martedì 28 marzo 2006

Rock Phish Kit

Una nuova pratica di phishing, chiamata Rock Phish Kit, è stata segnalata lo scorso mese di Febbraio dal Websense® Security Labs. Rock Phish Kit consente ai truffatori di rendere pi efficaci e rapidi i risultati delle loro attività criminali.

Pare che le prime apparizioni di Rock Phish Kit risalgano al Novembre 2005 e che da allora il suo impiego da parte delle organizzazioni e dai singoli criminali stia aumentando vertiginosamente, come del resto la stessa tecnica del Rock Phish Kit presuppone.

La tecnica, infatti, è semplice: all’interno di uno stesso server vengono inseriti due o più siti Internet clone, in modo da colpire un numero maggiore di obiettivi contemporaneamente prima che il server venga oscurato. I siti-truffa, infatti, vengono, in genere, rapidamente individuati e chiusi d'autorità nel giro di poche ore dall'avvio del raggiro. Con la tecnica del Kit, invece, è evidente che più sono i cloni del sito-truffa, più a lungo i phisher potranno far sopravvivere le proprie trappole rendendo così massime le probabilità di successo delle proprie truffe.

Il sistema è facilmente riconoscibile poiché:

  1. I siti spesso utilizzano sia un indirizzo IP o un nome dominio fraudolento (es. delle Poste Italiane, Visa, CitiBank, PayPal, eBay, etc.);
  2. I siti solitamente presentano indicazioni di directory quali /rock/ oppure /r/ o /r1/ nel loro percorso URL;
  3. Le lettere che seguono l'indicazione /r/ corrispondono al sito Internet da colpire (e.g., www.samplerockphish.com/r/b = barclays;
  4. Spesso tali siti truffa si trovano in Asia;
  5. I siti utilizzano lo stesso script PHP per clonare i siti presi di mira e inviare le email truffa a loro nome;
  6. I siti spesso utilizzano trucchi del linguaggio JavaScript per sostituire la toolbar del browser del malcapitato utente e disabilitare funzioni di tastiera quali Copia e Incolla.

Ecco alcune indicazioni fasulle di directory che corrispondono ai siti di importanti istituti di credito che sono stati recentemente presi di mira:

http://www.alysass.com/r1/a/ -> Alliance & Leicester
http://www.alysass.com/r1/b/ -> Barclays
http://www.alysass.com/r1/c/ -> Citibank
http://www.alysass.com/r1/d/ -> Deutsche Bank
http://www.alysass.com/r1/e/ -> eBay
http://www.alysass.com/r1/h/ -> Halifax
http://www.alysass.com/r1/l/ - LloydsTSB
http://www.alysass.com/r1/n/ - National Internet Banking
http://www.alysass.com/r1/p/ - Postbank
http://www.alysass.com/r1/s/ - Suncorp
http://www.alysass.com/r1/v/ - Volksbanken Raiffeisenbanken
http://www.alysass.com/r1/w/ - Westpac

Naturalmente http://www.alysass.com/ è solo uno dei tanti possibili nomi di server "criminali" utilizzati.

Una siffatta email è stata recentemente inviata ai danni degli utenti di Bancoposta. Nella email l’utente è invitato a collegarsi ai siti web

http://bancopostaonline.poste.it.bpol.bancoposta.alysass.com/r1/pi/

e

http://bancopostaonline.poste.it.bpol.bancoposta.dllinfo.cc/r1/pi

Come si vede, gli indirizzi forniti sono chiaramente identificabili come parte di un rock phishing kit.

I siti specchietto realizzati con questi kit hanno un aspetto simile a quelli ufficiali, ma nascondono una serie di finti documenti da compilare che permettono di sottrarre i dati sensibili degli ignari visitatori. In Italia, ad esempio, circola da tempo una scam legata ad eBay. La mail stessa e la pagina Web correlata al link in evidenza possono essere considerate delle vere "opere d'arte truffatoria" in quanto realizzate per apparire del tutto legittime.

Per conludere, segnaliamo che Microsoft ha lanciato la Global Phishing Enforcement Initiative, un'iniziativa che entro giugno porterà ad un centinaio di azioni legali contro crew di phisher che operano in Europa, Medio Oriente e Africa. Alcuni dei soggetti già sono stati individuati e denunciati nelle ultime settimane.

fonte : cyberbizia.com

Nessun commento:

Posta un commento

featured-content