Il taccuino di Armando Leotta Rotating Header Image

Sicurezza

[Phishing] Attenzione alla nuova mail (apparentemente) a firma ENI & Ministero dello sviluppo economico #phishing #security

Phishing Eni e Sviluppo Economico

Phishing Eni e Sviluppo Economico

Il periodo non è certo dei migliori.

La mail con oggetto “Richiedi la carta benzine con lo socnto di 400 euro” presenta diversi elementi interessanti.

In primo luogo, è evidente la componente di social engineering: logo del Ministero dello Sviluppo Economico, Partita IVA dello Sviluppo Economico nel footer della mail (come sapete è un’informazione obbligatoria e si trova facilmente sul vero sito del Ministero), riferimento ad un nuovo DECRETO LEGGE.

Inoltre, si fa meschinamente leva sulla possibilità di acquistare una carta carburante a prezzi incredibilmente vantaggiosi:

“Agip gruppo Eni ti consente di acquistare la carta carburante di 500 Euro al prezzo di 100 Euro (80% rimborsato dal Ministero dello Sviluppo Economico).”

In secondo luogo, aldilà della credibilità o meno dell’iniziativa, spunta la componente di phishing: il link suggerito per approfondire le informazioni sembrerebbe quello del Ministero dello Sviluppo Economico ma punta all’indirizzo sviluppoeconomico.myvnc.com.

Il dominio myvnc.com è un dominio gestito da servizi di dns dinamico (no-ip.com).

Indirizzo reale a cui punta

Indirizzo reale a cui punta

Per gli addetti ai lavori, raggiungendo tramite sandbox (anubis) quell’indirizzo, ecco qualche dettaglio in più (tralascio le svariate chiavi del registry lette E modificate).

DNS Queries:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
        Name: [ ministerodellosviluppoeconomico.myvnc.com ], Query Type: [ DNS_TYPE_A ],
            Query Result: [ 8.23.224.90 ], Successful: [ YES ], Protocol: [ udp ]
        Name: [ www.grutuitapostecom.com ], Query Type: [ DNS_TYPE_A ],
            Query Result: [ 66.147.241.45 ], Successful: [ YES ], Protocol: [ udp ]
HTTP Conversations:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
        From ANUBIS:1029 to 8.23.224.90:80 - [ ministerodellosviluppoeconomico.myvnc.com ]
             Request: [ GET / ], Response: [ 200 "Found" ]
        From ANUBIS:1030 to 66.147.241.45:80 - [ www.grutuitapostecom.com ]
             Request: [ GET /Agip/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL22.php ], Response: [ 200 "OK" ]
             Request: [ GET /Agip/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL2_files/offerta.css ], Response: [ 404 "Not Found" ]

 

In ultima analisi e considerazione, a giudicare da qualche errore riscontrato, il meccanismo non sembra (ancora) del tutto a punto ma, attenzione, quella risorsa .php esiste e viene correttamente raggiunta dal client.
Da come è scritta e dalle risorse chiamate in causa sembrerebbe di matrice italiana.

In ogni caso, non dimenticate le regole d’oro:

1) non cliccate sui link che vi giungono via mail ma verificate prima qual è la reale destinazione degli stessi.
2) aggiornate sempre i vostri sistemi (sia il sistema operativo che le componenti off-the-shelf come java e prodotti adobe integrati con il browser – plugin flash, acrobat, etc).
3) se avete raggiunto quel link effettuate una scansione totale del vostro dispositivo con un tool antivirus/antimalware aggiornato.

****************** UPDATE 1/6/13 ***************************

Ne stanno girando altre versioni con il testo leggermente più curato e credibile.

Stessa struttura, stesso ddns proviver (No-IP.com) questa volta con servebeer.com (ministeroeconomico.servebeer.com).

Questa volta non si appoggia a grutuitapostecom.com ma a un sito gratuito su altervista (mnsit.altervista.org).

Hack attempts & good news #security

Un alert insolito.

Fare un po’ di manutenzione e ritrovare tracce di 6 attacchi di crew diverse: priceless.

Codice base64 come se piovesse.
Decodificando mi ritrovo un PHP con POST con tanto di echo “indonesian people is here“.

Se non bastasse, ritrovo altri due php contenenti, secondo sophos per mac, il trojan PhpShel-G e altri dei tentativi di injection test.

Dimenticavo una jpg pronta all’uso: potevano mancare i Martiri di Gaza?

Tentativo di defacement

Cortese visita

I presidi funzionano così come gli alert.

Grazie Bluehost: well done!

 

Tiscali e il servizio assistenza clienti (questo sconosciuto)

Oggi come per magia la mia linea dati era indisponibile. Verificato che non si trattava di un problema risolvibile con riavvi di modem e/o del router cosa si fa?

Si chiama il gestore. Nel mio caso, Tiscali.

Peccato che il telefono era isolato.

Provo a chiamarlo da un altro numero e mi risponde la voce registrata che mi conferma l’irraggiungibilità del numero.

Provo a contattare il 130.

Dopo svariati tentativi di instradamento, riesco a comporre il numero della linea che presenta il guasto.

Altra vocina registrata: “assemblea sindacale”. Bene, armiamoci di pazienza e attendiamoci un servizio degradato.

Dopo qualche minuto mi viene suggerito di usare le risorse online per chiedere aiuto e di lasciare un numero di cellulare per essere aggiornato sulla natura del guasto. Poco male, è fatta.  Comunico il numero, attendo conferma e anzichè la solita vocina sento il segnale della caduta della comunicazione.

Twitter, perchè no!?

Assistenza Tiscali su Twitter

Assistenza Tiscali su twitter

12 ore senza un cenno di risposta, di presa in carico: onestamente non conosco gli SLA contrattualizzati ma siamo decisamente sotto una dignitosa offerta best effort e sopra la soglia del cattivo gusto.

Proviamo con facebook, è pubblicizzato anche sul loro sito!

Vado, sarò più fortunato?

Direi di no, visto che è stato cancellato il primo post..

Assistenza clienti Tiscali su Facebook

Assistenza clienti Tiscali su Facebook (prima della censura e della cancellazione della richiesta d’assistenza)

e per par condicio anche il secondo.

assistenza Tiscali su Facebook

Rischiesta d’assistenza sulla pagina Facebook di Tiscali (prima dell’ennesima cancellazione del post relativo alla richiesta d’assistenza)

A giudicare dall’assenza di post su quella pagina mi sembra solo un tentativo di multicanalità finito prematuramente.

Nel frattempo il problema è rientrato ma la sensazione di totale abbandono da parte del servizio assistenza è forte.

130 no.

Aggiornamento tramite sms come indicato dal 130: nulla da fare.

Twitter? Sto ancora aspettando.

Facebook? Mi hanno cancellato due richieste di assistenza.

Insomma, un bel grosso #fail da parte di Tiscali e del suo customer care evidentemente non all’altezza.

E’ uno dei tanti casi in cui la multicanalità diventa solo un modo per apparire ed una moda da scimmiottare ma di certo non un servizio ai clienti.

Peccato.

TISCALI #FAIL

 

P.S. Tiscali, cancella anche questo post adesso.

Iseclab security tool: anubis, wepawet & andrubis

Per gli addetti ai lavori sono tool noti.

In ogni caso segnalo dei tool della International Secure System Lab

Anubis: Analyzing Unknown BinariesParticolarmente attivi ed interessanti Anubis e Wepawet.

Anubis (ANalyze Unknown BInarieS)

Inizialmente era nato come servizio di analisi malware e permetteva di sottomettere esclusivamente eseguibili windows sospetti.

Di recente è stato integrato Andrubis che integra la scansione di APK Android.

E’ possibile anche sottomettere un URL per verificare il comportamento del browser alla ricerca di un drive-by-download attack o similari.

Ottima la reportistica e la profondità di dettagli.

Wepawet

Se invece avete a che fare con un pdf, un javascript o un file flash sospetto potete usare il servizio wepawet.

I sistemi utilizzano un’opportuna sandbox nella quale lanciano il contenuto inviato  che viene tracciato ed analizzato.

Nota: date un’occhiata anche al servizio Exposure.

E’ un servizio web che rileva i domini coinvolti in attività legate a diffusione di codice malevolo: è ancora in beta ma promette decisamente bene.

Akamai report: the state of internet, 2nd quarter 2012

E’ stato pubblicato il report Akamai sullo Stato di Internet, relativo al secondo quarter 2012.
Particolarmente interessanti gli aspetti legati alla sicurezza (traffico, fonti e vettori d’attacco).
Utile anche il punto di osservazione privilegiato di Akamai in termini di connessioni https/ssl e i loro relativi algoritmi di cifratura utilizzati. (SSLv3 e TLSv1).
State of Internet, report akamai

Fonte Akamai

Da notare come la 445 si confermi la porta più “ambita” e che è più che triplicato rispetto al I Quarter il numero dei tentativi di connessione alla 8080 (mi viene da pensare a proxy check e a targeted attack, ndr).

Fonte Akamai

La sezione 1 del report è interamente dedicata agli aspetti di sicurezza mentre le restanti fotografano lo stato di penetrazione e diffusione di Internet nei vari continenti e con le rispettive disponibilità di broadband.

NOTA: Rispetto al I Quarter abbiamo scalzato la Germania dalla TOP 10 … ma si tratta della classifica delle 10 nazioni da cui ha origine il traffico relativo ad attacchi informatici.

Son soddisfazioni

 P.S.: il report è liberamente scaricabile previa registrazione