giovedì 19 dicembre 2013

Phishing Carrefour via SMS. Un nuovo dominio attivo dal 16 dicembre. Uso di protocollo HTTPS (18 - 19 dicembre)

Ritorno brevemente sul precedente post per evidenziare una particolarita' non molto diffusa nell'hosting di cloni di phishing.
Di solito quando si effettua una transazione utilizzando una connessione internet l'assenza di utilizzo del protocollo  HTTPS ( piu' semplicemente il classico simbolo del 'lucchetto' che compare vicino all URL nel browser) ci dovrebbe far nascere piu' di un dubbio sull'autenticita' della pagina di login  e spingerci a verificare se il sito che stiamo visualizzando sia quello corretto e legittimo.
Questa volta sembra che chi gestisce il fake sito Carrefour, abbia cercato in tutti i modi di dare una parvenza di legalita' ' al phishing prprio per evitare che chi fornisce i dati di pagamento abbia qualche dubbio sull'autenticita' del sito.
Infatti la sequenza delle pagine clone, dopo l'iniziale uso di connessione gestita da protocollo HTTP


vede  le pagine relative al pagamento tramite carta di credito e seguenti passare a HTTPS


con la presenza del relativo certificato di sicurezza


cosa che sicuramente potrebbe ingannare chi accedesse  al clone di phishing facendogli pensare di essere su sito legittimo ed affidabile.

Come si nota anche da una analisi Fiddler si passa infatti dopo le 2 schermate iniziali a sottodominio creato su dominio serversicuro.it, su cui e' attivo appunto HTTPS


Serversicuro.it e' un dominio legittimo gestito da hoster web, che tramite l'assegnazione di opportuni sottodomini, garantisce la sicurezza  di transazioni specialmente legate al commercio elettronico.
Anche se abbiamo visto in passato dei casi in cui una connessione sicura HTTPS e' stata usata per phishing, ad esempio ai danni di posteIT, capita assai raramente di vedere online siti di phishing su HTTPS e questo potrebbe contribuire a creare un phishing ancora piu' ingannevole del solito

Edgar

Nessun commento: