Close
Cerca
Filters

Dentro una mail Phishing

Dentro una mail Phishing

Il fenomeno delle mail "phishing" (Il termine phishing è una variante di fishing,letteralmente "pescare" in inglese, probabilmente influenzato da phreaking e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente.

Vediamo un esempio:

In questo caso una mail APPARENTEMENTE spedita da Apple, avverte l'utente che è stata modificata la password dell'account iCloud. Logo, informazioni, riferimenti al sito originale sono CORRETTI, quello che cambia è il link "Il mio ID Apple", ed è proprio quello che ci invita a fare il messaggio.

Vediamo lo stesso messaggio "dietro le quinte":

Come vedete, il link sfrutta il sistema di reindirizamento di Google (per non far apparire direttamente il link finale) per farvi "atterrare" in un sito compromesso che, in una specifica pagina php vi "aspetta" con un copia del sito Apple in cui siete invitati ad inserire la vostra utente e password.

Ovviamente, quando procederete all'invio delle credenziali, non succederà nulla sulla pagina, ma i vostri dati saranno trasmessi ad un server che li raccoglie in modo sistematico e vi aggiunge ad un database di utenti "pescati".

E' probabile che le credenziali vengano poi vendute in pacchetti ad altri simpatici lavoratori del cybercrimine ...

Inutile fidarsi del mittente della mail (sembra provenire da apple_it@it.apple.com), analizzando i dati della trasmissione originale (ovviamente non potete farlo voi direttamente, a meno che non gestiate il server di posta !) la mail è stata spedita al nostro account info@tuoplanet.com da:

 

03/23/17 06:01:11    SMTP-IN    D31602987EE74578BF0E80289726DAEB.MAI    1032    54.169.95.51            220 mail.dnn7.it ESMTP MailEnable Service, Version: 9.53-9.53- ready at 03/23/17 06:01:11    0    0        
03/23/17 06:01:11    SMTP-IN    D31602987EE74578BF0E80289726DAEB.MAI    1032    54.169.95.51    EHLO    EHLO sin-zabbix.localdomain    250-dnn7.it [54.169.95.51], this server offers 4 extensions    123    29        
03/23/17 06:01:11    SMTP-IN    D31602987EE74578BF0E80289726DAEB.MAI    1032    54.169.95.51    MAIL    MAIL FROM:<apple_it@it.apple.com>    250 Requested mail action okay, completed    43    35             
03/23/17 06:01:11    SMTP-IN    D31602987EE74578BF0E80289726DAEB.MAI    1032    54.169.95.51    RCPT    RCPT TO:<info@tuoplanet.com>    250 Requested mail action okay, completed    43    30        
03/23/17 06:01:12    SMTP-IN    D31602987EE74578BF0E80289726DAEB.MAI    1032    54.169.95.51    DATA    DATA    354 Start mail input; end with <CRLF>.<CRLF>    46    6

Si scopre che l'IP mittente è un server virtuale ospitato sulla cloud di Amazon (Amazon Technologies Inc. (AT-88-Z))

Procediamo con la notifica del phishing alla mail abuse@amazonaws.com ed aspettiamo fiduciosi (almeno fino alla prossima).

Lascia un commento