Feeds:
Posts
Comments

Posts Tagged ‘phishing’

Tabnabbing

Ogni tanto salta fuori una qualche metodologia di attacco che ti fa essere indeciso tra il pensare “‘sti bastardi” e “geniale!”.

Il Tabnabbing, che sta salendo all’attenzione in questi giorni, è tra questi.

Se siete tra coloro che usano abitualmente multipli tab (o multiple finestre, presumo) del browser per lavorare su più siti contemporaneamente, ponete attenzione, perchè siete esattamente il target per l’attacco.

Il meccanismo è facile: arrivate in qualche modo su un sito sotto il controllo dell’attaccante, apparentemente innocuo nei contenuti. Poi passate ad un altro tab per farvi i fatti vostri. Nel frattempo, fuori della vostra soglia di attenzione, il sito in questione cambia completamente di contenuto, favicon, titolo e aspetto, diventando -ad esempio- la pagina di login della vostra banca, o della webmail del vostro provider, magari decidendo cosa diventare in funzione di ciò che è presente nella history del vostro browser.

Quando tornerete sul tab in questione, direte “ah, l’avevo già aperto”, a meno di non accorgervi che la url riportata non è quella che dovrebbe essere. Quindi farete il vostro bel login, dando in mano le vostre credenziali direttamente all’attaccante, come nella migliore tradizione.

Una dimostrazione su http://www.azarask.in/blog/post/a-new-type-of-phishing-attack/: visitate la pagina, poi passate ad altro tab e attendete 5 secondi, mantenendo un occhio al tab dove avete aperto il sito. Bum!

Advertisements

Read Full Post »

Pharming

Oggi ho scritto un documentino stringato per il nostro HelpDesk interno, al fine di facilitare la risoluzione di “casi curiosi” quando forniscono assistenza a clienti con problemi di qualche tipo.

Dato che non mi costa nulla (son notoriamente pigro), ho pensato di mettere qui parte del testo, nella speranza possa essere utile a qualcuno.

Si noti che, comunque, non è nulla di particolarmente nuovo…

  • Premessa numero 1: pharming

Il “pharming” è la pratica, da parte di malware, di “avvelenare” la risoluzione DNS dell’utente per dirigirlo in posti diversi da dove si aspetterebbe di andare. Ad esempio, se il malware scrive nel file hosts del client un indirizzo di suo gusto associato al sito di una banca, l’utente va sul sito scelto dall’attaccante anzichè su quello della banca. Questo permette scenari di phishing in cui l’utente non si accorge di nulla (o quasi), dato che crede di vedere il sito “vero“.
C’è una variante infida: anzichè avvelenare la risoluzione DNS locale, il malware si può limitare ad impostare il sistema operativo affinchè utilizzi un DNS di risoluzione sotto il controllo dell’attacante. In questo modo l’attaccante stesso può “smanacciare” le risoluzioni DNS in maniera centralizzata, operando sul suo DNS anzichè sulla macchina dell’utente.

E’ una lista di reti note per essere in pieno e diretto controllo di criminali informatici noti. Tipicamente, è su reti di questo tipo che risiedono i server DNS di cui al punto precedente.
DROP è pensata per essere utilizzata in nullrouting: vengono in tal modo inibite le comunicazioni tra la rete che applica DROP e le reti da essa listate. Se il nullrouting viene quindi eseguito dall’ISP, esso ha effetto su tutti i clienti dell’ISP stesso.

Quel che accade sommando le due cose è che se un utente “pharmato” ha un ISP che pratica tale nullrouting, il suo client non riesce a raggiungere il DNS usato per la risoluzione (ovvero quello dell’attaccante). Questo lo mette al riparo dall’essere oggetto delle truffe connesse al pharming (e da svariate altre spiacevoli cose) ma gli impedisce anche di navigare o di fare qualsiasi altra cosa richieda una risoluzione DNS.

Se quindi doveste incocciare in un PC con problemi che ha un DNS di risoluzione “fantasioso”, verificate se esso non sia in una rete DROPpata: se c’è, sapete cosa raccontare all’utente, che sarà (se è furbo) anche contento di aver avuto problemi di navigazione. Si noti tuttavia che è plausibile che vi sia o vi sia stato un evento di infezione che ha consentito la riscrittura del DNS di risoluzione e pertanto è assai opportuno un ciclo approfondito di “pulizia”…

Read Full Post »

A pesca

A pesca

Alcune settimane fa parecchi appartenenti alla “comunità antispam” hanno avuto modo di gioire a seguito della chiusura totale dei peering che fornivano connettività ad Atrivo/Intercage, base di svariate delle attività criminali più pervasive in rete, secondo la tracciatura di tali attività effettuata da Spamhaus.

A breve distanza da questo evento avviene, da parte di ICANN, la terminazione del ruolo di registrar per Estdomains. Estdomains è (o, oramai, è stato, si spera) registrar legato a filo doppio con Atrivo/Intercage e con le attività criminali che sulla rete di Atrivo avevano base, e riguardanti frodi, phishing, riciclaggio di denaro, distribuzione di malware ecc.

Apparentemente la sparizione di un registrar connivente ha aperto un buco nella rapida disponibilità di risorse dei criminali della rete: niente nuovi domini significa maggiore difficoltà di proseguire nella conduzione di strutture fast-flux. Cosicchè assistiamo, in queste ore, a due fenomeni correlati a ciò: da un lato, lo spostamento di svariate reti fast-flux che usualmente utilizzavano gTLD (registrati, appunto, per tramite di Estdomains) in direzione del ccTLD cinese (notoriamente molto “di manica larga” e quindi facilmente abusabile e abusato); dall’altro, l’inizio di fenomeni di phishing mirati ad appropriarsi delle altrui credenziali di accesso a registrar.

D’altra parte, se non puoi ottenere la registrazione di nuovi domini “con la tua faccia”, non vi è nulla di più immediato di farlo con la faccia di qualcun altro. Soprattutto se di mestiere fai altrettanto con i conti in banca.

Per ora, gli avvistamenti più masicci riguardano phishing in direzione di account Enom

http://www.enom.com.sys52.net
http://www.enom.com.sys82.net
http://www.enom.com.com94.net
http://www.enom.com.sys52.net
http://www.enom.com.com72.biz

…ma già qualche avvistamento si è avuto anche per altri registrar:

http://www.networksolutions.com.com21.asia

Quindi una nota ai naviganti: oltre alle false-mail dalla vostra banca, badate bene anche alle false mail dal vostro registrar…

Read Full Post »

%d bloggers like this: