skip to main | skip to sidebar
20 commenti

Phishing contro utenti Apple in tempo reale: un caso pratico

Questo articolo vi arriva grazie alla gentile donazione di “botte32” e “diegoca*” ed è stato aggiornato dopo la pubblicazione iniziale.

Se ci sono in giro tante truffe, in parte è colpa dei responsabili dei siti regolari che non vigilano sulla propria sicurezza. Un lettore, Marco P., mi segnala il caso di due siti, Atelierlazzaro.com (italiano) e Sparkmotorsports.com (di Singapore), che ospitano un attacco probabilmente senza saperlo.

L'attacco inizia con una mail come questa: una mail apparentemente proveniente da un account di servizio Apple (apple-servizzi@apple.it). In realtà si tratta di un semplice account di un utente comune il cui nome è stato scelto per sembrare un account amministrativo. La doppia Z di servizzi dovrebbe essere un indizio rivelatore (insieme alla sgrammaticatura generale del messaggio) che fa capire alla maggior parte degli utenti che si tratta di un account farlocco, ma bisogna tenere presente che questi phishing sono calibrati per prendere di mira gli utenti più sprovveduti: quelli che abboccheranno anche alle fasi successive della trappola.


Se l'utente clicca sull'invito “Clicca qui”, il link lo porta a http://www.atelier [togliere questa parentesi] lazzaro.com/reserved/go.php, che appartiene al sito web di un liutaio italiano, presumibilmente anche lui ignaro di essere stato violato dai truffatori.

Il link del sito del liutaio redirige la vittima su una pagina ospitata (si presume inconsapevolmente) da Sparkmotorsports.com:

http://apple.com-servizzi.spark [togliere questa parentesi] motorsports.com/login/index1.php?command=Botton&Histore=1302cc8a7af8b4ca4c8541e92a92dcb7:


La pagina-trappola effettua un controllo sommario dei contenuti dei campi: esige che quasi tutti i campi siano compilati, ma non verifica la correttezza dei dati immessi, per cui posso inquinare il database dei truffatori con qualche input “personalizzato”.


In caso di dati non corrispondenti a un account Apple esistente, si viene portati a questa pagina:


Ma se i dati immessi sono quelli di un account reale, la vittima regala il controllo del proprio account Apple al truffatore, insieme ai dati della propria carta di credito e ai propri dati anagrafici. Basta che abbocchi qualche persona e il criminale s'è guadagnato la giornata.

Ho allertato il sito del liutaio. Sparkmotorsports.com è chiuso ed è quindi probabilmente inutile allertarlo.

La domanda che mi capita spesso in questi casi è cosa fare: avvisare la polizia? A mio avviso non ne vale la pena ed è poco efficiente. È molto meglio avvisare i siti coinvolti e segnalarli ai servizi di monitoraggio come Netcraft.com o Google (grazie a Luigi Rosa per il link): questo propagherà molto rapidamente la protezione a tutti gli utenti che hanno il buon senso di dotarsi di barre come quella di Netcraft o di DNS che fanno anche blocco degli URL sospetti.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (20)
Concordo sull'idea di non avvisare le autorita' per queste cose che hanno tempi geologici rispetto a Internet e il cui ambito d'azione e' limitato.
Molti (incluso il sottoscritto) utilizzano il servizio antiphishing di Google anche attraverso le signature di ClamAV; potrebbe essere utile segnarlo anche a BigG attraverso questa pagina, posto che non se ne sia gia' accorto: http://www.google.com/safebrowsing/report_phish/

Vista la scarsitá dei controlli in input non potrebbe valer la pena tentare un SQL-Injection per cancellare il db dei truffatori?
Io segnalo tutti i siti di phishing che ricevo via e-mail a netcraft. Ad oggi ho segnalato (come primo segnalatore) oltre 1000 siti confermati come phishing. Questo mi ha permesso di ottenere come premi, nell'ordine:
100 siti: tazza brandizzata Netcraft
400 siti: polo brandizzata Netcraft
1000 siti: zaino portapc Targus brandizzato Netcraft.

Unisco l'utile al dilettevole :)
Io da anni uso la barra di netcraft, e funziona molto bene anche lei, devo dire (-:
Grande Paolo! Allora non sono il solo che si diverte ad inquinare i database dei "pescatori" :D
Dato che si parla di segnalazione di phishing, posso approfittarne per chiedere quali sono le vostre esperienze sui tempi di risposta?

Io dopo aver ricevuto un sms che mi invitava a visitare il sito www.carrefourspa.net l'ho segnalato 2 volte (una in italiano il 16 e una in inglese il 19) al servizio di Google ed ancora non è nelle loro liste... il 16 l'avevo segnalata anche a www.antiphishing.org (sempre senza risposta), ed a Carrefour stessa, che mi ha risposto con un email generica che mi invitava a "non volere assolutamente dare seguito né ai contenuti né tanto meno alle indicazioni operative suggerite" (ma va!).
Non avevo pensato a Netcraft, al quale l'ho appena segnalata... vediamo se almeno loro ne terranno conto.
Sono rimasto veramente stupito dall'assenza di reazione da parte di Google, eppure credevo che la segnalazione fosse abbastanza precisa, e che il phishing fosse abbastanza palese, da permettere una decisione rapida senza neanche necessità di troppe verifiche...
@Tukler: ho segnalato la cosa a Carrefour France, vediamo se almeno loro si muovono.
nel caso di apple.com-servizzi.spark [togliere questa parentesi] motorsports.com hanno lavorato anche sui dns che tengono su spark [togliere questa parentesi] motorsports.com (ns[12].salvagers.net)
via dai collioni stronso è un colpo di genio!
Ah sì sì, adesso mi ricordo dov'è Via dai Colioni Stronso, è qualla che fa angolo con Via le Mani dal Culo :D
@Tukler adesso il finto sito di Carrefour e' indicato come pericoloso da Google
Sono un fedele lettore non commentante, ma questa volta non posso esimermi, perché proprio stamattina ho ricevuto l'email di phishing più credibile che mi sia capitata finora.
Si tratta di una finta richiesta di conferma di identità da parte di Apple: mittente, testo del messaggio, grafica, pagina web che si apriva, tutto quanto era molto plausibile.
Ma la cosa che poteva essere più convincente, e che è anche l'aspetto più strano della vicenda, è che proprio IERI ho acquistato un iPad in un Apple store, e il commesso che me l'ha venduto ha chiesto il mio indirizzo email.
Specifico che non avevo mai ricevuto finti messaggi di Apple prima d'ora.
Quindi mi viene spontaneo chiedermi: è stata una coincidenza?

...Starò mica diventando complottista? ;)
Quindi mi viene spontaneo chiedermi: è stata una coincidenza?

Probabilmente sì. Vale il Principio dello Scoiattolo Cieco: facendo tanti tentativi a caso, a volte si trova la ghianda, ma non vuol dire che si sapesse di preciso dove cercare.
@Tukler

direi che ora è stato bloccato: "Google Chrome has blocked access to www.carrefourspa.net. This website has been reported as a phishing website."
E le finte email di veri gestori telefonici italiani, con proposte di regalare/raddoppiare le ricariche, ne arriva qualcuna anche voi?
Sulla falsariga di quelle bancarie sembrano la moda del momento, da qualche settimana me ne arrivano due tre al giorno.
@Mike Mac attenzione che alcune di quelle mail di spam non arrivano dai gestori telefonici veri e propri ma da loro agenzie di rivendita
lo smartphone = un computer comandato da remoto con la carta di credito dentro, un idea geniale ! :-D
@Luigi Rosa:

Ho visto, chissà se ha a che fare col fatto che la sera prima l'avevo segnalato anche a Netcraft (che mi ha risposto accettando la segnalazione dopo poche ore) o che tu l'hai segnalato a Carrefour... o magari è solo una coincidenza e Google ha preso in consegna la segnalazione una volta passato il week-end.
Sconsiglio di riempire il form (anche con dati fasulli) e inviarlo in quanto si fornisce la conferma ai "phisher" che la casella email è valida e viene effettivamente letta.
parlando dal punto di vista dell'attaccato, io ho diversi domini, uno fu attaccato -secoli fa- approfittando dei miei primi esperimenti in php :-) poi non mi è più successo, (almeno, il mio provider non mi ha più bloccato l'account). Vorrei comunque preparare uno script che monitori l'arrivo di file nuovi, anche ogni 4 - 6 ore. Qualcuno sa se esiste già qualcosa di simile?