Warning Phishing: Banca Etruria 20100120

gennaio 20th, 2010

È un po’ di tempo che l’istituto bancario Banca Etruria è finito nel mirino dei phisher.
La mail di oggi viene immediatamente evidenziata da Thunderbird quale probabile truffa

Presenta un contenuto improbabile, quasi criptico, tuttavia in italiano abbastanza corretto. Non sono inoltre presenti caratteri strani che possano insospettire il ricevente.
Identificativi della mail:

oggetto: Grazie per il tempo assegnato nel controllo dei dati personali.
mittente: Banca Etruria” – www@bancaetruria.it -

In apparenza la mail parte da un ip tedesco, transita per un server cinese, per poi arrivare in Italia.
L’url nascosto nei due link presenti nella mail punta ad un indirizzo simile:

http://www.dominiodicomodo.org/bbs/data/webauth.att.net/index.php

riferito ad un server coreano. La pagina ci fa un immediato redirect su http://www.htmlupdates.com, dominio registrato in California, dove in home page troviamo subito la pagina contraffatta

Va evidenziato come l’accoppiata Google/Firefox avverta l’utente del pericolo su entrambe le url in questione

La parte che mi ha interessato era relativa al redirect, al server intermedio. Partendo quindi dall’url

http://www.dominiodicomodo.org/bbs/data/webauth.att.net/index.php

ho provato a navigare le directory presenti, ottenendo inizialmente messaggi di errore

Poi risalendo sino alla directory  /bbs otteniamo finalmente il listato del contenuto.

Qui accedendo al file admin.php ci viene presentata la finestra di login con l’indicazione della piattaforma ZEROBOARD.
Una rapida ricerca in rete ci porta ad individuare diverse pagine che trattano la possibilità di fare remote file inclusion e di eseguire comandi arbitrari su tale piattaforma:

http://osvdb.org/12929

http://www.milw0rm.com/exploits/982

http://securityvulns.com/Idocument761.html

http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2006-06/msg00512.html

Mi è sorto quindi il sospetto di potervi individuare una shell tipo C99 uploadata con il remote file inclusion e poi usata per aggiungere quello che serve al phisher.
Infatti cercando tra i file php presenti troviamo infine http://www.dominiodicomodo.org/bbs/info.php!

Tra le varie cose scopriamo che si tratta di un sistema CentOS release 5.4, che l’utente nobody riesce a navigare sin dalla root directory

senza per fortuna avere i diritti di leggere qualunque file (shadow, per esempio).

La disamina termina qui. Non si tratta di un esame esaustivo, non ne avevo l’intenzione nè il tempo. Desideravo solo evidenziare come da una piattaforma buggata possano derivare un sacco di problemi…..e i cattivi avrebbero potuto far davvero tante brutte cose.

Phishing | Comments | Trackback

9 Responses to “Warning Phishing: Banca Etruria 20100120”

  1. 1titticimmino
    gennaio 22nd, 2010 @ 01:22

    a quali file non avrebbe avuto la possibilità di accedere il “signor” utente nobody?
    esempio di brutte cose che i “cattivi” avrebbero potuto fare?

  2. 2admin
    gennaio 22nd, 2010 @ 10:10

    se non fosse stato limitato dai permessi avrebbe potuto accedere al file /etc/shadow che conserva le password utente codificate, a directory di posta, leggendo magari informazioni riservate, a file di configurazione di servizi, carpendo password da usare per attacchi a dizionario.
    In ogni caso potrebbe e può cercare un exploit da eseguire come utente nobody che gli consenta una scalata ai privilegi.

    Già così, potendo creare file e cartelle nelle directory su cui ha diritti, potrebbe mettere in piedi un repository di materiale illegale.

    Il dramma è che la casella di posta del referente del dominio rigetta la mail di warning che gli ho mandato e fino a che non legge il sistema rimane buggato.

  3. 3titticimmino
    gennaio 22nd, 2010 @ 14:26

    “.che non significa essere esperti hacker…solo aver letto a riguardo. :-) ” [cit] :D

    “welcome to the show!” .. grazie.

    per quale motivo la tua mail di warming è rigettata? e in questi casi non si può “forzare” a favore del referente del dominio?

  4. 4admin
    gennaio 22nd, 2010 @ 14:53

    è stata inviata a tutti i referenti individuati con il whois….più di così…

  5. 5titticimmino
    gennaio 22nd, 2010 @ 15:20

    come dire : o sono informato, edotto e quindi pre-venuto o quantomeno sospettoso nei confronti della mail ricevuta dalla “banca etruria” , oppure rischio di caderci come un pollo!

  6. 6Chiara
    febbraio 26th, 2010 @ 10:33

    1) Qual’è la responsabilità di Banca Etruria rispetto al phishing con il suo nome?
    2) Non ho mai avuto contatti con Banca Etruria, ma dopo il phishing a cui non ho risposto, ho scritto chiedendo informazioni al responsabile trattamento dati personali (d.lvo 196/2003),il quale, anche dopo sollecito, non risposto.
    Chiara

  7. 7admin
    febbraio 26th, 2010 @ 23:44

    @Chiara
    mha…. in buona sostanza, ad essere pignoli, dal punto di vista tecnico il phishing realizzato con queste modalità, che non sfrutta bug nel sito dell’istituto, non comporta a mio avviso responsabilità dell’ente.
    La truffa non viene attuata sfruttando una mancanza tecnica dell’ente.
    Se poi la si vuole mettere dal punto di vista etico, tirando in ballo non solo la sicurezza del sito dell’ente (tecnicamente parlando), ma anche le contromisure e l’attività di informazione posta in essere dallo stesso, bhè, credo vada valutato caso per caso.

    in buona sostanza la banca può porre in essere tutte le contromisure ed i controlli del caso, ma se l’utente si lascia “confondere” inserendo le credenziali su un sito che assomiglia a quello dell’ente, ma che non lo è, diventa un po’ tirata darne la colpa all’ente.

    il padrone di casa può aver installato tutti gli allarmi di questo mondo, la porta blindata più spessa che ci sia, ma se do le chiavi al primo che si spaccia per l’idraulico venuto a riparare la perdita…. :-(

    Il phishing non si differenzia molto dalle truffe tradizionali attuate dai finti dipendenti delle aziende gas/luce/acqua/telefonia/ecc… alla fine l’anello più debole è l’utente, è lui che consegna l’accesso al conto.
    viene pure difficile parlare di disinformazione, perchè se ne parla in tv, sui quotidiani, sulle riviste di informatica e non…

    che poi si possa/debba fare di più è un altro discorso.

  8. 8Gianfranco
    giugno 4th, 2010 @ 00:31

    e a me hanno rubato 4200€ proprio da Banca Etruria, tramite bonifici. (25/02/2010)
    Vi garantisco che non ho mai cliccato su mail della presunta banca e inserito dati sensibili.
    Sono in causa con la banca(che se ne frega totalmente)…pregate per me.

  9. 9admin
    giugno 4th, 2010 @ 01:52

    esistono altre modalità per appropriarsi delle credenziali altrui, redirigendo i titolari di conti su falsi siti attraverso modifica del file host, modifica dei record dns o furto delle credenziali con malware ad-hoc.
    Qui http://www.denisfrati.it/?p=2062 può visionare o scaricare delle slide a tal riguardo.

    saluti
    D.

Leave a Reply

  1.  
  2.  
  3.  
  4. XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
You can keep track of new comments to this post with the comments feed.

Cerca

 

settembre: 2010
L M M G V S D
« ago    
 12345
6789101112
13141516171819
20212223242526
27282930  

Categorie

Blogroll

Feed

Subscribe to my feed