On 7/6/10 8:50 PM, Marcello Magnifico wrote: > Mi aggancio al thread, se posso, per fornire un po' di "contorno" alla > risposta gia' data da 'ASCII' (il messaggio sembra essere un phishing > "canonico", con URL taroccata per portare altrove l'utente) perche' > merita forse parlarne al di la' del singolo caso. > Alcuni messaggi di phishing (comunque pochi sul totale di quelli con cui > ho avuto personalmente a che fare: uno all'anno o anche meno) sembrano > "resistere", infatti, perfino ad un controllo del sorgente, che riporta > la URL gia' visibile e facente capo ad un sito/dominio legittimo. Fermo > restando il fatto che sono comunque propenso a mettere in fondo alla > lista delle possibilita' l'hacking diretto dei siti dell'istituzione > coinvolta, qualunque essa sia, metto qui in fila qualche idea volante su > cio' che si puo' considerare ben piu' plausibile.
Di operazioni di "hacking diretto" di siti bancari, nel corso di oramai quasi 8 anni da "addetto ai lavori" ne ho visti in azione al massimo 3. Due dei quali erano in realtà open redirectors sul portale della banca (quindi: sì portavano adl phishing pur linkando il sito della banca, ma la URL riportata dal browser cambiava. La terza fu segnalata proprio da Marco, anche qui. > 1. Il messaggio non ha (ancora) niente a che fare con un phishing e > serve al mittente per vedere se, inviando all'indirizzo del > destinatario, si produce una notifica di errore (possibile in caso di > account eliminato, etc.); in poche parole il messaggio e' una "sonda" > utilizzata per raccogliere un po' di rimbalzi dove ce ne sono e > "ripulire" una lista da impiegare in invii successivi. Cio' e' ben piu' > palese con messaggi che sembrano provenire da sconosciuti stranieri e > che contengono... poco o nulla (ne ho ricevuto proprio oggi uno con > scritto dentro giusto "md" e sono abbastanza certo che non fosse Marco > D'Itri ;-)). Non si può escludere a priori, ma è abbastanza poco probabile. I "messaggi sonda" come quello che citi escono tipicamente da botnet, e quindi sono veicolati attraverso meccanismi e sistemi che non hanno nulla a che vedere con quelli tipicamente usati da phishers (tipicamente: webserver abusati e SMTP-AUTH "bruteforzati"). > 2. Il mittente voleva fare davvero del phishing ma ha semplicemente > omesso di includere, nel messaggio, l'URL del sito effettivamente > compromesso nel quale ospitare le pagine di raccolta dati. E' probabilmente la più probabile. > Questo sembra > abbastanza facile se qualcuno puo' confermare le voci, sempre piu' > insistenti, secondo le quali sarebbero in circolazione veri e propri > "kit di montaggio" per fare phishing. Se e' cosi', allora qualcuno di > questi pacchetti potrebbe essere finito in mano facilmente anche a > qualcuno che non sa come servirsene nel modo corretto. Non so se capiti > davvero, ma probabilmente basta l'idea per farci qualche gustosa risata > alle spalle dei phisher. Confermo in toto. > 3. Questa e' gia' molto meno probabile, ma in teoria possibile e, > quindi, merita giusto due centesimi di considerazione. Se fossero stati > i DNS di qualche provider ad essere stati temporaneamente "avvelenati" > (cache poisoning) in modo da far puntare un nome ad un indirizzo > differente dal solito, un messaggio con la URL contenente il dominio > corretto otterrebbe proprio l'effetto desiderato, cioe' quello di > carpire i dati dell'utente tramite una pagina di terzi. Si bersaglia > (poisoning+phishing) un solo provider alla volta e si raccoglie > relativamente poco, perche' l'effetto e' sicuramente di breve durata e > qualche pescione sfugge alla rete solo per aver cliccato troppo tardi > sul link-esca (sembrerebbe spiegare il 404, "se" il nome del sito era > "davvero" quello giusto); ma per chi ha gettato la rete quel poco > potrebbe comunque valere la pena. L'effetto può anche essere tutt'altro che di breve durata: oltre al cache poisoning (che comunque può essere una strada) c'è il pharming basato sulla manipolazione del client (file hosts, o meglio ancora, re-impostazione del DNS di risoluzione). > 4. Quest'ultima e' quasi da paranoia e la riporto qui a titolo di > riflessione giusto perche', a mio avviso, la tecnologia non e' sempre il > solo aspetto da considerare rilevante, quando si pensa alla sicurezza > informatica. Viviamo in un'epoca nella quale basta una notizia (falsa) > su un malore di Steve Jobs in qualche forum per gettare nel panico il > mercato azionario e provocare ad arte rimbalzi anomali, muovendo > capitali altrui come con un telecomando (gia' capitato, ma c'e' sempre > il rischio che per qualcuno sia una novita'). Per uno speculatore, una > folata di e-mail dalle quali far trarre veloci (e sbagliate) deduzioni > sulla presunta inaffidabilita' di una qualsiasi organizzazione potrebbe > essere un mezzo, magari non l'unico ma sicuramente non lecito, piuttosto > a buon mercato e di un certo quale effetto negli ambienti "giusti", per > tirare l'acqua al proprio mulino. La ritengo molto poco probabile. L'impatto sul mercato azionario di presunte vulnerabilità non confermate credo sia infinitesimo. Se ha abbastanza soldi (e azioni) da guadagnare su fluttuazioni così risibili, ci sono altri ambiti e meccanismi ben più redditizi. Aggiungo anche una quinta possibilità, e cioè che il link "malevolo" possa essere stato rimosso da un qualche sistema di filtraggio lungo la linea di propagazione del messaggio (ma di norma di questo si trova traccia nel messaggio). In linea di massima, comunque, analizzare un caso di phishing (o qualsiasi mail-abuse) in assenza di sorgente completo di un campione è più o meno come parlare del tempo e delle mezze stagioni. -- Paranoia is a disease unto itself. And may I add: the person standing next to you may not be who they appear to be, so take precaution. ----------------------------------------------------------------------------- http://bofhskull.wordpress.com/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
