L’allegato dove lo metto, dove lo metto non si sa
marzo 18th, 2010
Oggi è arrivata un mail di phishing mirante a colpire i clineti di Lottomatica, rubando loro i dati delle carte LottomatiCard.
Nel caso odierno il messaggio di posta non conteneva nè un link diretto al sito di phishing, nè un redirect allo stesso, come la mail successiva diretta a colpire gli utenti della medesima carta.
La mail, che vediamo nell’immagine sottostante, presenta la seguenti caratteristiche:
From: “Lottomatica Italia Servizi”<Servizi@lottomatica.it>
Subject: Lottomatica Italia Servizi
Allegato: Lottomatica Servizi – Form.pdf.htm
parte da un indirizzo ip turco.
Se apriamo l’allegato, che presenta doppia estensione, visualizziamo questa pagina
che riproduce la grafica di Lottomatica e chiede i dati della carta.
Ma dove vanno a finire le credenziali?
Per saperlo dobbiamo analizzare il codice html dell’allegato e qui abbiamo la sorpresa!
Mi spiego meglio: dall’inzio dell’anno questa è la 23 e-mail di phishing con allegato che ricevo. Si tratta usualmente di file htm, html ed mht.
Per verificare dove le credenziali vengono inviate è, generalmente, sufficiente aprire il file con un editor di test e ricercare il termine “POST”
per individuare la riga in cui sono definite le caratteristiche del form che l’utente compilerà e più precisamente dove i dati saranno inviati. Nel caso odierno, ed è ciò che differenzia questa ventitreesima mail con allegato dalla altre, questa parte di codice è stata offuscata con un java script
che riportato in chiaro utilizzando questa pagina web, diventa
il codice in chiaro con cui si definisce il form.
Le credenziali vengono inviate ad una pagina php (done.php) che ha l’unica funzione di inviarle al phisher, indirizzando poi la navigazione dell’utente sulle reali pagine dell’ente i cui clienti si sono colpiti.
Se ci portiamo sul server in questione scopriamo di poter visualizzare il contenuto delle directory individuando un file di testo con le credenziali che il phisher deve semplicemente visualizzare con il browser. Fortunatamente alcuni utenti stanno imparando la lezione e ne approfittano per mandare i propri omaggi ai phisher 
Sul server è anche presente un sito clone già operativo per frodare gli utenti PayPal…ma questa è un’altra storia.
Soffermiamoci solo un secondo sull’uso degli allegati.
Questa metodica ha per i criminali alcuni vantaggi:
- l’utente non deve visualizzare una pagina remota, magari già inserita nelle black list e segnalata dai browser quale fraudolenta, quindi è meno probabile che sia avvertito del pericolo;
- non richiede al criminale la creazione di molte pagine web per la creazione di un falso sito, ma solo di quella da inviare in allegato e di quella che gestirà le credenziali.
- minori probabilità che una sola pagina di gestione delle credenziali inviate via POST inserita fraudolentemente su un server bucato venga individuata.
Ricordo ai lettori di non aprire mai gli allegati! potrebbero essere malware, o pagine web create ad hoc per consetire il download e l’installazione dello stesso! Se volete svolgere questi tipi di controlli aprite la pagina con un editor di testo, esaminate il codice e solo dopo aver verificato che non c’è nulla di nocivo apritela nel browser…meglio su macchina virtuale..la prudenza non è mai troppa.
One Response to “L’allegato dove lo metto, dove lo metto non si sa”
1Giuly
marzo 22nd, 2010 @ 18:18
Grazie per la mail…io ho una Lottomaticard e anche se la carico solo quando ho necessità di fare acquisti online, non sarebbe carino incorrere in queste truffe…
Leave a Reply