Nel post odierno riprendiamo l’analisi di un attacco phishing realizzata da un’esperta del portale DarkReadings.com. Gli attacchi phishing sono probabilmente i più semplici e remunerativi da effettuare perché richiedono uno sforzo minimo da parte del malintenzionato: nessuna scansione del perimetro di sicurezza, nessuno strumento avanzato per il “cracking” delle password e di altre misure di protezione… bastano delle semplici credenziali rubate per accedere al sistema e trafugare dati sensibili o altre informazioni preziose.
Il messaggio che vuole trasmettere il contributo è chiaro: l’adeguata formazione alla sicurezza del personale è importantissima è può alzare notevolmente le probabilità che gli attacchi più basilari, come quello analizzato qui di seguito, non vadano a buon fine.
Il canale privilegiato dall’hacker è quasi sempre quello della posta elettronica. E’ qui che entrano in gioco le variabili in grado di portare al successo la sortita del malintenzionato: che si tratti di una banale disattenzione (apertura immediata dell’allegato, un gesto che potrebbe essere quasi automatico per molti) o di totale inconsapevolezza (il non riconoscere la natura malevola dell’email o il dare per scontato che il messaggio sia sicuro perché “analizzato” dall’antivirus di turno), bastano pochi secondi per compromettere le credenziali.
Come funziona la pagina malevola creata dall’hacker
L’esperta ha aperto il link malevolo presente nell’email raggiungendo la pagina di atterraggio (landing page) appositamente “confezionata” dall’hacker. Come è possibile vedere dall’immagine, il sito emula in tutto e per tutto l’interfaccia di login dell’ecosistema Microsoft:

In alto a sinistra è visibile il lucchetto verde dei siti che utilizzano un certificato SSL: in realtà quest’ultimo non è garanzia di attendibilità. Il lunghissimo e complesso indirizzo mostrato di fianco dovrebbe infatti fare sorgere più di un dubbio all’utente.
Il malintenzionato ha lasciato libero accesso ad una serie di cartelle e file presenti nell’homepage (una svista? O semplicemente non voleva perdere troppo tempo sulla pagina?) che sono stati quindi analizzati dall’esperta. L’exploit, la struttura portante del sito di phishing, è racchiuso in un archivio compresso contenente vari file con estensione .PHP, ognuno con una funzione ben precisa:
- Action.php entra in gioco quando la vittima invia le proprie credenziali. Il codice effettua immediatamente la geolocalizzazione dell’indirizzo IP registrando data e ora dell’accesso, browser utilizzato e naturalmente i dati sensibili (username, numero di telefono se presente, password).
- Block.php è ugualmente interessante perché funge sostanzialmente da filtro per il traffico in arrivo sulla pagina. Il peggior nemico di qualsiasi phisher sono i software di sicurezza e le compagnie che si occupano di individuare e bloccare (blacklisting) i domini e le pagine ritenute pericolose. La funzione del codice inserito in questo file è proprio quella di nascondere la pagina a visitatori scomodi come “sucuri“, “google”, “phishtank”. Se vengono quindi individuate delle specifiche parole chiave, block.php provvede semplicemente a visualizzare una pagina errore 404 e non la fasulla procedura di login (l’esperta afferma che gli indirizzi IP bloccati dal portale sono oltre 500).
L’analisi dell’email malevola ha infine rivelato che sono state impiegate due differenti caselle di posta elettronica: una per effettuare l’invio delle email ai potenziali obiettivi, in questo caso un indirizzo già noto agli addetti ai lavori ed associato a molteplici kit di phishing (più di un centinaio); un’altra per ricevere i dati rubati, opportunamente rinominata in base al nome della campagna per non svelare l’identità del criminale.
Fonte: 1.