Carte di credito. Sono in aumento le frodi online. 'Third report on card fraud' Report della banca Centrale Europea (BCE) pubblicato oggi. (25 febbraio)

Attraverso un comunicato stampa che potete leggere QUI ed un file PDF scaricabile QUI, la BCE informa sulla tendenza all'aumento delle frodi ai danni di chi utilizza pagamenti attraverso l'uso di carta di credito.

Da quanto si legge sul rapporto BCE, che prende in esame le frodi ai danni dei sistemi di pagamento elettronici nell'Unione Europea (incluse anche le nazioni di Islanda, Liechtenstein, Monaco, Norvegia e Svizzera) nel 2012 il 60% del valore delle frodi e' stato generato da pagamenti con carta non presente, vale a dire pagamenti via internet, posta o telefono, il 23% da operazioni al point-of-sale (POS) e il 17% da transazioni a sportelli automatici (ATM).

Il report BCE evidenzia anche come nel 2012 ci sia stato per la prima volta dal 2008, un incremento delle frodi, dovuto soprattutto al boom di transazioni finanziarie su Internet, come si nota anche dal grafico presente nel report:

(fonte grafico 'Third report on card fraud' BCE)

Per ulteriori dettagli e' possibile scaricare il report da QUI in formato PDF.

Edgar

Pharmacy Hacking su siti IT. Aggiornamenti.(25 febbraio)

Sempre molto elevata la presenza di siti IT compromessi con inclusione di codici di Pharmacy Hacking.

Ricordo che come Pharmacy Hacking si intende quel genere di hacking che colpisce siti legittimi che sono compromessi attraverso una inclusione di codici che generano pagine web, quasi sempre quando il sito e' visitato dal bot del motore di ricerca,  con riferimenti di testo e links anche automatici (redirects), a siti di vendita online di medicinali (soprattutto viagra e derivati).

Lo scopo e' quello di creare nei risultati di una ricerca in rete, il maggior numero di riferimenti con links  che puntino a siti di Pharmacy (vendita online soprattutto di viagra e derivati)

Una attuale ricerca attraverso la scansione di un unico IP su

mostra la presenza di diversi siti IT (anche se su server austriaco ma geolocalizzato vicino al confine italiano) che includono codici di Pharmacy

Si tratta ad esempio di sito comunale che mostra source con diversi riferimenti a viagra e derivati

ma il report Autoit evidenzia anche di altri siti IT:

Nel dettaglio abbiamo ad esempio questo sito IT che mostra, quando l''user agent' e quello relativo a Google Bot, numerosi riferimenti a Pharmacy.(notare la pagina con testo di pharmacy ed il source della stessa)

La cosa interessante e' come i link presenti, ad esempio sul sito comunale visto prima, puntino sia ad altri siti stranieri con ulteriori riferimenti a pharmacy ma anche a siti italiani compromessi e hostati su differenti servers.

Ecco una rassegna dei links ottenuti analizzando una pagina web del sito comunale

e che puntano a 

ma anche ....

La stessa analisi rivela pure links a siti  IT

e

tra cui uno compromesso da Pharmacy Hacking ed appartenente a istituzione culturale IT che produce mostre, convegni ed eventi di arte, design, architettura,  ecc.... (da notare (sempre se l'user agent e' Google Bot) un chiaro riferimento a viagra e derivati ..)

Inoltre, sempre nel caso esaminato del sito comunale compromesso, abbiamo anche links che non parrebbero essere collegati a Pharmacy ma piuttosto a siti di  giochi di azzardo online 

E' infatti abbastanza normale trovare insieme a Pharmacy Hacking anche inclusioni di codici che producono links a siti di dubbia affidabilita' che propongono vendita di prodotti contraffatti, giochi d'azzardo online e siti con contenuti porno a pagamento.

Edgar

Fantasia dei phishers nella creazione di layouts di mails ingannevoli (24 febbraio)

Segnalata in rete una mail di phishing ai danni di BCC che e' interessante analizzare per la particolare cura posta nella creazione di un fake accesso con password al form allegato.

Questo un dettaglio del source mail 

che mostra come si venga invitati a 'scaricare e compilare il modulo allegato....' che e' stato protetto da password, il tutto naturalmente per rendere piu' credibile il phishing

Questo il sorgente dell'allegato 

dove si nota il codice di richiesta password che propone questo form

ed una parte di codice che possiamo definire come offuscato.

La password da digitare non e' altro che la chiave alfanumerica che permette  di decriptare il codice offuscato mostrando il form di richiesta dati in chiaro.

Se infatti immettiamo una password qualunque otterremo 

mentre con quella fornita in mail avremo

Si tratta di un layout di form che acquisisce i dati personali e di carta di credito attraverso un codice php ospitato su 

e che redirige poi sul legittimo sito BCC.

Niente di nuovo quindi su come e ' gestito il phishing ma interessante il fatto che si sfrutti la tecnica del codice offuscato non solo per evitare eventuali filtri antispam ma anche per creare una mail ingannevole che si presenta con form di login protetto da password. 

Edgar

Phishing PosteIT.'Sei Stati Selezionato Per Un Pemio!' Un layout di mail particolare (24 febbraio)

Di bonus e premi online come contenuti di mails di phishing abbiamo numerosi esempi anche nei post pubblicati sul blog.

Questa l'odierna mail di phishing  PosteIT 

 con header

e che, utilizzando ancora una volta la proposta di un premio, presenta un layout leggermente diverso dal solito:

Non abbiamo infatti un messaggio testuale ma solo un titolo al top della mail 'Benvenuto nel portale dei servizi Monetaonline Titolari' che parrebbe essere stato creato attraverso un 'copia e incolla' dal sito di banca italiana online:

Da notare anche alcuni errori nel testo dell'oggetto mail 'Sei Stati Selezionato Per Un Pemio!' 

In ogni caso, a parte il riferimento a Monetaonline, gli altri testi cliccabili per selezionare uno dei regali cosi' come il sito clone a cui si viene rediretti, riguardano clone PosteIT

Il dominio dal nome ingannevole che  ospita il fake login PosteIT e' stato creato da poco

Sempre sul medesimo dominio abbiamo questa pagina che parrebbe essere relativa a phishing PosteIT datato:

cosa che confermerebbe l'utilizzo da parte dei phishers di kits di phishing non recenti.

Edgar

Pharmacy Hacking. Aggiornamenti.(18 febbraio)

Sempre numerosi i siti IT che sono compromessi allo scopo di supportare azioni di distribuzione do prodotti medicinali online.

Si tratta di azioni di Pharmacy Hacking che sono ottenute includendo in siti legittimi codici che producono, quando il sito e' visitato dal bot del motore di ricerca, links e riferimenti testuali a vendita di viagra e derivati.

La ricerca odierna attraverso Google (notare l'indicizzazione recente da parte del motore di ricerca) vede un sito comunale con riferimenti nel source a pharmacy.

Poiche', di solito, l'inclusione di codici di  pharmacy hacking non si limita ad un solo sito per IP ma viene spesso estesa a diversi siti hostati sul medesimo server proviamo ad effettuare una ricerca filtrando sia per parola chiave di pharmacy ma anche per IP.

Questa cosa e' ad esempio possibile su alcuni motori di ricerca (script Autoit)

ottenendo 

Come si vede abbiamo alcuni siti su stesso IP che appaiono contenere riferimenti a viagra e derivati.

A questo punto proviamo, per estendere la ricerca, a scaricare i sources dei siti presenti sull'IP visto ora, generando attraverso altro script Autoit

 questo  report html filtrato per parola chiave 'viagra':

Come si vede ci sono almeno 3 siti di P.A. Italiana che, attualmente, includono nel codice sorgente delle pagine scaricate, sia numerosi riferimenti testuali che links a vendita di prodotti medicinali online

parte in lingua italiana come

con presenza di links ad altro sito di P.A. hostato su differente IP e che a sua volta mostra sources con numerosi links a pharmacy.

Una analisi in dettaglio dei links presenti vede anche quelli a sito compromesso che parrebbe occuparsi di federalismo fiscale.

Ecco una pagina di esempio ottenuta, stranamente, anche senza forzare un User Agent attivo come Google Bot.

Di solito infatti le pagine sono create solo quando il motore di ricerca visita il sito compromesso e non vengono visualizzate ad un normale visitatore. 

Particolare e' il testo che si viene a creare con un mix di link e di frasi senza senso ed al limite del comico.

Edgar

Inviato dal mio iphone. Attuale distribuzione malware attraverso mail con fake immagine allegata (16 febbraio)

Gli allegati in mail sono stati, ed in parte lo sono ancora, una delle maggiori fonti di diffusione del malware.

Se si scorre una ricerca che interessi la fine degli anni 90 e i primi del 2000 si trovano info interessanti al riguardo di vere e proprie 'campagne' di diffusione malware attraverso un notevole spam di messaggi mail che allegavano contenuti pericolosi sotto forma di eseguibili per lo piu' con files dotati di doppia estensione.

I file .PIF trovavano il loro utilizzo al momento della comparsa Windows quando il “nuovo” sistema operativo di allora avrebbe dovuto eseguire i 'vecchi' programmi DOS.

Nel file PIF venivano inserite istruzioni utili a Windows per eseguire una applicazione DOS in ambiente Windows.(uso della RAM, percorso al file eseguibile, tipo di finestra video ecc...).

Purtroppo per gli utenti Windows, anche se il formato PIF non contiene alcun codice eseguibile, Windows gestisce l'estensione PIF come un qualsiasi eseguibile .exe e questo ha creato parecchi problemi al riguardo della diffusione di virus, in quanto cliccando su un file .PIF lo stesso, se conteneva un codice eseguibile malware, andava in run con tutte le conseguenze del caso.

Ecco l'odierna mail 

che presenta il 'consueto' allegato in formato zip

Come sempre si tratta di un tentativo di  far cliccare sul falso file immagine attraverso anche la presentazione di testo ingannevole come “inviato dal mio iphone” e nome del file estratto dallo zip come “sexy photo”.

L'header mai presenta 

Il contenuto del file zip e' un file dalla doppia estensione jpeg.pif

che VT vede come

con basso riconoscimento

In definitiva, quindi, niente di nuovo come distribuzione malware ma una mail che, nella sua semplicita', potrebbe risultar ancora una volta ingannevole.

Edgar

Siti IT compromessi (15 febbraio)

Ecco una, molto parziale, rassegna di siti su dominio IT compromessi sia con l'inclusione di pagina di hacking ma anche in alcuni casi con la sostituzione della homepage del sito colpito.

Si tratta di un report generato con una versione aggiornata di tool scritto  in Autoit che mostra come, quasi sempre,  sul medesimo IP troviamo piu' di un sito compromesso.

Ecco i dettagli di una scansione eseguita in data odierna, al momento di scrivere il post:

Qui vediamo su stesso IP sia un sito .GOV.IT con la homepage sostituita sia un sito con inclusa pagina di hacking

Stessa cosa per questo dettaglio del report con due siti  su stesso IP sia con azione di defacement che di inclusione di pagina.

Inoltre un altro sito .GOV.IT con la home sostituita da pagina di hacking

Altra azione di defacement ai danni di 3 siti IT sul medesimo IP

mentre in questo dettaglio abbiamo 4 siti sul medesimo IP con ancora una azione di defacement.

Da notare come  per uno dei 'response header' ci sia data diversa ed anche la pagina di hacking proposta dallo screenshot, pur col medesimo layout, mostri differente immagine.

Edgar

Siti IT compromessi (12 febbraio)

Ecco un report eseguito con tool Autoit che mostra come sul medesimo IP 

troviamo due siti su dominio .IT.GOV di Comune ligure, che mostrano differenti personaggi responsabili di una azione di defacement con sostituzione della legittima  homepage

Questa invece una inclusione di semplice codice PHP all'interno di numerosi siti IT (circa 30)

hostati su 

Edgar