Il Phishing e l’onestà Italiana…

phishing

Vi racconterò una breve storia che si sta svolgendo in questi giorni, non tanto per farvi conoscere il mondo del Phising, l’utente medio di questo Blog conosce già, ma sulla correttezza ed onestà che purtroppo manca ad alcune aziende Italiane operati nel settore Web.

Domenica 22 Settembre, la mia compagna ragazza che è la Vice Presidente di una associazione locale, riceve via eMail una comunicazione della Internet Identity scritta in un Italiano maccheronico (probabilmente hanno usato un traduttore) nella quale veniva informata che il loro sito internet viene utilizzato per azioni di Phishing ai danni dell’Istituto di Credito CIBC che loro rappresentano, forniscono ogni dettaglio dell’attacco (Indirizzo Malevolo e IP) e si offrono di aiutarla a risolvere il problema a patto di contattarli all’indirizzo eMail in firma o al numero telefonico. La mail era scritta in maniera corretta e ordinata, ad intuire un ottima serietà dell’azienda!

Il sito internet in questione è sviluppato sulla piattaforma Joomla e le credenziali di amministrazione le ha esclusivamente l’azienda incaricata alla produzione del sito, altre persone hanno un semplice account da Editore ove possono modificare o creare nuovi contenuti ma non hanno permessi ulteriori.
Il dominio nel frattempo era andato offline, Forbidden, compresa la homepage! Probabilmente perché gli attaccanti avevano cambiati i permessi dei file, erroneamente.

La mail ricevuta dall’Internet Identity viene inoltrata agli amministratori del sito, i quali rispondono (copio e incollo):

Buongiorno XXXXXX,

la mail probabilmente è spam, e qualcuno, ricevendola, ha cliccato il link e si è loggato sul CMS…(fai attenzione soprattutto all’indirizzo del mittente <alert@internetidentity.com> è troppo generico, dovrebbe insospettirti.
Il server, per questioni di sicurezza, ha bloccato il sito per prevenire eventuali danni e/o furti di dati di pagamento e numeri carte di credito (che non ci sono).
Adesso abbiamo rimesso online il sito, ma per sicurezza ci occorre sapere se e chi ha cliccato sul link e modificare la sua password.
Quando lessi questa eMail di risposta mi si son rivoltate le budella, non hanno una minima idea di quello che sta accadendo e screditano la figura della Internet Identity credendo che la loro mail fosse di SPAM e che al suo interno vi fosse un link (certo stavano proprio segnalando quello) atto raccogliere le credenziali del CMS.
:O Qualcosa non torna.
Il link, che probabilmente neanche avevano aperto, è stato creato per raccogliere credenziali della banca CIBC e non del CMS….altrimenti avrebbero falsificato la home page del sito e non dell’istituto di credito. Ecco uno screenshot scattato pochi istanti fa:
Schermata 2013-09-24 alle 21.36.48
Subito dopo scaricano le colpe a quei poveri volontari che raramente aggiornano il contenuto del sito internet, volontari che hanno un misero account da Editore e possono esclusivamente editare i contenuti esistenti o crearne di nuovi ma in alcun modo hanno le credenziali di amministratore, non hanno le credenziali FTP e non possono modificare la struttura del sito tramite il pannello di controllo di Joomla.
Dopo una mia analisi è evidente che il sito internet è stato attaccato sfruttando una vulnerabilità di Remote File Inclusion e sono stati caricati circa 34 nuovi file all’interno della cartella Components, cartella che contiene i componenti o plugin di Joomla. Casualità? Non credo proprio, vi sarà un componente non aggiornato afflitto da una vulnerabilità.
L’aggiornamento del componente è di competenza del creato del sito internet, perché sono gli unici che ad oggi detengono in maniera esclusiva le credenziali di accesso come amministratore. Ad oggi tale aggiornamento non è ancora stato fatto.
Lunedì 23 Settembre riceviamo dall’Internet Identity un’altra eMail di sollecito e in tarda serata anche la RSA ha scritto all’associazione per segnalarli l’incidente e le responsabilità legali che potrebbero scattare.
Tutte le comunicazioni della Internet Identity e della RSA sono state prontamente segnalate all’azienda che dovrebbe gestire il sito internet, ma ancora non ha provveduto a far nulla…le pagine di Phishing sono operative e gli attaccanti continuamente caricano nuovo materiale attraverso dei file .zip che poi provvedono a decomprimere.
Potevo capire che non conoscevano la Internet Identity, ma alla ricezione di una eMail della RSA anche l’amministratore più tardo di questa pianeta doveva capire che qualcosa non tornava…eh sia ben chiaro la RSA ha scritto una eMail in Inglese e una in Italiano PERFETTO con scrupolosa attenzione ad ogni dettaglio e massima disponibilità ad intervenire! Se scambiano la mail della RSA per SPAM consiglio loro di andare a zappare la terra!
Son trascorse ormai 72h e nulla si è mosso, l’azienda non risponde neanche all’eMail. Questa è la serietà di una azienda che da anni vende progettazioni Web e offre ben poca serietà una volta terminato il sito internet, ma ancor peggio mente e da la colpa ad altri.
“Papà credeva nell’onestà. Nell’onestà assoluta. È la cosa più bella che mi abbia insegnato. Nemmeno oggi mento mai.” Steve Wozniak
Concludo con queste bellissima frase di uno dei padri dei Personal Computer, mi auguro che ne prendano esempio.
Andrea
  • denis

    io ti proporrei di acquisire in modo consono (screencast, acquisizione via wireshark e hashbot) le pagine di phishing, registrare in modo similare l’attività diun qualche scanner di joomla per acquisire lo stato dei plugin che non essendo amministratore non puoi dumpare in toto via ftp, giusto per evitare che li aggiornino successivamente ai tuoi passi, quindi azione legale contro chi amministra/gestisce tecnicamente il sito.

    comunque, tristemente, qui da noi va così. Noi avvisiamo i gestori di siti web, non veniamo considerati. Si limitano a cancellare i file ed i phisher a distanza di giorni ne mettono nuovi perché la vulnerabilità non è stata eliminata. Ma non è un problema solo di chi realizza i siti, lo stesso problema lo trovi su grandi aziende nazionali, studi legali, catene di supermercati, e così via.

    I loro pensieri sono:
    -“questo vuole solo popparmi soldi”
    -“questo non sa di cosa parla”
    fino al peggiore dei casi …”magari lo ha messo dentro lui”

    panorama sconfortante