Vai al contenuto

Phishing, truffatori si spacciano per l’Unicef

Attenti alle false richieste Unicef

Questo articolo vi arriva grazie alle gentili donazioni di “ressag” e “palooo”.

Da Alberto, dell’UNICEF Italia (quella vera), ricevo questa segnalazione di un tentativo di phishing in cui i delinquenti rubano soldi e codici di carte di credito tramite e-mail che si spacciano per richieste d’aiuto dell’UNICEF, come segnalato qui dall’UNICEF stessa.

L’e-mail truffaldino si presenta con un’immagine piuttosto credibile (mostrata qui sotto): infatti, dice l’UNICEF, “Il testo e l’immagine sono stati prelevati da pagine reali del sito http://www.unicef.it”, e ci si può accorgere dell’inganno soltanto per via di alcuni caratteri in cirillico (che la dicono lunga sulla provenienza di questo phishing) e delle accentate sbagliate.

Il mittente del messaggio (aiuta@dona.unicef.it) è contraffatto e il link porta a un sito (http://www.dardasha.net) che non ha nulla a che fare con l’UNICEF e porta a una pagina-modulo “del tutto simile a quello dell’UNICEF Italia”, con la differenza importante che “mentre il form dell’UNICEF richiede soltanto i dati anagrafici del donatore, e rimanda poi a un ambiente bancario (Monte Paschi di Siena) per l’acquisizione dei dati sulla carta di credito, il form in questione richiede TUTTI i dati dell’utente, inclusi numero e scadenza della carta di credito.”

Tenete sempre d’occhio la barra dell’indirizzo del vostro programma di navigazione: vi renderà più facile accorgervi quando finite in qualche posto malefico diverso da quello dove credete di essere.

Agli autori di questa truffa posso solo augurare di marcire al posto dei bambini sulla cui pelle vogliono lucrare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Phishing ticinese verso i docenti

Phishing ticinese verso i docenti

Quanto dev’essere sofisticato un attacco di phishing? Non molto

Giovedì ero in una scuola di Bellinzona per una lezione su Internet e le sue trappole sociali e tecniche. Una delle docenti mi ha mostrato una mail sospetta:

Da: “Posta elettronica scuola TI – @edu.ti.ch” <[omissis]@yahoo.com>
Data: 16 novembre 2011 20:10:06 GMT+01:00
A: [omissis]
Oggetto: Gentile utente edu.ti.ch ,
Rispondi a: [omissis]@w.cn

Gentile utente edu.ti.ch ,

Un virus DGTFX è stato rilevato nelle cartelle account di posta elettronica edu.ti.ch deve essere aggiornato a novembre i nostri protetta DGTFX nuovo anti-virus versione 2011 per prevenire danni ai nostri log di database e file importanti.

Fare clic sulla scheda risposta, riempire le colonne di sotto e rispedire o il vostro account di posta elettronica verrà interrotto immediatamente per evitare la diffusione del virus.

Nome utente:
Password:

Si noti che la password viene cifrata con chiavi RSA a 1024 bit per la vostra sicurezza password. Siamo profondamente dispiaciuto per l’inconveniente.

Il tuo account possono anche essere verificate immediatamente entro 24 ore,: informazioni non corrette possono portare a sanzioni, confisca o sospensione del tuo account.

NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l’autenticazione!

Grazie per la vostra comprensione.
Supporto tecnico / Team TSR manutenzione.
Posta elettronica scuola TI – @edu.ti.ch Servizio Clienti

Copyright © 1994-2011 edu.ti.ch ! Tutti i diritti riservati. Termini di servizio – Copyright / IP Policy – Linee guida Per ulteriori informazioni su come utilizziamo i tuoi dati leggi la nostra Politica sulla Privacy – Informazioni confidenziali

Pensavo si trattasse di un tentativo casuale di phishing e le ho consigliato di non rispondere e cestinare il messaggio, ma stamattina ho saputo dalla stampa locale (Tio.ch; Cdt.ch) che la stessa mail è stata ricevuta anche da altri docenti delle scuole ticinesi. E purtroppo qualcuno di loro ha risposto, presumibilmente regalando il proprio nome utente e la propria password ai criminali.

Non paghi del loro successo, stamattina gli spioni hanno insistito:

Da: “Posta elettronica scuola TI – @edu.ti.ch” <[omissis]>
Data: 19 novembre 2011 03:44:34 GMT+01:00
A: [omissis]
Oggetto: ultimo avvertimento
Rispondi a: [omissis]@w.cn

Cari edu.ti.ch! utente,

 Attualmente stiamo aggiornando tutte le e-mail account edu.ti.ch! del database ed e-mail centro vista conto cioè home page, migliorare la sicurezza di installazioni di nuovi virus 2011 anti-spam e anti, spazio della cassetta postale di grandi dimensioni. ! account di posta elettronica edu.ti.ch che non sono più attivi per permettere di creare più spazio per i nuovi utenti conti.

 In altri di continuare a usare i nostri servizi si è bisogno di aggiornare e ri-confermare i vostri dati account e-mail come richiesto qui di seguito:

 Indirizzo e-mail
 password
 Data di nascita:

 In caso contrario, questo sarà immediatamente rendere il tuo account disattivati ​​dal nostro database ed il servizio non sarà interrotto messaggi importanti può anche essere persa a causa della tua calo di ri-ci ha confermato i dettagli del conto. E ‘anche pertinenti, si capisce che la nostra preoccupazione principale è la sicurezza per i nostri clienti, e per la sicurezza dei propri file e dati.

 NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l’autenticazione!

 Grazie per la vostra comprensione.
 Supporto tecnico / Team TSR manutenzione.

Si pensa sempre che gli “hacker” (termine improprio, ma pazienza) usino stratagemmi ultrasofisticati, ma in realtà molto spesso basta un attacco grossolano per superare le difese dei sistemi sfruttando l’anello debole della catena: l’utente.

In questo caso alcuni docenti avrebbero dato retta a un messaggio-trappola nonostante:

1. fosse scritto in un italiano catastroficamente sgrammaticato
2. provenisse da un indirizzo che per simulare una provenienza autorevole usava soltanto un espediente banalissimo (una descrizione e nulla più, lasciando in chiaro il vero mittente e il reply-to cinese)
3. chiedesse loro dati estremamente sensibili come le password e le date di nascita.

Se questo attacco ha avuto successo, vuol dire che basta davvero poco, persino un messaggio sgangherato come questo, per ingannare gli utenti. Vuol dire anche che i docenti (e con loro molti altri utenti) hanno bisogno urgente di una sensibilizzazione all’uso di Internet e di uno strumento fondamentale come l’e-mail. Sembra proprio che manchino le basi, e questo è preoccupante.

Inoltre, se questo attacco ha colpito esclusivamente docenti, vuol dire che gli aggressori si sono impadroniti in qualche modo della rubrica dei loro indirizzi e che quindi c’è stata una compromissione della sicurezza dei servizi informatici scolastici. In tal caso non si tratterebbe di un tentativo a casaccio che per pura coincidenza ha raggiunto anche dei docenti, ma di un attacco mirato (spear phishing).

Speriamo che l’incidente serva di lezione, non solo in Canton Ticino ma anche altrove. Se qualcuno ne sa di più, mi scriva.

Questo articolo vi arriva grazie alla gentile donazione di “pilla” ed è stato aggiornato dopo la pubblicazione iniziale.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Sony bucata. Ancora

Server Sony bucato per phishing contro CartaSì

Mi faccio vivo brevemente dalla Sticcon, il raduno di appassionati di Star Trek e fantascienza di Bellaria, per segnalare che Sony è ancora nei guai, stavolta tramite la sua filiale tailandese, il cui server si è trovato ad ospitare pagine di phishing contro CartaSì, come riferisce Mikko Hypponen di F-Secure. La sicurezza di Sony è stata insomma compromessa di nuovo e ripulita solo pochi minuti fa. Complimenti, non c’è che dire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Premi a chi lotta contro il phishing

Nertcraft premia chi segnala i siti truffaldini

Oggi ho vinto un premio per aver segnalato un sito-truffa. Probabilmente il premio è poca cosa (vi saprò dire quando mi arriva a casa), ma quello che conta è il principio.

Comincio dall’inizio. Oggi, nella consueta catasta di posta, mi arriva il solito messaggio-esca di un truffatore che si spaccia per il servizio clienti di eBay e mi invita a cliccare su un link gentilmente offerto per consentirmi di correggere un presunto problema riguardante l’aggiornamento dei miei addebiti.

A dire il vero non è proprio il solito messaggio-esca: ha un minimo di originalità. Invece di mascherare il vero indirizzo del sito usando i soliti trucchetti della posta HTML, che vengono rivelati da qualsiasi programma di posta in grado di visualizzare i messaggi sotto forma di testo semplice, questo messaggio usa un altro sistema: visualizza un indirizzo che somiglia moltissimo a quello vero di eBay.

Il link proposto, infatti, era questo:
http://signin.ebay.com.ebayisapi.net/ws/SignIn.htm

L’indirizzo vero di eBay, invece, è questo:
https://signin.ebay.com/ws/eBayISAPI.dll?&#8230;

Notate l’astuzia? Il truffatore ha aperto un sito che si chiama Ebayisapi.net, che assomiglia molto alla porzione ebayisapi.dll dell’indirizzo vero di eBay, poi ha creato un sottodominio che si chiama signin.ebay.com. Il trucco è quasi perfetto, e può sfuggire a un occhio non allenato.

Un altro indizio della trappola è che il link inizia con “http” anziché con “https” e quindi non visualizza il lucchetto che indica una transazione sicura, ma anche questo non salta subito all’attenzione dell’utente preso dall’agitazione di trovarsi (apparentemente) nei guai con eBay.

Prima di cestinare quest’ennesimo tentativo di truffa (inutile segnalarli tutti, sono troppi), mi cade l’occhio sulla barra anti-phishing gratuita di Netcraft (disponibile per Firefox e Internet Explorer), che ho consigliato di installare come strumento di ulteriore protezione contro i siti-trappola:
http://www.zeusnews.it/index.php3?ar=stampa&cod=4151&numero=999

Ahi ahi, lo strumento che ho caldamente consigliato mi dice invece che il sito-trappola è sicuro: la sua sezione “Risk rating” è praticamente tutta verde, anziché luccicante di rosso come dovrebbe essere. La ragione è semplice: il sito-trappola è nuovo di zecca e come tale non è ancora stato catalogato da Netcraft.

Così provo a segnalare il sito a Netcraft, usando l’apposita funzione della barra: clicco sul logo di Netcraft, scelgo “Report” e “Report a phishing site”, ossia (l’avrete indovinato) “segnala un sito che fa phishing”.

Mi compare una pagina-modulo del sito di Netcraft, nella quale è già compilato l’indirizzo del sito-trappola. Aggiungo il mio indirizzo di e-mail e il mio nome, e una breve descrizione del motivo per cui ritengo che il sito sia una trappola (è abbastanza lampante, basta visitarlo), e invio il tutto.

Pochi minuti dopo mi arriva un e-mail da Netcraft, che mi conferma che l’indirizzo è stato confermato come sito-trappola e che sono stato il primo a segnalarlo. Come segno di ringraziamento, quelli di Netcraft mi spediranno un piccolo premio se comunico loro un indirizzo postale. Gentili!

Dopo essermi sincerato che si tratta davvero di un e-mail proveniente da Netcraft (non si sa mai), mando il mio indirizzo e ora aspetto la mia piccola ricompensa.

Ma premi a parte, la cosa interessante è la possibilità, per qualsiasi utente, di collaborare attivamente alla difesa della Rete tramite segnalazioni come questa.

Se volete, installate anche voi la barra anti-phishing (le istruzioni sono indicate nell’articolo di Zeus News): quando ricevete un e-mail dall’aria sospetta, visitate il sito indicato nel messaggio, ovviamente senza immettervi dati personali ma segnalandolo a Netcraft, come ho fatto io.

Anche se non sarete i primi e non vi porterete a casa una ricompensa, avrete la soddisfazione di contribuire a tenere pulita la Rete da questa feccia e di risparmiare truffe e raggiri agli altri utenti della Rete (perlomeno a quelli che usano la barra anti-phishing di Netcraft).

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
[IxT] Truffa Unicredit, la banca adotta una strategia geniale

[IxT] Truffa Unicredit, la banca adotta una strategia geniale

 

Colpo di scena originale e brillante nella vicenda del phishing ai danni degli utenti di Unicredit: il sito-trappola segnalato nella newsletter precedente ora rivela chiaramente di essere un falso, perché è pieno di immagini contenenti la parola “CRACKED” (“bucato”, “violato”).

Il bello è che non si tratta dell’opera di un intruso-giustiziere che ha violato il sito del truffatore e gli ha infilato un’immagine che metta in allarme i visitatori: è Unicredit stessa che ha sistemato per le feste il phisher.

Il truffatore, infatti, ha commesso il grave errore di creare l’imitazione del sito Unicredit linkando direttamente le immagini presenti sul sito della banca. Così al webmaster di Unicredit è bastato cambiare le immagini sul proprio sito per mettere fuori uso il sito-trappola. Bella mossa!

La controprova si ottiene visitando alcune pagine del sito Unicredit, come questa.

Si ottiene una schermata che contiene l’immagine con la dicitura “CRACKED”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] FLASH: Correntisti Unicredit, attenti alla truffa!

Sta dilagando un e-mail di spam che si presenta come un messaggio *apparentemente* proveniente da Unicredit e che chiede di visitare un “nuovo web server” di Unicredit.

Il messaggio è falso ed è un tentativo di truffa. Porta infatti al sito-trappola “www.unicreditsbanca.com” (notare la S in più e la terminazione “.com” invece di “.it”).

Il sito-trappola contiene una pagina Web identica a quella di Unicredit, nella quale il truffatore vuole farvi immettere i vostri codici di accesso al conto corrente.

Il sito era ancora attivo fino a pochi minuti fa ed è già segnalato come truffa dalla preziosa toolbar gratuita di Netcraft.

Anche in questo caso, come già segnalato nel Dodecalogo di sicurezza e nell’Acchiappavirus, vale la regola d’oro:
Non fidatevi dei link a banche o negozi forniti da sconosciuti. Possono essere falsi e portarvi a un sito-truffa. Usate invece i Preferiti o il copia-e-incolla, oppure digitateli a mano, in un browser sicuro.

Più in generale, NESSUNA banca degna di questo nome vi contatterà mai via e-mail chiedendo di reimmettere i vostri codici segreti. Lo stesso vale per i fornitori d’accesso a Internet e per i negozi online.

Se vi state chiedendo come fanno i truffatori a sapere che avete un conto presso Unicredit, è facile: non lo sanno. Semplicemente mandano lo stesso messaggio a milioni di destinatari, fra i quali inevitabilmente c’è qualche correntista. Tutto qui.

Questo tentativo di attacco merita una segnalazione per due ragioni principali. La prima è che non dissimula il link, ma conta sulla distrazione dell’utente; la seconda è che usa, come espediente psicologico rassicurante, un accenno al “phishing”, ossia proprio il tipo di truffa che vuole perpetrare.

Mi raccomando, quindi, occhi aperti!

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

[IxT] Truffa Unicredit, nuovo colpo di scena

Adesso il truffatore si è accorto della contromisura adottata da Unicredit, descritta nella newsletter di poco fa, e ha risistemato il proprio sito linkando immagini che risiedono sul proprio server.

Di conseguenza, il sito-trappola ora è di nuovo identico al sito autentico di Unicredit. Fate quindi molta attenzione!

La guerra fra guardie e ladri continua in tempo reale, insomma, e per ora sono in vantaggio i ladri. Per non tediarvi con ulteriori aggiornamenti, comunque, vi invito a seguire gli eventuali sviluppi della faccenda nel mio blog:
http://attivissimo.blogspot.com/

Un’ultima cosa. Ho qui (a Travacò, appena fuori Pavia, in Italia) un po’ di copie dell’Acchiappavirus che sono avanzate da una conferenza. Se a qualcuno interessa averne una o più di una a prezzo scontato (6 euro anziché 7,20 di copertina) e – ma solo per i più morbosi – una dedica, mi scriva a topone@pobox.com.

Purtroppo non ho né lo spazio fisico né il tempo di gestire una spedizione postale, perché fra un mese cambio finalmente casa e quindi vivo attorniato dagli scatoloni del trasloco, per cui dovreste passare fisicamente da queste parti (se mi scrivete, vi indico le coordinate esatte), così oltretutto possiamo anche fare due chiacchiere. Se non potete venire di persona, mandate un amico.

Comunque sia, fate in fretta, altrimenti mi porto tutti i libri in Svizzera!

Nota aggiuntiva

L’e-mail del truffatore sembra originare da unicredit@unicreditbanca.it, ma esaminando la parte normalmente nascosta dell’intestazione risulta invece provenire da indirizzi IP come 221.142.184.200 o 211.207.219.2, che si trovano in Corea (KR), o dall’indirizzo IP taiwanese 220.131.60.209. Anche il sito che ospita la trappola risulta coreano, secondo la toolbar di Netcraft: il suo indirizzo IP è 211.168.106.163.

I dati whois del sito Unicreditsbanca.com, invece, puntano all’Olanda:

Domain Name : unicreditsbanca.com

::Registrant::
Name : Foundation Men On Line
Email : leimomi01@tom.com
Address : AMSTERDAM, NH 1070 HE
Zipcode : PO Box 76613
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Administrative Contact::
Name : Foundation Men On Line
Email : leimomi01@tom.com
Address : AMSTERDAM, NH 1070 HE
Zipcode : PO Box 76613
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Technical Contact::
Name : Foundation Men On Line
Email : leimomi01@tom.com
Address : AMSTERDAM, NH 1070 HE
Zipcode : PO Box 76613
Nation : NL
Tel : +31206791556
Fax : +31206627572

::Name Servers::
nsa7.sx2xp.com
nsa6.sx2xp.com

::Dates & Status::
Created Date 2005-07-04 15:26:57 EDT
Updated Date 2005-07-04 15:26:57 EDT
Valid Date 2006-07-04 15:26:57 EDT
Status ACTIVE

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Truffa Unicredit, pericolo sventato? [UPD 1:10]

Phishing, le contromosse di Unicredit

Come segnalato da un lettore (marco.faust*****), immettendo un codice e un PIN (ovviamente fasulli) nel sito-trappola si viene portati al sito vero, dove c’è un avviso:

La informiamo che potrebbe aver fornito i propri codici di accesso ad un sito sospetto, certamente non di UniCredit Banca.

La preghiamo di contattare immediatamente il Servizio Clienti al numero 800.57.57.57 oppure disattivare il servizio (Le ricordiamo che per disattivare Banca via Internet è sufficiente digitare erroneamente per 4 volte il PIN di accesso sul sito http://www.unicreditbanca.it).

Questo non vuol dire necessariamente che il truffatore sia nei guai e che Unicredit sia riuscita a prendere il controllo del sito-trappola. È più probabile che il sito-trappola, dopo aver carpito i dati della vittima, conduca automaticamente la vittima al sito vero della banca, in modo da rendere più perfetta l’illusione. Unicredit si è probabilmente accorta di questo comportamento e l’ha utilizzato astutamente per mettere in guardia i propri utenti.

Complimenti ancora a Unicredit per l’abilità delle contromosse (e per essere vigili anche di notte). Unico neo: per ora (1:05 italiane) ci sono ancora delle immagini “CRACKED” nel sito vero, che lo fanno sembrare una trappola!

Punto Informatico ha appena pubblicato un articolo sul caso.

Aggiornamento (1:10)

Unicredit ha sistemato le pagine con le immagini sbagliate.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mondiale di calcio, affare d’oro anche per spam, truffe e phishing

Mondiale di calcio, affare d’oro anche per spam, truffe e phishing

Truffe e frodi ispirate al Mondiale 2010, attenzione

Questo articolo vi arriva grazie alle gentili donazioni di “marcello.r*” e “g.ilaria”.

Visto che i criminali informatici sono sempre alla ricerca di nuove esche per le loro truffe, non potevano mancare i tentativi di raggiro ispirati alla passione calcistica di questi giorni. Conviene quindi tenere alta la guardia anche in questi momenti di euforia e distrazione sportiva.

Symantec segnala l’invio a un gran numero di utenti di annunci di vincite a fantomatiche lotterie abbinate al campionato mondiale sudafricano, con tanto di logo della FIFA. Come consueto, le vincite verrebbero sbloccate soltanto in cambio dell’invio di denaro da parte della vittima.

Ma ci sono anche attacchi mirati che usano tecniche più subdole. Per esempio, sempre Symantec documenta sin dalla fine di marzo l’invio di mail che si ispirano ai mondiali di calcio per catturare l’attenzione e la fiducia della vittima. Uno di questi attacchi usa un vero calendario interattivo della manifestazione, redatto in formato Excel, che è stato alterato per annidarvi istruzioni infettanti. Se la vittima apre il file modificato, parte il programma Excel, che però si richiude rapidamente e si riapre mostrando il calendario interattivo; nel frattempo viene depositato un file eseguibile in una cartella dei documenti dell’utente. L’eseguibile si collega a un motore di ricerca e poi a un indirizzo IP situato in Indonesia, e a questo punto il criminale informatico ha accesso al contenuto del computer della vittima.

Il phishing (furto di credenziali) legato al Mondiale, invece, gioca sugli sponsor ufficiali della manifestazione. Particolarmente pernicioso, perché molto simile a una campagna pubblicitaria reale, è un falso invito (mostrato qui sopra) a immettere nome e cognome e le coordinate della propria carta di credito per partecipare a un concorso che mette in palio un viaggio in Sudafrica per assistere alle partite. Il bello è che il concorso esiste davvero ed è organizzato dalla Visa. Questa è la sua pagina autentica, facilissima da confondere con quella fasulla mostrata a inizio articolo:

Chi finisce nel sito-trappola e immette i propri dati li trasmette ai truffatori, con conseguenze facilmente immaginabili. La trappola è ben congegnata: restituisce addirittura un “codice di gestione” apparentemente personalizzato (ma in realtà sempre uguale) che fa sembrare ancora più autentico tutto il raggiro.

Non poteva mancare, infine, anche lo spam a tema: stanno circolando mail il cui titolo si ispira ai mondiali, solitamente con titoli e testi che creano interesse o curiosità, come “Mondiale FIFA: brutte notizie” o “Scandalo al Mondiale FIFA 2010”. Chi le riceve è fortemente tentato di aprirle: se lo fa, vi trova un allegato in formato HTML che contiene un Javascript offuscato, ossia cifrato in modo da non essere facilmente leggibile da una persona. Il Javascript racchiude ed esegue istruzioni che portano il browser dell’utente a un sito che vende prodotti farmaceutici destinati prevalentemente a un’utenza maschile e di validità tutt’altro che garantita.

Prudenza, dunque, in modo da non finire nelle grinfie degli imbroglioni della Rete che approfittano del Mondiale di calcio: sarebbe un brutto autogol.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Nuova tecnica di furto password: tabnabbing

Nuova tecnica di furto password: tabnabbing

L’attacco della scheda mutaforma

Questo articolo vi arriva grazie alle gentili donazioni di “veronicalareina” e “maurimds”.

Aza Raskin, esperto di interfacce e figlio d’arte (il padre era il celebre Jef Raskin che avviò il progetto Macintosh per Apple), ha annunciato una nuova forma di attacco informatico particolarmente subdola.

La maggior parte degli attacchi di phishing (furto di password tramite false pagine Web di autenticazione simili a quelle effettive) funziona secondo un meccanismo standard: la vittima riceve una mail che contiene un link, clicca sul link, viene quindi portata a una pagina Web gestita dall’aggressore ma identica a quella di autenticazione di un servizio usato dalla vittima (per esempio la posta di Gmail), immette il proprio nome utente e la propria password e così le regala all’aggressore.

La sequenza degli eventi è diretta e piuttosto ben conosciuta, per cui molti utenti ormai non si fanno più gabbare. Raskin, però, ha trovato una maniera per renderla molto meno evidente e l’ha chiamata tabnabbing (letteralmente, “catturare la scheda di un browser”). Funziona molto bene sugli utenti che tengono aperte molte pagine nel proprio browser, in modo che ciascuna sia in una scheda (tab).

Nel tabnabbing, la vittima clicca su un link trovato su Internet e finisce su una pagina dall’aria del tutto innocua che non gli chiede password o altro e quindi non lo mette sul chi vive, ma ha un contenuto interessante (immagini osé o altro). Così la vittima non la chiude ma passa a un’altra scheda del browser. Quello che l’utente non si aspetta è che la pagina-trappola a questo punto aspetta che nessuno la stia guardando e si trasforma: cambia la propria icona (favicon) e il proprio contenuto, diventando una pagina che richiede l’autenticazione per un servizio adoperato dall’utente: per esempio, la login di Gmail.

La vittima penserà molto probabilmente di aver lasciato aperta una scheda del servizio e crederà di essere stato scollegato dal servizio per mancato utilizzo, come avviene periodicamente, e quindi immetterà nella pagina-trappola le proprie credenziali nel tentativo di fare login, regalando così all’aggressore i propri codici. Per completare il furto con destrezza, l’aggressore può poi trasferire l’utente e le sue credenziali alla pagina vera del servizio, così l’utente farà effettivamente login e non si accorgerà che gli è stata sottratta la password di accesso.

La trappola, come nota Raskin, si basa sull’idea sbagliata che una scheda sia immutabile e usa il forte richiamo visivo di un’icona. Per dimostrarne l’efficacia, ha predisposto una dimostrazione innocua: andate qui nel sito di Raskin e poi aprite un’altra scheda del browser, restando sulla nuova scheda per qualche secondo. Vedrete che la scheda nascosta, che prima ospitava la pagina di Raskin, cambierà icona e contenuto, diventando la pagina di login di Gmail. Il trucco funziona con quasi tutti i browser più diffusi. Raskin lo dimostra in un video:

In questa dimostrazione volutamente blanda, l’utente può accorgersi dell’inganno notando che l’URL nella barra dell’indirizzo non è quello giusto. Ma quanti lo faranno? Oltretutto esistono vari modi per mascherare anche l’URL.

La soluzione migliore contro questo tipo di trappola è aprire sempre una scheda nuova per fare login a qualunque servizio e immettere manualmente l’indirizzo oppure prenderlo dai Preferiti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.