"Analisi" di un pishing

[Uno]

Ho messo da parte la mail da qualche giorno perchè volevo provare a vedere un pò di cose, purtroppo il sito civetta è già sparito e non ho fatto neanche in tempo a vederlo.

Ecco la mail che mi è arrivata (metto la versione normale ed il sorgente)

Caro cliente,


Il Servizio Tecnico di Poste Italiane sta eseguendo un aggiornamento
programmato del software al fine di migliorare la qualita' dei servizi
bancari. Le chiediamo di avviare la procedura di conferma dei dati del
Cliente. A questo scopo, La preghiamo di cliccare sul link che troverà
alla fine di questo messaggio.



Per l'aggiornamento si prega di cliccare qui e immettere le
informazioni necessarie.


Il sistema automaticamente, dopo aver ricevuto la documentazione e averne
verificato la completezza e la veridicità, provvederà immediatamente a
riattivare il suo account. Grazie della collaborazione lo staff di Poste.it.


Cordiali saluti,
© Poste italiane
Contattaci | Privacy | Mappa | Trasparenza bancaria | Forniture e gare | Scadenzario fiscale | © Poste italiane 2009

Maschero i dati del mio indirizzo mail e del mio server e anche di quel povero cristo di cui hanno usato il dominio (e forse anche il pc, visto che passa per il cliente The Bat, a meno che abbiano usato solo l'identificativo di tale client)

p, li { white-space: pre-wrap; } Return-Path: <kqgrtpi@XXXXXXXX.com>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on server1.XXXXXX.XXX
X-Spam-Level: ****
X-Spam-Status: No, score=4.6 required=5.0 tests=BAYES_50,HTML_IMAGE_ONLY_24,
HTML_MESSAGE,MIME_HTML_ONLY,RCVD_IN_PBL,RCVD_IN_SO RBS_WEB,RDNS_NONE
autolearn=no version=3.2.5
X-Original-To: XXXXXX@XXXXXX.XXX
Delivered-To: web4_XXXXXXXXXX@server1.XXXXXXX.XXX
Received: from [85.110.98.227] (unknown [85.110.98.227])
by server1.XXXXX.XXX (Postfix) with ESMTP id 9A61F2A58BF
for <XXXXX@XXXXXX.XXX>; Thu, 6 Aug 2009 2009 14 +0200 (CEST)
Received: from 85.110.98.227 by XXXXXXX.com.inbound15.mxlogic.net; Thu, 6 Aug 2009 2009 11 +0200
Date: Thu, 6 Aug 2009 2009 11 +0200
From: "Marva Patterson" <kqgrtpi@XXXXXXXXX.com>
X-Mailer: The Bat! (v3.60.07) Educational
Reply-To: kqgrtpi@XXXXXXXXX.com
X-Priority: 3 (Normal)
Message-ID: <658563778.35305229887561@XXXXXXXXX.com>
To: XXXXXXXX@XXXXXX.XXX
Subject: Aggiorna il tuo conto on-line di Poste Italiane
MIME-Version: 1.0
Content-Type: text/html;
charset=iso-8859-2
Content-Transfer-Encoding: 7bit
Status: R
X-Status: N
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY>

<!-- <DEFANGED_STYLE type="text/css">
<!--
style24 {
font-family: Verdana, Arial, Helvetica, sans-serif;
font-size: 14px;
}
style26 {
color: #000099;
font-weight: bold;
}
style28 {font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 9px; }
style30 {color: #000000; font-weight: bold; }
style31 {color: #000000}
-->
--> </DEFANGED_STYLE>
<p><img src="http://www.poste.it/images/logoposte_home.jpg" alt="S" width="254" height="55" /></p>
<p>&nbsp;</p>
<pre class="style24"><span class="style31"> Caro cliente,</span><br>
</pre>
<pre class="style24"> Il Servizio Tecnico di Poste Italiane sta eseguendo un aggiornamento
programmato del software al fine di migliorare la qualita' dei servizi
bancari. Le chiediamo di avviare la procedura di conferma dei dati del
Cliente. A questo scopo, La preghiamo di cliccare sul link che trover&agrave;
alla fine di questo messaggio.



Per l'aggiornamento si prega di <a href="http://grumaxx.com" target="_blank"><span class="style26">cliccare qui</span></a><span class="style26"></span> e immettere le
informazioni necessarie.

</pre>

<pre class="style24"> Il sistema automaticamente, dopo aver ricevuto la documentazione e averne
verificato la completezza e la veridicit&agrave;, provveder&agrave; immediatamente a
riattivare il suo account. Grazie della collaborazione lo staff di Poste.it.
<br> <br><span class="style30"> </span><span class="style31">Cordiali saluti,</span><span class="style30"><br /> </span>&copy; Poste italiane</pre>
<p class="style28"><a href="http://www.poste.it/azienda/posterisponde/" title="Contattaci">Contattaci</a> | <a href="http://www.poste.it/azienda/policy.shtml" title="Privacy">Privacy</a> | <a href="http://www.poste.it/online/mappa.shtml" title="Mappa">Mappa</a> | <a href="http://www.poste.it/bancoposta/trasparenza/index.shtml" title="Trasparenza bancaria">Trasparenza bancaria</a> | <a href="http://www.poste.it/azienda/fornituregarealloggi.shtml" title="Forniture e gare">Forniture e gare</a> | <a href="http://www.poste.it/azienda/ufficipostali/scadenzario.shtml" title="Scadenzario fiscale">Scadenzario fiscale</a> | &copy; Poste italiane 2009 </p>



</BODY></HTML>

Quindi come possiamo vedere questa fantomatica mail delle poste italiane ci manderebbe ad aggiornare i nostri dati sul sito che probabilmente c'era su http://grumaxx.com e che probabilmente simulava esteticamente il sito di poste italiane.
Per chi non fosse pratico un minimo dico qualcosa che sicuramente sarà banale ai più:
Primo sulla mail non ci sarebbe stato "gentile cliente" ma il mio nome e cognome, perchè poste italiane lo conosce, questi, che poi vedremo cinesi, no.
Questo fa già capire al volo che c'è qualcosa di strano, prima ancora di verificare tutto il resto.
Secondo ci vuole poco a vedere la barra degli indirizzi dove ci viene chiesto di aggiornare i nostri dati, inoltre in quella pagina i nostri dati sicuramente non ci sarebbero stati (anche se non ho visto, so per certo che non potevano averli, se no non avrebbero messo in piedi tutto il teatrino) mentre sul sito di poste italiane sicuramente ci sono se ci chiedono una cosa del genere.
Terzo guardando i sorgenti scopriamo che la mail ci sarebbe stata inviata (non lo è realmente) da qualcuno che usa un dominio che con poste italiane non ha nulla a che fare.

Andiamo avanti, ci mandano su http://grumaxx.com, un whois ci dice

Domain Name: GRUMAXX.COM
Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
Whois Server: whois.melbourneit.com
Referral URL: Domain Name Registration, Search Engine Marketing, Web Hosting & Design
Name Server: NS1.GIBUHQAR.COM
Name Server: NS2.GIBUHQAR.COM
Name Server: NS3.GIBUHQAR.COM
Name Server: NS4.GIBUHQAR.COM
Status: ok
Updated Date: 06-aug-2009
Creation Date: 06-aug-2009
Expiration Date: 06-aug-2010

Domain Name.......... grumaxx.com
Creation Date........ 2009-08-06
Registration Date.... 2009-08-06
Expiry Date.......... 2010-08-06
Organisation Name.... Dan Miller
Organisation Address. PO Box 61359
Organisation Address.
Organisation Address. Sunnyvale
Organisation Address. 94088
Organisation Address. CA
Organisation Address. US

Admin Name........... Admin PrivateRegContact
Admin Address........ PO Box 61359
Admin Address........
Admin Address........ Sunnyvale
Admin Address........ 94088
Admin Address........ CA
Admin Address........ US
Admin Email.......... contact@myprivateregistration.com
Admin Phone.......... +1.5105952002
Admin Fax............

Tech Name............ TECH PrivateRegContact
Tech Address......... PO Box 61359
Tech Address.........
Tech Address......... Sunnyvale
Tech Address......... 94088
Tech Address......... CA
Tech Address......... US
Tech Email........... contact@myprivateregistration.com
Tech Phone........... +1.5105952002
Tech Fax.............
Name Server.......... ns1.gibuhqar.com
Name Server.......... ns2.gibuhqar.com
Name Server.......... ns3.gibuhqar.com
Name Server.......... ns4.gibuhqar.com

Mentre provando a caricare il sito sul browser non si carica (opendns che io uso mi dice subito che

Nameserver trace for grumaxx.com:

• Looking for who is responsible for root zone and followed h.root-servers.net.
• Looking for who is responsible for com and followed f.gtld-servers.net.
• Looking for who is responsible for grumaxx.com and followed ns1.gibuhqar.com.

Nameservers for grumaxx.com:

• ns1.gibuhqar.com returned (SERVFAIL)
• ns2.gibuhqar.com returned (SERVFAIL)
• ns3.gibuhqar.com returned (SERVFAIL)
• ns4.gibuhqar.com returned (SERVFAIL)

Il post è già lungo e mi fermo, ma mi affascina (anche se penso che sta gente potrebbe guadagnare bene se lo stesso tempo ed ingegno lo spendesse per far cose legali) vedere alcuni particolari, tipo le mail di contatto (che mi fa pensare che bisognerebbe usare un altro tipo di validazione, tipo bayesiana e/o su vocabolario, per alcuni servizi) etc... poi ho continuato con il whois sui nameserver (da li escono dei cinesi anche se potrebbero non c'entrare nulla) gibuhqar.com, viene fuori che questo è a sua volta con un nameserver ns1.dns.com.cn e qui mi fermo perchè non capisco il cinese e quello probabilmente è un comune provider cinese

Ah, due ultime cose, notare che spamassassin ha già un punteggio di 4.6, vuol dire che quando è arrivata a me era già un pò che girava e stava quasi per essere messa in black list.
Le date di registrazione dei domini hanno poco tempo ed i domini sono già bruciati.... chissà che mole di domini gira su questi sporchi affari....

[usu]

Firefox 3.5 e Safari 4 cercando di visitare http://grumaxx.com mi avvisano che è un sito di phishing, strano che IE8 non dica niente

Comunque se gli utenti tenessero aggiornati i propri sistemi molte di queste truffe e virus in generale si eviterebbero in partenza

[Uno]

Firefox 3.5 e Safari 4 cercando di visitare http://grumaxx.com mi avvisano che è un sito di phishing, strano che IE8 non dica niente

Ah però.... con opendns non ci arrivo neanche (si vede che sono più aggiornati), probabilmente i tuoi dns ancora cercano l'indirizzo, però tramite google vedono che il sito è segnalato di pishing.

Comunque ci sono tanti piccoli segnali che è assurdo nel 2009 che ancora ci caschi qualcuno (e succede, se no non ci proverebbero ancora), non serve essere ingegnere informatico per vedere le stranezze.
Per questo ho provato a descrivere un pò (per quanto molto probabilmente banale per molti di quelli che frequentano questo forum) la situazione tipo.

[WizOfOz]

non serve essere ingegnere informatico per vedere le stranezze.

Per vedere le stranezze dovresti conoscere le cose normali
Tu dai per scontato che l'utente medio conosca come fare un whois, sappia come viene inviata la posta eletronica ecc ecc..
Dai per scontato che un utente medio sia informaticamente alfabetizzato

[Uno]

Tu dai per scontato che l'utente medio conosca come fare un whois, sappia come viene inviata la posta eletronica ecc ecc..
Dai per scontato che un utente medio sia informaticamente alfabetizzato

No assolutamente, intendevo cose così:

Primo sulla mail non ci sarebbe stato "gentile cliente" ma il mio nome e cognome, perchè poste italiane lo conosce, questi, che poi vedremo cinesi, no.
Questo fa già capire al volo che c'è qualcosa di strano, prima ancora di verificare tutto il resto.
Secondo ci vuole poco a vedere la barra degli indirizzi dove ci viene chiesto di aggiornare i nostri dati, inoltre in quella pagina i nostri dati sicuramente non ci sarebbero stati (anche se non ho visto, so per certo che non potevano averli, se no non avrebbero messo in piedi tutto il teatrino) mentre sul sito di poste italiane sicuramente ci sono se ci chiedono una cosa del genere.

[WizOfOz]

Ma sai... se uno non mette in dubbio l'attendibilità del messaggio e nello stesso messaggio si parla di "aggiornamento dei dati" io non credo che in molti si porrebbero questa domanda.
E' proprio il fattore che sfruttano questi farabutti
Dovresti leggere il libro di Kevin Mitnik o qualche articolo sul social engineering.

[Uno]

Ma sai... se uno non mette in dubbio l'attendibilità del messaggio e nello stesso messaggio si parla di "aggiornamento dei dati" io non credo che in molti si porrebbero questa domanda.
E' proprio il fattore che sfruttano questi farabutti
Dovresti leggere il libro di Kevin Mitnik o qualche articolo sul social engineering.

Qualcosa ho letto e non serve neanche connettersi ad internet, oggi anche parecchi di quei scassa.... che telefonano per pubblicità applicano, non so quanto consapevolmente, tecniche di ingegneria sociale.

Cerchiamo di fare un pò di informazione, per quel che servirà....

[megadix]

Eh eh 'sti fiji de 'na... lasciamo perdere va. Comunque io mi diverto moltissimo a farli chiudere: mi sono scritto un programmino che gli manda un sacco di username/password/n di carta/etc. fasulli, solitamente in meno di dieci minuti il sito va giù Spesso infatti ho notato dai messaggi d'errore che usano DB access, quindi anche i programmatori non sono molto skillati o cmq se lo sono usano mezzi molto rudimentali.
Ogni volta che compare la scritta "il sito è stato bloccato per un eccessivo utilizzo di risorse" mi sento meglio. Spero anche che in tutti quei megabyte di dati fasulli si perdano anche i dati reali delle incaute vittime....

[TheVice]

un po' OT ma sicuramente interessante:
http://www.networkworld.com/news/2009/08

[Uno]

Questa è fresca arrivata ad una persona che seguo, la pagina c'è ancora, se siete curiosi:
http://twincitiesfencing.com//graphics/ghost.htm (con redirect)

ghost?
Ne hanno di fantasia eh...

"Il bello" è che anche se uno non capisce un fischietto di pc... non vede che è una pagina in cui possono arrivare tutti e che non c'è il suo nominativo loggato?

Sul link della mail c'è scritto https e poi ti mandano su una connessione normale... insomma si ingegnano...

Poi una riflessione che mi viene spontanea, se uno clicca sul bottone per la privacy il link è direttamente a https://portal.cartasi.it cioè al portale della carta di credito.
Possibile, vista la delicatezza della cosa, che non c'è un ufficio che verificando i refer (anche con sistemi automatici) si accorga subito dei siti civetta?
Forse c'è ma ci mettono un pò prima di riuscire a farli chiudere....

[usu]

firefox me lo blocca segnalandolo come phishing, safari ed ie no, direi che il panda rosso si sta dimostrando il miglior browser da installare su pc di utenti poco esperti.

[andrea.paiola]

tra le attività comuni delle banche che hanno servizi web ( praticamente tutte ) ci sono quelle antiphishing... per esempio c'era un sito phishing piuttosto sofisticato che "ciucciava" in realtime i contenuti del sito di una banca presso cui facevo consulenza... lato server è abbastanza facile verificare la provenienza della richiesta per esempio delle immagini e sostituirle con teschi e avvisi se la richiesta proviene da un dominio non regolare

il phishing ha un basso tasso di rendimento, ma ha il vantaggio che ha anche un basso costo: mandare qualche milione di mail è questione di attimo

inoltre ha anche un basso tasso di pericolosità per chi lo fa

esistono attività molto più complesse, ma sono anche molto più pericolose per il delinquente

comunque l'accesso ad un conto bancario online sul mercato nero dovrebbe costare sui 60 dollari