Cerca nel blog

2013/12/22

Phishing contro utenti Apple in tempo reale: un caso pratico

Questo articolo vi arriva grazie alla gentile donazione di “botte32” e “diegoca*” ed è stato aggiornato dopo la pubblicazione iniziale.

Se ci sono in giro tante truffe, in parte è colpa dei responsabili dei siti regolari che non vigilano sulla propria sicurezza. Un lettore, Marco P., mi segnala il caso di due siti, Atelierlazzaro.com (italiano) e Sparkmotorsports.com (di Singapore), che ospitano un attacco probabilmente senza saperlo.

L'attacco inizia con una mail come questa: una mail apparentemente proveniente da un account di servizio Apple (apple-servizzi@apple.it). In realtà si tratta di un semplice account di un utente comune il cui nome è stato scelto per sembrare un account amministrativo. La doppia Z di servizzi dovrebbe essere un indizio rivelatore (insieme alla sgrammaticatura generale del messaggio) che fa capire alla maggior parte degli utenti che si tratta di un account farlocco, ma bisogna tenere presente che questi phishing sono calibrati per prendere di mira gli utenti più sprovveduti: quelli che abboccheranno anche alle fasi successive della trappola.


Se l'utente clicca sull'invito “Clicca qui”, il link lo porta a http://www.atelier [togliere questa parentesi] lazzaro.com/reserved/go.php, che appartiene al sito web di un liutaio italiano, presumibilmente anche lui ignaro di essere stato violato dai truffatori.

Il link del sito del liutaio redirige la vittima su una pagina ospitata (si presume inconsapevolmente) da Sparkmotorsports.com:

http://apple.com-servizzi.spark [togliere questa parentesi] motorsports.com/login/index1.php?command=Botton&Histore=1302cc8a7af8b4ca4c8541e92a92dcb7:


La pagina-trappola effettua un controllo sommario dei contenuti dei campi: esige che quasi tutti i campi siano compilati, ma non verifica la correttezza dei dati immessi, per cui posso inquinare il database dei truffatori con qualche input “personalizzato”.


In caso di dati non corrispondenti a un account Apple esistente, si viene portati a questa pagina:


Ma se i dati immessi sono quelli di un account reale, la vittima regala il controllo del proprio account Apple al truffatore, insieme ai dati della propria carta di credito e ai propri dati anagrafici. Basta che abbocchi qualche persona e il criminale s'è guadagnato la giornata.

Ho allertato il sito del liutaio. Sparkmotorsports.com è chiuso ed è quindi probabilmente inutile allertarlo.

La domanda che mi capita spesso in questi casi è cosa fare: avvisare la polizia? A mio avviso non ne vale la pena ed è poco efficiente. È molto meglio avvisare i siti coinvolti e segnalarli ai servizi di monitoraggio come Netcraft.com o Google (grazie a Luigi Rosa per il link): questo propagherà molto rapidamente la protezione a tutti gli utenti che hanno il buon senso di dotarsi di barre come quella di Netcraft o di DNS che fanno anche blocco degli URL sospetti.

20 commenti:

Luigi Rosa ha detto...

Concordo sull'idea di non avvisare le autorita' per queste cose che hanno tempi geologici rispetto a Internet e il cui ambito d'azione e' limitato.
Molti (incluso il sottoscritto) utilizzano il servizio antiphishing di Google anche attraverso le signature di ClamAV; potrebbe essere utile segnarlo anche a BigG attraverso questa pagina, posto che non se ne sia gia' accorto: http://www.google.com/safebrowsing/report_phish/

Mauro Spalletti ha detto...

Vista la scarsitá dei controlli in input non potrebbe valer la pena tentare un SQL-Injection per cancellare il db dei truffatori?

alberto ha detto...

Io segnalo tutti i siti di phishing che ricevo via e-mail a netcraft. Ad oggi ho segnalato (come primo segnalatore) oltre 1000 siti confermati come phishing. Questo mi ha permesso di ottenere come premi, nell'ordine:
100 siti: tazza brandizzata Netcraft
400 siti: polo brandizzata Netcraft
1000 siti: zaino portapc Targus brandizzato Netcraft.

Unisco l'utile al dilettevole :)

Grizzly ha detto...

Io da anni uso la barra di netcraft, e funziona molto bene anche lei, devo dire (-:

Mike Mac ha detto...

Grande Paolo! Allora non sono il solo che si diverte ad inquinare i database dei "pescatori" :D

Tukler ha detto...

Dato che si parla di segnalazione di phishing, posso approfittarne per chiedere quali sono le vostre esperienze sui tempi di risposta?

Io dopo aver ricevuto un sms che mi invitava a visitare il sito www.carrefourspa.net l'ho segnalato 2 volte (una in italiano il 16 e una in inglese il 19) al servizio di Google ed ancora non è nelle loro liste... il 16 l'avevo segnalata anche a www.antiphishing.org (sempre senza risposta), ed a Carrefour stessa, che mi ha risposto con un email generica che mi invitava a "non volere assolutamente dare seguito né ai contenuti né tanto meno alle indicazioni operative suggerite" (ma va!).
Non avevo pensato a Netcraft, al quale l'ho appena segnalata... vediamo se almeno loro ne terranno conto.
Sono rimasto veramente stupito dall'assenza di reazione da parte di Google, eppure credevo che la segnalazione fosse abbastanza precisa, e che il phishing fosse abbastanza palese, da permettere una decisione rapida senza neanche necessità di troppe verifiche...

Luigi Rosa ha detto...

@Tukler: ho segnalato la cosa a Carrefour France, vediamo se almeno loro si muovono.

Giò ha detto...

nel caso di apple.com-servizzi.spark [togliere questa parentesi] motorsports.com hanno lavorato anche sui dns che tengono su spark [togliere questa parentesi] motorsports.com (ns[12].salvagers.net)

Camicius ha detto...

via dai collioni stronso è un colpo di genio!

Stepan Mussorgsky ha detto...

Ah sì sì, adesso mi ricordo dov'è Via dai Colioni Stronso, è qualla che fa angolo con Via le Mani dal Culo :D

Luigi Rosa ha detto...

@Tukler adesso il finto sito di Carrefour e' indicato come pericoloso da Google

Dendrite ha detto...

Sono un fedele lettore non commentante, ma questa volta non posso esimermi, perché proprio stamattina ho ricevuto l'email di phishing più credibile che mi sia capitata finora.
Si tratta di una finta richiesta di conferma di identità da parte di Apple: mittente, testo del messaggio, grafica, pagina web che si apriva, tutto quanto era molto plausibile.
Ma la cosa che poteva essere più convincente, e che è anche l'aspetto più strano della vicenda, è che proprio IERI ho acquistato un iPad in un Apple store, e il commesso che me l'ha venduto ha chiesto il mio indirizzo email.
Specifico che non avevo mai ricevuto finti messaggi di Apple prima d'ora.
Quindi mi viene spontaneo chiedermi: è stata una coincidenza?

...Starò mica diventando complottista? ;)

Paolo Attivissimo ha detto...

Quindi mi viene spontaneo chiedermi: è stata una coincidenza?

Probabilmente sì. Vale il Principio dello Scoiattolo Cieco: facendo tanti tentativi a caso, a volte si trova la ghianda, ma non vuol dire che si sapesse di preciso dove cercare.

Santino83 ha detto...

@Tukler

direi che ora è stato bloccato: "Google Chrome has blocked access to www.carrefourspa.net. This website has been reported as a phishing website."

Mike Mac ha detto...

E le finte email di veri gestori telefonici italiani, con proposte di regalare/raddoppiare le ricariche, ne arriva qualcuna anche voi?
Sulla falsariga di quelle bancarie sembrano la moda del momento, da qualche settimana me ne arrivano due tre al giorno.

Luigi Rosa ha detto...

@Mike Mac attenzione che alcune di quelle mail di spam non arrivano dai gestori telefonici veri e propri ma da loro agenzie di rivendita

Anonimo ha detto...

lo smartphone = un computer comandato da remoto con la carta di credito dentro, un idea geniale ! :-D

Tukler ha detto...

@Luigi Rosa:

Ho visto, chissà se ha a che fare col fatto che la sera prima l'avevo segnalato anche a Netcraft (che mi ha risposto accettando la segnalazione dopo poche ore) o che tu l'hai segnalato a Carrefour... o magari è solo una coincidenza e Google ha preso in consegna la segnalazione una volta passato il week-end.

Francesco Talarico ha detto...

Sconsiglio di riempire il form (anche con dati fasulli) e inviarlo in quanto si fornisce la conferma ai "phisher" che la casella email è valida e viene effettivamente letta.

Domenico Saggese ha detto...

parlando dal punto di vista dell'attaccato, io ho diversi domini, uno fu attaccato -secoli fa- approfittando dei miei primi esperimenti in php :-) poi non mi è più successo, (almeno, il mio provider non mi ha più bloccato l'account). Vorrei comunque preparare uno script che monitori l'arrivo di file nuovi, anche ogni 4 - 6 ore. Qualcuno sa se esiste già qualcosa di simile?