homelinux.com (204.13.248.119) 56(84) bytes of data.
 64 bytes from site-redirect.dyndns.com (204.13.248.119): icmp_req=1 ttl=47 time=121 ms
 64 bytes from site-redirect.dyndns.com (204.13.248.119): icmp_req=2 ttl=47 time=121 ms
 ^C
 --- homelinux.com ping statistics ---
 2 packets transmitted, 2 received, 0% packet loss, time 1001ms
 rtt min/avg/max/mdev = 121.085/121.537/121.990/0.571 ms

si direbbe che i phisher hanno avuto accesso al pannello di gestione del dominio homelinux.com, potendo così creare un dominio di livello inferiore qualcuno-ip che fanno puntare ad un server IIS7
——fine prima versione ——

Nella prima stesura dell’articolo avevo scritto quanto sopra limitato dal “prima versione”, i famosi “5 minuti” mi avevano fatto saltare un passaggio, l’whois su homelinix.com, portandomi a pensare che qualcuno-ip.homelinux.com fosse un caso di fake subdomaine, un dominio di livelo infriore fasullo, creato ad hoc dai phisher accedendo indebitamente al pannello di controllo del dominio principale, tecnica molta usato.
Invece Andrea Lazzarotto mi ha fatto notare trattarsi di uno dei domini che vengono messi a disposizione da Dynamic Dns, come fa anche No-ip.
Chiedo venia per l’errore e ringrazio Giordano per la segnalazione.

IIS7

La gestione del servizio di dns dinamico fa, o alme al momento del controllo faceva, puntare il dominio di 3° livello sul server IIS7 su indirizzo IP olandese, senza nessun altro dominio abbinato.

Facendo un semplice wget assistiamo a 9 successivi 302 Moved Temporarily, sempre interni al medesimo sito. All’ultimo abbiamo il redirect verso un dominio esterno

<meta name="robots" content="noindex">
 <meta name="robots" content="noarchive">
 <head><SCRIPT LANGUAGE="JavaScript">
 document.location.href="http://informa-apple-store.from-ct.com/"
 </SCRIPT>
 </head>

http://informa-apple-store.from-ct.com/ su ip 216.146.38.125 della statunitense Dynamic DNS

L’index in tale sito funziona nuovamente come redirect portando sul sito web di un’azienda italiana, qui si viene rimbalzati in 6 directory annidate per approdare infine alla pagina clone

pagina fraudolenta

Dalla pagina il form provvede ad inviare le credenziali ad un file php posizionato in altro dominio .it

La struttura del kit di phishing, ossia dell’insieme di pagine caricate dal criminale,

struttura kit

ci conferma i vari passaggi, redirect interni, avvenuti in successione ed immediatamente evidenziati dal wget

index.ph

 

index2.php

con index.php che invia ad index2.php che transita il visitatore alla directory successiva, sino all’ultimo index2.php, posizionato nella directory online/

ultimo index2.php

che si occupa di creare una directory con nome casuale in cui copiare i file, costituenti le pagine clone vere e proprie, contenute nella directory java.

pagine clone

Dal kit rileviamo che l’url di destinazione del form non è stato modificato.

La creazione di subdirectory con nomi casuali per ogni visitatore va a contrastare l’utilità delle black list, consentendo al phisher di mantenere operativo il suo clone sino a che l’intero sito/dominio non vada in black list, con i danni che possono derivare per un’azienda che sul sito web basi parte del propri affari.

Informazioni e kit, ovviamente (ma è bene ricordarlo) senza nessun hack, 5 minuti di sole richieste get.

 

Phishing | Comments | Trackback

9 Responses to “In 5 minutes”

  1. 1Toni
    ottobre 11th, 2013 @ 10:30

    il tutto per andare a terminare su http://www.rossiarcandi.it/.it-ap/
    Ditta che, secondo me, non sa di esser stata CLAMOROSAMENTE bucata! :)

  2. 2admin
    ottobre 11th, 2013 @ 11:04

    la notizia è stata passata a chi può lavorarci

  3. 3Lazza
    ottobre 12th, 2013 @ 15:00

    Scusa ma dal tuo post sembra che tu stia dicendo che qualcuno ha “violato” homelinux.com per creare un dominio di terzo livello. Invece homelinux.com è semplicemente una delle tante scelte che ti dà Dyn.com quando scegli che dominio vuoi avere. Anche io ho un terzo livello su homelinux.com e di certo non l’ho bucato. :D

  4. 4Giorgio
    ottobre 12th, 2013 @ 15:59

    quindi è phising? e la mail appleid@apple.com?

  5. 5admin
    ottobre 12th, 2013 @ 18:29

    Hai ragione, in quei 5 minuti non avevo fatto whois per homelinux, dando per scontato una fake subdomaine, t3dnica che va come il pane. Appena ho un secondo correggo

  6. 6admin
    ottobre 12th, 2013 @ 18:32

    Giorgio, non ho visto la mail, che per carità potrebbe pure essere una comunucazione legittima in caso apple accerti la violazione dell’account, ma ogni qual volta chiedono dati sensibili si dovrebbe almeno verificare di essere sul sito giusto, sia una sessione https e cose simili. Nel caso specifico era un phishing, se hai la mail, questa o un’altra simile e vuoi girarmela …

  7. 7Angela Rodi
    ottobre 15th, 2013 @ 08:30

    Mi piace lo stile del sito e degli articoli pubblicati. Suggerirò l’indirizzo ai miei amici.

  8. 8admin
    ottobre 15th, 2013 @ 08:37

    felice di piacere :)

  9. 9War Commander Cheats
    settembre 25th, 2014 @ 08:01

    I think the admin of this website is genuinely working hard in support of his web site, as here every material
    is quality based material.

Leave a Reply

  1.  
  2.  
  3.  
  4. XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
You can keep track of new comments to this post with the comments feed.

Cerca

ottobre: 2013
L M M G V S D
« mag   apr »
 123456
78910111213
14151617181920
21222324252627
28293031  

Categorie

Blogroll

Feed

blaze.runner@email.it phishing@denisfrati.it laura.rossi80@tiscali.it bianchi_luigi1960@tiscali.it rossi_mario1960@tiscali.it carlo.draghi79@mail.com onebitinmybrain@yahoo.it luca.silvestri80@virgilio.it luca.silvestri80@hotmail.it ing.enuo@tiscali.it ing.enuo@email.it denis.frati@yahoo.com denis.frati@libero.it vito.catozzo76@virgilio.it vito.catozzo76@tiscali.it laura.rossini75@alice.it clara.bella80@alice.it luca.brossi@katamail.com barbara8719@katamail.com rosa.venice@inbox.com andrea_verdi@lavabit.com andrea.decarli@aim.com bernacchi.lorena@aol.com massimo.salvi78@gmx.com rocco.derossi@india.com andrea.verdi@zoho.com pippo.pluto@webmail.co.za a1der@rocketmail.com basile.valeria1960@tiscali.it vito.catozzo76@email.it rosa.venice@inbox.com andrea_verdi@lavabit.com andrea.decarli@aim.com bernacchi.lorena@aol.com massimo.salvi78@gmx.com rocco.derossi@india.com andrea.verdi@zoho.com pippo.pluto@webmail.co.za vito.catozzo76@email.it basile.valeria1960@tiscali.it a1der@rocketmail.com maria.rossa@email.it maria.rossa82@tiscali.it maria.rossa82@alice.it maria.rossa82@katamail.com lara.baristi@gmx.com baresi.lara@aol.com baresilara@aim.com lara.baroni@inbox.com assunta.weider@live.com paperarossa@outlook.it paperinisnc@outlook.it tozza.clara@live.it vellutonero@hotmail.com andrea.rossi80@live.it marco.baroni77@hotmail.it maria.grassa@hotmail.it sandra.marchetti74@outlook.it segreteria.studio@outlook.it lorenzi-giulia@libero.it migliroberta@libero.it francisiokatia@libero.it antonio_giullari75@libero.it lepore_antonella75@libero.it enricosartoris@libero.it nadia-rivelli@libero.it poli_renato@libero.it Vortinistell@libero.it vota-clara@libero.it pastelliveronica@libero.it sasso_susanna@libero.it tizianomirro@libero.it passerifloriana@libero.it ascensidonatella@libero.it fumagalli_dario@libero.it sartomiriana@libero.it tunsi_stefano@libero.it boschi_alessandro10@libero.it emanueletrimonti@libero.it giuliani-filippo@libero.it pinuccisalvatore@libero.it lotiangelina@libero.it andrelucca75@tiscali.it phishing@d3lab.net andrea.decarli@aim.com barbara8719@katamail.com baresilara@aim.com bernacchi.lorena@aol.com clara.bella80@alice.it ing.enuo@email.it blaze.runner@email.it ing.enuo@tiscali.it lara.baristi@gmx.com lara.baroni@inbox.com laura.baroni@outlook.it laura.rossi80@tiscali.it laura.rossini75@alice.it onebitinmybrain@yahoo.it luca.brossi@katamail.com luca.silvestri80@hotmail.it maria.rossa82@alice.it maria.rossa82@katamail.com maria.rossa82@tiscali.it massimo.salvi78@gmx.com postmaster@hardtrekking.it rocco.derossi@india.com rosa.venice@inbox.com vito.catozzo76@tiscali.it webmaster@studiozanza.it a1der@rocketmail.com phishing@denisfrati.it paperazzo@excite.it andrelucca75@tiscali.it fancioni69giuseppe@tiscali.it vittoriablu@email.it fabrizioctz@email.it riccardokurzio@katamail.com giulia_fancionu@tiscali.it esposito-giuseppe@katamail.com stefanonorato63@tiscali.it lucia.cassetti@katamail.com francescoasl@email.it antoniagetti@email.it donatofogli@katamail.com giorgiofunari@katamail.com robertazain@tiscali.it luca-antona@email.it jasminess@email.it fanpellocl@tiscali.it lucianagintini@email.it tizianafalsetti@tiscali.it giulianadeponzio@katamail.com gianfilippotorre@katamail.com pina_deferri@email.it Antorogiuseppe-65@tiscali.it giulialmino@alice.it robertocencio@email.it brindilicco@tiscali.it lorenzopulli@katamail.com postit_gio@email.it studiogiorfatti@tiscali.it pallinodoppio@katamail.com andreasassano67@email.it sirotti87claudia@tiscali.it lucagervasi@katamail.com cristina.lorenzi@katamail.it mario.poltrini@email.it ponzalia85@tiscali.it lortillo@katamail.com olbaldo@tiscali.it gianfrancoapicerno@katamail.com giuliana_fiore@katamail.com michela.piolitti9@email.it andrea-lopallo@email.it chilliroberto@tiscali.it alessandra_zonti@tiscali.it ponzetto_clara@katamil.com fastoriantonio6@tiscali.it giovannamostrini@inbox.com antona-giuseppina@katamail.com fortioluca@tiscali.it silviaparnio@katamail.com antonella_leopoldo@tiscali.it felicedoroddu@katamail.com santarellomaria@tiscali.it bruno_olivaro@katamail.com adornofiorella@tiscali.it carlo_locicero@katamail.com leonardofancioni@tiscali.it gianluigicomune@katamail.it claudialettini@tiscali.it polsinialessandro@tiscali.it tursettidino@tiscali.it koening_christina@yahoo.it ferrigiorgio@yahoo.it anorsi_fausto@yahoo.it giovanni_antonelli@yahoo.it emmaferrari76@yahoo.it daniel.andreini@yahoo.it castelli.alfonso@yahoo.it difranco_elisa@yahoo.it fabianoponti@email.com mellanoludovica@inbox.com