InternetPost.it

Chiamaci: 055 3031 2626
Scopri le nostre offerte: www.hostingsolutions.it
Richiedi informazioni: info@hostingsolutions.it

Cerca dominio:
  • Home
    • HostingSolutions.it
  • Guide
    • Fatturazione Elettronica
    • Posta Elettronica
    • Hosting, Domini e Cloud
    • WordPress ed altri CMS
    • E-commerce, Marketing e SEO
    • Programmazione e Progettazione Web
Sei in HOME > Internet (Cloud, Software, Sicurezza) > Phishing: l’analisi di classico furto delle credenziali

Phishing: l’analisi di classico furto delle credenziali

Nel post odierno riprendiamo l’analisi di un attacco phishing realizzata da un’esperta del portale DarkReadings.com. Gli attacchi phishing sono probabilmente i più semplici e remunerativi da effettuare perché richiedono uno sforzo minimo da parte del malintenzionato: nessuna scansione del perimetro di sicurezza, nessuno strumento avanzato per il “cracking” delle password e di altre misure di protezione… bastano delle semplici credenziali rubate per accedere al sistema e trafugare dati sensibili o altre informazioni preziose.

Il messaggio che vuole trasmettere il contributo è chiaro: l’adeguata formazione alla sicurezza del personale è importantissima è può alzare notevolmente le probabilità che gli attacchi più basilari, come quello analizzato qui di seguito, non vadano a buon fine.

Il canale privilegiato dall’hacker è quasi sempre quello della posta elettronica. E’ qui che entrano in gioco le variabili in grado di portare al successo la sortita del malintenzionato: che si tratti di una banale disattenzione (apertura immediata dell’allegato, un gesto che potrebbe essere quasi automatico per molti) o di totale inconsapevolezza (il non riconoscere la natura malevola dell’email o il dare per scontato che il messaggio sia sicuro perché “analizzato” dall’antivirus di turno), bastano pochi secondi per compromettere le credenziali.

Come funziona la pagina malevola creata dall’hacker

L’esperta ha aperto il link malevolo presente nell’email raggiungendo la pagina di atterraggio (landing page) appositamente “confezionata” dall’hacker. Come è possibile vedere dall’immagine, il sito emula in tutto e per tutto l’interfaccia di login dell’ecosistema Microsoft:

Phishing 1

In alto a sinistra è visibile il lucchetto verde dei siti che utilizzano un certificato SSL: in realtà quest’ultimo non è garanzia di attendibilità. Il lunghissimo e complesso indirizzo mostrato di fianco dovrebbe infatti fare sorgere più di un dubbio all’utente.

Il malintenzionato ha lasciato libero accesso ad una serie di cartelle e file presenti nell’homepage (una svista? O semplicemente non voleva perdere troppo tempo sulla pagina?)  che sono stati quindi analizzati dall’esperta. L’exploit, la struttura portante del sito di phishing, è racchiuso in un archivio compresso contenente vari file con estensione .PHP, ognuno con una funzione ben precisa:

  • Action.php entra in gioco quando la vittima invia le proprie credenziali. Il codice effettua immediatamente la geolocalizzazione dell’indirizzo IP registrando data e ora dell’accesso, browser utilizzato e naturalmente i dati sensibili (username, numero di telefono se presente, password).
  • Block.php è ugualmente interessante perché funge sostanzialmente da filtro per il traffico in arrivo sulla pagina. Il peggior nemico di qualsiasi phisher sono i software di sicurezza e le compagnie che si occupano di individuare e bloccare (blacklisting) i domini e le pagine ritenute pericolose. La funzione del codice inserito in questo file è proprio quella di nascondere la pagina a visitatori scomodi come “sucuri“, “google”, “phishtank”. Se vengono quindi individuate delle specifiche parole chiave, block.php provvede semplicemente a visualizzare una pagina errore 404 e non la fasulla procedura di login (l’esperta afferma che gli indirizzi IP bloccati dal portale sono oltre 500).

L’analisi dell’email malevola ha infine rivelato che sono state impiegate due differenti caselle di posta elettronica: una per effettuare l’invio delle email ai potenziali obiettivi, in questo caso un indirizzo già noto agli addetti ai lavori ed associato a molteplici kit di phishing (più di un centinaio); un’altra per ricevere i dati rubati, opportunamente rinominata in base al nome della campagna per non svelare l’identità del criminale.

Fonte: 1.

 

13/05/2019 - In: Internet (Cloud, Software, Sicurezza) - HostingSolutions.it

FacebookTwitterYoutubeRSS

Internet Post e Hosting Solutions


:: Una storia imprenditoriale iniziata nel 1999.
:: Perchè un blog.

Hosting Solutions per Sea Shepherd

Hosting Solutions per Sea Shepherd

Guide più consultate

  • Come installare Prestashop via FTP senza difficoltà
  • Come verificare se un sito è mobile friendly – 1
  • WooCommerce: aumentare le vendite di Natale con le Gift Card
  • Cambiare dominio preservando la SEO – 2
  • SEO: quali fattori determinano la qualità di un link – 2

Articoli Consigliati

Hosting Solutions ottiene la Certificazione Tier IV

Un importante aggiornamento sul nuovo Data Center di Firenze di Hosting Solutions.

Hosting Solutions: disponibile anche il servizio di Firma Digitale Remota

Hosting Solutions aggiunge ai propri Trust Services anche la Firma Digitale, un utile strumento per firmare comodamente i documenti utilizzando il proprio smartphone.

Presente e futuro della Digitalizzazione in Italia: intervista ad Alessio Fanfano, CSO di Hosting Solutions

Un’interessante intervista ad Alessio Fanfano, CSO di Hosting Solutions, sul presente ed il futuro della digitalizzazione in Italia e sull’anno appena trascorso.

Hosting Solutions: formazione ed assistenza

La formazione e l’aggiornamento costanti sono un fattore fondamentale per un Service Provider. Vediamo le linee guida di Hosting Solutions in questi ambiti.

Agenzia per l'Italia digitale

Certificazioni e Standard: CSP accreditato AgID

Le certificazioni rappresentano un elemento di cruciale importanza per le aziende ICT. Vediamo una panoramica sulla qualifica di Cloud Service Provider accreditato presso AgID.

Articoli più letti

  • Come funziona Internet | Rete e protocolli
  • Gmail: posta elettronica da un vecchio a un nuovo account – IV parte
  • WooCommerce Customizer: come personalizzare il proprio sito e-commerce in modo semplice
  • Come mostrare l’anteprima link in WordPress
  • WordPress: aggiungere un login al proprio sito.
  • WooCommerce: come aggiungere un filtro prodotti
  • Data center e terremoti: alcune norme di sicurezza
  • WooCommerce: come aggiungere badge ai prodotti
  • La posta elettronica di Libero con ip in blacklist, alcuni consigli ai nostri clienti e lettori
  • Quante tipologie di cloud computing esistono?

Ultime novità da Hosting Solutions

Hosting Solutions: la Newsletter di Marzo 2023

Hosting Solutions: la Newsletter di Gennaio 2023

Hosting Solutions: la Newsletter di Novembre 2022

Internetpost.it, il blog di Hosting Solutions | Copyright © 1999 - 2020 Genesys Informatica Srl. P.iva 02002750483

Sede: Via dei Cattani 224 / 18 - 50145, Firenze (FI) | Telefono: 055.30312626 - Fax: 055.30312210

Privacy | Mappa Sito