Sabato sera al HackInBo Security Dinner organizzato da Mario qui a Bologna ho indossato per la prima volta la T-Shirt Phishing disegnata da Oscar Cauda (Hey Graphic), la maglietta ha riscosso un buon successo e in diversi mi avete chiesto dove l’ho comprata e se era possibile comprarne delle altre.
Le T-Shirt sono due, entrambe disegnate da Oscar e riportano le diciture “Code Injection” e “Phishing”. Sono state prodotte da Teezily a Novembre 2016 grazie ad una piccola campagna di raccolta fondi, era infatti necessario raggiungere almeno 10 ordinazioni per avviare la produzione. Raggiunto l’ordine minimo a Dicembre 2016 è avvenuta la spedizione di entrambe le T-Shirt che ho ricevuto a Febbraio, sì ci vuole molto tempo.
Attualmente è possibile specificare che siete interessati alla T-Shirt e quando Teezily riceverà un numero sufficiente di prenotazione avverrà una nuova produzione.
Alternativamente sono disponibili anche sullo store Designbyhumans ma non ho esperienza diretta con quest’ultimo store.
For my English friends, I bought the “Phishing” and “Code Injection” T-shirts on Teezily through a crowdfunding. You can now report that you are interested in buying them when other people are interested will be produced other T-Shirts.
L’ottava edizione di HackInBo si è conclusa da qualche ora e questa volta ho personalmente vissuto l’evento in maniera più intensa essendo io tra i relatori dell’evento, una bellissima emozione. Il mio talk affrontava i principali aspetti del Phishing con un focus preciso verso gli attacchi Italiani e una recente indagine delle Forze di Polizia che ha portato alla luce una frode di 1,8milioni di euro effettuata in poco più di 6 mesi ai danni di utenti di Poste Italiane.
Ma andiamo con ordine, io ho chiuso la giornata dei Talk, il primo relatore è stato Giovanni Mellini che ci ha spiegato come l’ENAV (Società nazionale per l’assistenza al volo) ha affrontato dal 2015 un percorso di ristrutturazione del SOC passando da una soluzione in outsourcing ad una gestita totalmente da personale interno fondato anche su tecnologie Open Source. Successivamente Valerio Costamagna ci ha illustrato come è possibile attraverso determinati approcci algoritmici agevolare e velocizzare la ricerca di vulnerabilità, con un esempio reale attraverso il codebase di Android. Roberto Clapis ha infine concluso mattinata mostrandoci le sue impressionati capacità con la programmazione mostrando ogni punto di debolezza, ma anche di forza, del linguaggio Go sviluppato da Google.
Nel primo pomeriggio la “Strana Coppia” composta da Andrea Pierini e Giuseppe Trotta ci hanno illustrato una campagna di Spear Phishing che hanno condotto per ottenere informazioni sensibili all’interno dell’azienda target partendo dallo Smartphone della Segretaria fino ad una escalation di privilegi che gli ha permesso di sottrarre file sensibili a livello aziendale. Successivamente Michele Spagnuolo ci ha dimostrato com’è possibile grazie ad un nuovo approccio strict-dynamic adottare un Content Security Policy in prodotti molto complessi come Gmail. Infine alle 16:00 è arrivato il mio personale turno prima di una calorosa tavola rotonda composta Giovanni Ziccardi, Alessio Pennasilico e da tutti noi relatori.
L’evento è stato arricchito da fiumi di birra artigianale al miele prodotta dal Birrificio Valsusa in collaborazione con l’onlus Educamente e dalla importantissima presenza della Onlus Non Basta un Sorrisoche grazie a tutti i presenti ha potuto raccogliere 1710euro da destinare al progetto Elikia, aiuteranno due bambini Kibeni e Wumba ad avere cure garantite ancora per sei mesi. Entrambi i bambini, che frequentano la scuola materna gestita dalla Onlus, sono affetti da anemia falciforme, una malattia tremenda anche in Europa ma che in un Paese come la Repubblica Democratica del Congo è una condanna a una vita che si spegne intorno ai 18 anni tra sofferenze tremende.
L’evento è poi proseguito anche nella giornata del 7 Maggio con i Laboratori a numero chiuso, per accedere a tali laboratori bisognava competere in una CTF organizzata dal Team di Hacktive Security. I lab erano tre il primo condotto da Valerio permetteva ai partecipanti di analizzare le vulnerabilità su Android, Giovanni ha invece dimostrato come è possibile creare da zero un’applicazione, costruita su una istanza free del software SPLUNK Enterprise, per la gestione degli eventi di sicurezza di un generico SOC. Il terzo, nonché mio, laboratorio permetteva ai partecipanti di analizzare i kit di Phishing sfruttati quotidianamente dai Phisher, le tecniche per aggirare i filtri anti-spam e le black list dei browser.
Le mie slide sono già disponibili su SlideShare, per quanto riguarda il video bisogna attendere il prezioso lavoro che farà tutta la squadra dei video-maker. Ammetto che ero veramente emozionato e anche agitato 🙂 non avevo mai parlato davanti a quasi 500 persone, l’emozione come sentirete ha giocato brutti scherzi con qualche errore/imprecisione, Scusatemi! Le slide di tutti gli altri relatori le trovate sul sito ufficiale di HackInBo.
Concludo questo post ringraziando Mario, non solo per avermi invitato come relatore, ma per tutto l’impegno che ci mette nell’organizzare un evento così importante e BELLO! È fantastico trovarsi con tantissimi amici provenienti da tutto il mondo (sì, non sto scherzando) per due giornate di Hacking! Infine un grazie più che meritato va a tutta la squadra che supporta Mario nell’organizzazione dell’evento.
Venerdì 24 Febbraio al Forlì Linux User Group terrò un talk sul Phishing dove analizzerò il fenomeno sempre crescente del Phishing con una simulazione.
Tutti noi riceviamo almeno quotidianamente eMail (e non solo) con il chiaro intento di rubarci le credenziali di accesso alla nostra vita digitale, che sia il conto corrente online, piuttosto che l’account social e così via.
Questo è il phishing, una truffa che come ogni tecnologia umana si sta evolvendo e questa serata ha come obbiettivo quello di spiegare in maniera chiara e precisa che cos’è, come funziona e come possiamo difenderci.
Vedremo anche con esempi pratici, come già avvenuto per la serata sul penetration test, esattamente come si può svolgere una campagna di phishing, quali sono gli attori coinvolti, un esempio di infrastruttura e come poter tutelarci da questi attaccanti.
Di seguito il programma più dettagliato del talk:
Presentazione
Introduzione al Phishing:
Cos’è,
Dati Statistici,
Tecniche,
Simulazione mediante due tecniche:
via eMail di Phishing ai danni di un ente normalmente soggetto ad attacchi di Phishing,
via SMS di Phishing con dominio creato ad-hoc per rendere maggiormente credibile SMS,
Analisi dei dati acquisiti nella simulazione e non solo:
IP
User Agent
Localizzazione
Credenziali
ecc…
Contromisure
Conclusione
La serata è aperta a tutti e non servono conoscenze tecniche, basta solo molta curiosità.
Ci vediamo il 24 febbraio presso la sede del FoLUG, la partecipazione è gratuita ma è richiesto la registrazione all’evento da qui.
Per chi non dovesse riuscire ad essere presente verranno pubblicate da Sabato 25 le slide e uno screencasting dell’evento.
Sabato 24 ottobre sarò nuovamente ospite dell’Orvieto LUG per il Linux Day 2015, il tema di quest’anno che ho deciso di trattare è il Phishing! Grazie alla collaborazioni con il D3Lab porterò dati realistici sul Phishing Italiano!
Quotidianamente sfruttiamo computer o smartphone per rimanere interconnessi con il mondo digitale. Online condividiamo i nostri stati d’animo, gestiamo i conti bancari, facciamo acquisti, studiamo e lavoriamo. Viviamo in una società digitale che offre enormi vantaggi, ma nasconde anche pericolose trappole. Ogni volta che sfruttiamo una comunicazione digitale rischiamo che ci vengano sottratte informazioni, segreti, soldi e la nostra identità. Il phishing è una truffa dove un malintenzionato cerca di ingannare la vittima convincendola a fornire credenziali d’accesso, dati finanziari o informazioni personali. Si tratta di una attività illegale che sfrutta l’ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate. In prevalenza è una truffa eseguita usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.
Il programma della mattinata è molto intenso, 6 Talk della durata di 30 minuti l’uno ci parleranno di Programmazione, Open Source nella PA, Sicurezza Informatica, Anonimia con Linux, Musica e le basi dell’amato pinguino! Nel pomeriggio invece Laboratori tematici ed installazioni Linux anche su Raspberry Pi!
Se qualcuno vuole venirmi a salutare e a fare due o tre chiacchiere sulla Sicurezza Informatica può registrarsi su EventBrite mentre per tutti i dettagli sulla location, orari, ecc vi lascio il sito ufficiale dell’evento.
Vi aspetto!
AGGIORNAMENTO: Le slide dell’evento sono disponibili su SlideShare
https://www.andreadraghetti.it/wp-content/uploads/2015/10/Schermata-2015-10-13-alle-23.37.08.png7891045Andrea Draghettihttps://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.pngAndrea Draghetti2015-10-19 22:31:032016-12-02 17:51:49Linux Day 2015, ci vediamo ad Orvieto? Parlerò di Phishing!
Gianni Amato ha pubblicato lo scorso 10 giugno un articolo in cui evidenzia un attacco Malware su base webinject ai danni di tre istituti di credito Italiani, vista la coincidenza dei tre istituti con un precedente caso che ho analizzato lo scorso Febbraio ho voluto approfondire nuovamente la vicenda.
Seguendo le tracce del Botmaster e il codice JS pubblicato da Gianni ho capito quanto fosse ben strutturata l’organizzazione criminale alle spalle di questo nuovo caso, gli istituti di credito coinvolti non sono solo Italiani ma sono coinvolti gli istituti dei principali continenti sviluppati. Il botmaster sfrutta diverse tecniche per oscurare il pannello di controllo online e si appoggia a diversi server per rimbalzare i dati provenienti dai bot.
SSL Trusted
La raffinatezza del Botmaster la possiamo cogliere già da questa prima immagine, il dominio che viene sfruttato per diffondere il malware e per raccogliere i dati sottratti sfrutta il protocollo SSL con un certificato valido! Il certificato SSL rilasciato da GeoTrust permettono una comunicazione sicura dal sorgente al destinatario (end-to-end) sulla rete fornendo autenticazione, integrità dei dati e cifratura operando al di sopra del livello di trasporto.
Errore 404
Se avete letto l’articolo di Gianni avrete notato che il malware per sottrarre le informazioni bancarie dal portale di csebanking è proviene da questo url: http://………../sajf98wquioijhsa/scripts/csebanking.js ed è pubblicamente consultabile! Conseguentemente anche la sottocartella http://………../sajf98wquioijhsa/ deve esistere, ma invece accedendoci appare l’errore Not Found. Impossibile? No, è un trucchetto voluto dal botmaster per confonderci le idee! La sottodirectory /sajf98wquioijhsa/ esiste realmente ma è stata creata una regola contenuta in .htaccess per consentire l’accesso alla relativa sottodirectory solo passandoli un valido parametro nella richiesta GET! Se tale parametro non viene passato verremo reindirizzati ad una fittizia pagina x.php la quale genera il layout Not Found.
Ho scoperto questa particolarità tentando di accedere casualmente a qualche pagina nella cartella principale del dominio, come potete vedere dalla precedente immagine accedendo all’indirizzo http://………../script.php mi appare l’errore No Found ma vengono anche fornite le informazioni sul server “Apache/2.2.15 (CentOS) Server at…..” mentre accedendo alla sottodirectory sajf98wquioijhsa/ questa informazioni non appaiono. La pagina Not Found di Apache è solitamente standard per tutto il dominio/server e salvo personalizzazioni contiene anche le informazioni sulla versione di Apache. Notando questa diversità ho voluto indagare scoprendo quanto precedentemente detto.
In questo screenshot ho voluto farvi un esempio pratico della mia precedente teoria, accedendo normalmente alla pagine http://………../sajf98wquioijhsa/gate visualizziamo l’errore 404 Not Found, se invece alla richiesta GET gli aggiungo uno o più paramenti (es. ?x=yzv&q=werty) correttamente validati dalle regole di .htaccess visualizzo la pagina e la relativa risposta come potete vedere dallo screenshot. In questo caso il sistema ci conferma di aver ricevuto correttamente le credenziali sottratte alla vittima.
Modificando i parametri che vengono convalidati dalle regole di .htaccess sono riuscito ad ottenere una porzione della pagina di index, dove probabilmente vengono memorizzate le credenziali sottratte o reportizzati i bot attivi. Non avendo i pieni diritti di accesso, ovvero non conoscendo le credenziali, la visualizzazione dei dati è limitata alla sola struttura del pannello di controllo.
Secondo Server
Successivamente ho scoperto che il primo server utilizzato dal Botmaster è vulnerabile, sfruttando quindi il data leak ho individuato un secondo server in uso. Questo secondo server riceve i dati dal primo, a tale server non è associato alcun dominio internet secondo il database di Domaintools probabilmente per mantenere il più possibile nascosto tale server.
Istituti di Credito Coinvolti (e non solo)
Attraverso il leak di memoria estratto dalla vulnerabilità ho potuto, in una analisi durata poco più di 2h, recuperare un’importante lista degli istituti di credito coinvolti in questa operazione. Il botmaster è in grado di sottrarre informazioni dei seguenti istituti, e non solo:
https://www.nwolb.com
https://bankingportal.sparkasse-essen.de/
http://www.co-operativebank.co.uk/
https://www.csebanking.it
https://banking.credem.it
https://www.chebanca.it
https://banking.postbank.de
https://www.rbsdigital.com
https://finanzportal.fiducia.de/
http://www.assist.ru/index.html
https://www.fineco.it/
https://www.citibank.ru
https://www.paypal.com/
https://www.usbank.com/
http://libertyreserve.com
http://www.mbna.co.uk/
http://www.ebay.com
http://www.ebay.fr
http://www.poste.it
http://wachovia.com
http://www.ybonline.co.uk/
http://www.banquepopulaire.fr
https://www.cmb.fr
http://www.credit-agricole.fr/
https://www.labanquepostale.fr/
https://www.secure.bnpparibas.net/
https://www.ing.nl
https://www.discover.com/
https://www.credit-du-nord.fr/
https://www.caisse-epargne.fr
https://www.exabanque.net
https://www.norisbank.de/
https://bankofamerica.com
https://www.chase.com/
https://www.koodomobile.com/
http://www.scotiabank.com
http://www.bancopopular.es
https://www.creval.it
http://www.mybusinessbank.co.uk
http://www.intesasanpaolo.com/
Come avrete notato in questa lista vi sono prevalentemente Istituti di Credito ma anche altri servizi come PayPal, Liberty Reserve che era moneta elettronica ora posta sotto sequestro ed eBay. La lista è bella numerosa e probabilmente con analisi sul target di 24h avrei estrapolato altri target.
Conclusione
La cronaca di questi ultimi dieci giorni ci ha dimostrato quanto è proficua l’attiva di un Phisher o di un Botmaster, in un breve tempo sono riusciti a trafugare 6 milioni di euro. L’indagine ha portato a un raid multiplo in 58 diversi luoghi d’Europa, dove i criminali informatici operavano per effettuare soprattutto attacchi di tipo phishing, ottenendo così i dati d’accesso dagli stessi proprietari degli account per poi trafugare i soldi dalle banche.
Questi avvenimenti ci insegnano sempre più che l’utente finale deve imparare a navigare su internet e a proteggersi da queste minacce molto proficue, bisogna inoltre intensificare i controlli da parte delle istituzioni per fermare questi criminali.
Volutamente ho evitato di scrivere dettagli e passaggi tecnici che mi hanno permesso di estrarre l’elenco degli istituiti, meglio non dare troppi vantaggi al Botmaster! 😉
https://www.andreadraghetti.it/wp-content/uploads/2015/06/Heartbleed.png6541024https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2015-06-15 09:50:002015-06-16 10:39:45Sulle tracce di un Botmaster...
La scorsa settimana i contatti tra il D3Lab e gli istituti di credito hanno permesso il recupero di un complesso sistema di gestione di una Botnet dedicata a carpire le credenziali bancarie degli utenti. Sono stato interpellato durante l’analisi di questo caso con l’incarico di analizzare ogni sfaccettatura dell’attacco, ricevuti i file è stato possibile installarli su una macchina di test che ci permettesse di esaminarne il funzionamento.
Non voglio soffermarmi oltre sugli aspetti tecnici, ma bensì su una tipologia di attacco che i malviventi attuano ai danni degli utenti Android. Trattandosi di un attacco non convenzionale credo che rispecchierà una nuova frontiera per i Phisher ed ho deciso di documentare l’accaduto per sensibilizzare l’attenzione degli utenti.
I malcapitati utenti venivano invitati tramite pagine web dedicate ad hoc o tramite l’invio di SMS ad installare una applicazione dedita alla protezione dei propri dati personali e alla criptazione di essi, ma tale applicazione realmente è stata sviluppata con l’intento di sottrarrele credenziali che gli utenti digitavano sul Browser del proprio Smartphone. Il servizio online AndroTotal ci dimostra come 4 Antivirus su 6 riportano come malevole tale applicativo.
La precedente immagine, volutamente oscurata in alcune parti, vi riportata l’homepage del pannello online di gestione dei bots Android in cui vengono configurati alcuni servizi fondamentali per il buon esito dell’attacco. Come potrete notare è possibile impostare il servizio Jabber così che l’attaccante possa ricevere istantaneamente la notifica di avvenuta acquisizione di credenziali (username, password e token) e velocemente possa ripetere il login dal suo terminale con un codice token ancora valido. Inoltre è possibile configurare un servizio SMSc per l’invio di SMS, impostare il testo del messaggio di testo e il link per il download dell’applicazione.
L’elenco dei bots/vittime ci riporta le credenziale carpite, l’indirizzo IP, l’eMail, il numero di cellulare e il sistema operativo della vittima oltre alla data di acquisizione delle credenziali.
Infine per ogni vittima è possibile aprire un pannello dedicato dove poter leggere le credenziali e il sito internet fonte di tali dati.
https://www.andreadraghetti.it/wp-content/uploads/2015/02/Phishing-Attack-Launched-from-Android-Market-2.jpg320320https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2015-02-22 18:02:192015-03-27 11:42:44Il Phishing passa anche attraverso le applicazioni Android
Precisamente sono 4.929.090 gli Account Google Violati resi pubblici ieri sera alle 23:38 GMT-4 attraverso un Forum Russo dedicato ai BitCoin. In una discussione è stato pubblicato un archivio contenente eMail e relavite password come potete vedere dall’immagine di apertura di quasi cinque milioni di account Google. L’archivio che a dire dell’autore è stato recentemente aggiornato e più del 60% della password risultano veritiere, glli amministratori del forum hanno prontamente rimosso le password lasciando visibili esclusivamente gli indirizzi eMail per poter eseguire dei controlli personali e capire se la propria casella è stata violata o meno. L’archivio in questione è denominato google_5000000.7z (HASH MD5: 4ef74c48d1599802f5ef32c04852e764) ed è liberamente scaribabile da tutti. Sulla rete Torrent è invece già disponibile l’archvio originale contenete anche le password, questo archivio preferisco non pubblicarlo garantendo la sicurezza dei quasi 5 milioni di utenti.
Concludo lasciandovi i consigli di Google per scegliere una password robusta e nel dubbio cambiate subito la password ed abilitate la verifica in due passaggi!
Se dovessero esserci ulteriori novità vi terrò aggiornati!
[AGGIORNAMENTO]
In molti mi segnalate che il Forum Russo risulta Down e quindi non è possibile scaricare l’archivio, ho quindi pensato di renderlo disponibile da una fonte alternativa. Potete scaricare il file clicando qui google_5000000.7z!
[AGGIORNAMENTO x2 x5]
Accedendo al sito internet https://isleaked.com/en.php è possibile inserire il proprio indirizzo di gMail e scoprire se fate parte del leak in questione, se fosse presente l’indirizzo il sito vi riporterà i primi due caratteri della vostra password. Il mio consiglio è comunque quello di NON sfruttare il sito internet in questione, piuttosto scaricatevi l’archivio che ho reso disponibile anche tramite una seconda fonte. È possibile che questo servizio sia stato creato appositamente per creare un elenco di eMail che verranno sfruttate chissà come (spam, phishing, ecc ecc). Un grazie a MyWeb per aver alimentato un po’ di sana paranoia 🙂
[AGGIORNAMENTO x3]
Nell’archivio pubblico o comunque in quello contenenete le password non sono presenti esclusivamenti indirizzi di posta elettronica @gmail.com ma son presenti anche 123224 eMail con estensione @yandex.ru che provengono sicuramente dal leak del 8 Settembre scorso, ma andiamo per ordine così posso mostrarvi dalla mia piccola analisi cosa ho rilevato:
Il file come vi anticipavo dovrebbe contenere 4.929.090 eMail di Google ma successivamente decido di eliminare dall’elenco le porzioni di test non valide, prelevando esclusivamente le eMail
drego85$ fgrep @ google_5000000.txt -c
4927698
scopro conseguentemente che le eMail valide solo realmente 4.927.698 e me le salvo all’interno del file google_5000000_validemail.txt, proseguendo:
Bene scopriamo quindi che il file non è ancora perfettamente formattato, ma tralasciando questo dettaglio scopriamo che nell’archvio vi sono realmente 123224 di @yandex.ru e 22 eMail di @hotmail.com con le relative password. Ma mi balza all’occhio l’estensione _xtube che appartire a 21 account eMail quasi come se il creatore dell’archivio avesse voluto specificare la fonte degli indirizzi eMail in questione. XTube fa parte di una delle più grandi società di Pornografia online, detiene infatti la proprietà di YouPorn, ed è proprio YouPorn ad essere stato vittima di un attacco nel 2012 che esponeva le credenziali di accesso come vi riportai in questo articolo. Ho quindi deciso di analizzare le eMail contrassegnate con “Xtube”:
Gli archivi che avevo pubblicato nell’articolo sull’attacco a YouPorn purtroppo non sono più accessibili, ma cercando su internet ed usando l’archivio di Dazzlepod scopro che solo [email protected] appartiene al portale XTube ma non fa parte del Leak pubblicato nel 2012.
Onestamente speravo di aver trovato la fonte, o almeno parziale, di questo mega archivio di indirizzi Gmail e relative password…ma ho sbagliato strada! Scorro l’elenco manualmente e scopro che diverse email vengono espresse nel seguente formato: [email protected]. Un formato assolutamente anomalo perchè il carattere “+” viene spesso ignorato oppure usato per creare filtri personalizzati.
Allora analizzo meglio i risultati e tento di capire se dall’espressione “+sitointernet.estensione” posso ottenere qualche dettaglio in più, tramite il comando sed ottengo l’elenco dei nomi maggiornmente usati successivamente al + e antecedenti a @gmail.com. Poi inizio a contarli:
Quindi è possibile, ma ovviamente non posso esserne sicuro, che tali eMail e relative password siano state sottratte dai siti in qestione (Daz, xTube, Filedropper, ecc) e memorizzate con la dicitura “+sito.estesione” per ricordarsi la fonte.
Concludo questo sito articolo confermando che a mio giudizio le password sono state sottratte tramite attacchi di Phishing oppure attraverso SQL Injection su siti non appartenenti a Gmail e quindi l’abitudine frequente di usare sempre una stessa password permette di accedere comunque all’indirizzo di posta elettronica fornito da Google.
[AGGIORNAMENTO x4]
Un’analisi similare alla mia che mostra altri aspetti e punti di vista l’ha condotta Diego Elio Pettenò in Inglese, vi invito a leggerla perchè è interessante.
For English readers, Diego Elio Petternò wrote in English an analysis similar to mine. Here you can read, it is interesting!
https://www.andreadraghetti.it/wp-content/uploads/2014/09/post-241-0-58478400-1410302831.jpg491602https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2014-09-10 13:19:152014-09-11 17:08:00[AGGIORNATO x5] Violati 5 milioni di Account Google, ecco i dettagli!
Nel corso delle ultime due settimane da alcune analisi effettuate mi è risultato un invio anomalo di eMail contenente SPAM provenienti da account di @libero.it, entrando più nel dettaglio ho ricevuto delle eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi 8 anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web!
Pertanto diverse eMail @libero.it con le quali in passato ho scambiato messaggi di posta elettronica mi hanno inviato un link contenente SPAM, mittenti che sono scollegati tra loro e non si conoscono ne virtualmente ne nella vita reale! Dettaglio che mi fa pensare di non essere un caso isolato ma una anomalia su buona parte degli account Italiani. Di seguito vi riporto in una tabella l’eMail che ho rilevato:
Confrontando i dati in mio possesso con i dati di Phishing raccolti dal laboratorio del D3Lab ho trovato conferma che è in corso un insolito traffico di posta elettronica da account di Libero Mail, infatti nel secondo trimestre del 2014 gli attacchi di Phishing verso utenti @libero.it è cresciuto rispetto alla media dell’ultimo anno.
Secondo i dati attualmente in mio possesso è plausibile che una vulnerabilità nel portale Libero Mail ha permesso a malintenzionati di accedere alle caselle eMail di ignari utenti, sfruttare la loro rubrica inviando eMail ad utenti conosciuti scavalcando possibili filtri Anti Spam! Un ulteriore ipotesi può invece vedere colpevoli gli utenti di Libero Mail che usando password notevolmente deboli e pertanto sono stati facili bersagli da parte di Lamer/Cracker che hanno violato gli account proprio allo scopo di inviare questa eMail di Spam!
Continueremo ad analizzare la vicenda, se avete ulteriori informazioni cortesemente avvisatemi 😉 grazie!
[AGGIORNAMENTO 09/07/2014]
Analizzando i sorgenti delle eMail ricevute vi riporto i seguenti dati:
Analisi sorgenti eMail
Data
Paese Mittente
X-Mailer
Server SMTP
29/05/2014
Estonia
Microsoft Windows Live Mail 16.4.3522.110
estpak.ee
29/06/2014
Biellorussia
Microsoft Windows Live Mail 16.4.3522.110
trjdesigns.com
30/06/2014
Kazakistan
Microsoft Windows Live Mail 16.4.3522.110
telecom.kz
03/07/2014
Argentina
Microsoft Windows Live Mail 16.4.3522.110
eigbox.net
05/07/2014
Ucraina
Microsoft Windows Live Mail 16.4.3522.110
ccg.ua
08/07/2014
Paesi Bassi
Microsoft Windows Live Mail 16.4.3522.110
dehostingfirma.nl
08/07/2014
Ucraina
Microsoft Windows Live Mail 16.4.3522.110
mailgun.org
09/07/2014
Indonesia
Microsoft Windows Live Mail 16.4.3522.110
melvincruz.com
da tali sorgenti deduco che gli spammer non hanno usato direttamente il portale eMail di Libero (http://posta.libero.it) ma sfruttavano una connessione SMTP per inviare eMail ed il software Microsoft Windows Live Mail (oppure uno script creato ad hoc che si identifica per tale client) usufruendo di diversi servizi SMTP.
Federico ‘glamis‘ Filacchione, mi ha gentilmente inviato un suo sorgente eMail nel quale vengono riproposte le stesse caratteristiche delle eMail che ho ricevuto personalmente.
Ad oggi pertanto dai dati raccolti possiamo riassumere le seguenti caratteristiche dell’attacco:
eMail provenienti da account @libero.it realmente esistenti;
eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
eMail inviate dall’estero;
eMail inviate sfruttando server STMP che non prevedono l’autenticazione.
Ipotesi
Non avendo inviato le eMail direttamente dal sito internet di Libero, tecnica che gli avrebbe permesso di inviare eMail attraverso un server SMTP che prevede l’autenticazione e quindi migliorando il Rank contro i filtri AntiSpam è plausibile che il Portale eMail di Libero.itcontenga una vulnerabilità con la quale è stato possibile estrarre la rubrica eMail di ogni singolo account. Rubrica che poi è stata sfruttata per inviare l’eMail contenenti SPAM.
Punti da chiarire:
Gli account eMail @libero.it sfruttati per inviare SPAM hanno subito un cambio password non voluto? Quindi l’attaccante è riuscito anche a cambiare la password di tali account?
Libero ha comunicato ai propri utenti un utilizzo anomalo del proprio account invitandoli ad effettuare qualche procedura?
[AGGIORNAMENTO 21/07/2014]
Venerdì 11 Luglio 2014 ho commentato sul Blog Ufficiale di Libero.it la vicenda linkando il mio articolo, ma ancora ad oggi non ho ancora ricevuto nessuna risposta e il commento non è stato reso pubblico!
Stando invece ai molti lettori che mi hanno aiutato nell’indagare su questa vicenda posso trarre nuove conclusioni sull’attacco di SPAM ai danni degli utenti di Libero.it:
eMail provenienti da account @libero.it realmente esistenti;
eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
eMail inviate dall’estero;
eMail inviate sfruttando server STMP che non prevedono l’autenticazione;
eMail inviate ad utenti NON presenti nella rubrica del portale Libero.it;
eMail inviate ad utenti presenti nella “Posta Inviata” del portale Libero.it.
Dai dati raccolti il portale Libero Mail è stato violato, da tale violazione è stato possibile estrarre i destinatari delle eMail inviate e quindi presenti nella sezione “Posta Inviata” del portale Libero Mail. È facilmente credibile che avendo ottenuto l’accesso alla “Posta Inviata” abbiano ottenuto l’accesso anche alla posta “Posta in Arrivo” mettendo a disposizione di estranei le proprie eMail e magari anche Informazioni Sensibili o Personali.
Attendo, fiducioso, una risposta ufficiale da Libero.it in grado di circoscrivere il problema e/o inviarci ulteriori dettagli. Ad oggi l’accatto ha ottenuto una sfaccettatura importante al punto di rendere disponibili ad estranei le eMail di ignari utenti, violando la Privacy!
Denis Frati del D3Lab ha oggi rilasciato il suo rapporto sul mondo del Phishing dello scorso 2013, un ottimo documento realizzato con molta dedizione e la massima volontà di contrastare un fenomeno in continua crescita debito a truffare i navigatori del web! Con grande piacere alcune volte aiuto Denis nell’effettuare analisi sui siti internet compromessi per poter estrarre quanti più dettagli possibili e prevenire futuri attacchi a danno dei clienti del D3Lab, le informazioni raccolte vengono ora pubblicate nelle ventidue pagine del Rapporto D3Lab 2013, documento riassuntivo dell’attività svolta lo scorso anno dall’azienda.
Il documento, pensato per società ed aziende interessate ai servizi proposti da D3Lab e per il law enforcement nazionale, non è disponibile in download ma ne deve essere richiesto via mail aziendale scrivendo a [email protected].
Con molto piacere vi mostro in anteprima alcune pagine del Rapporto per poter rendere partecipi anche i miei lettori nel lavoro che ogni giorno i White Hat effettuato per contrastare l‘abuso dei sistemi informatici!
https://www.andreadraghetti.it/wp-content/uploads/2014/04/20140418164242-e1397849758861.png400399https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2014-04-18 22:05:212014-04-18 22:05:21Rapporto del D3Lab sul Phishing 2013
Grazie alla segnalazione di Claudio Rizzo (~Zip~) i primi giorni di Marzo 2014 abbiamo rilevato un particolare attacco di phishing ai danni di Facebook e del portale WhatsApp Hacking, la particolarità di questo attacco è lo sfruttamento della tecnica di Tabnabbing.
Il Tabnabbing è una tecnica di attacco informatico di tipo phishing con un minimo di arguzia in più.
Viene presentato infatti alla vittima un link ad una pagina internet del tutto innocua e con del contenuto interessante. L’utente medio ha ormai l’abitudine di navigare su più tab (schede) all’interno del suo browser e la pagina in questione sfrutta questa abitudine per cambiare d’aspetto nel momento in cui l’utente la lascia aperta per visitare una nuova tab. Il nuovo aspetto rispecchierà in tutto e per tutto quello di una pagina di accesso a dei servizi online in cui vengono chieste username e password (per esempio il sito di posteitaliane, quello di un homebanking oppure la pagina di login di gmail come riportato dal link esterno). La vittima, tornando sulla scheda del sito attaccante, non si ricorderà più che quella deriva da un link non sicuro che ha cliccato, potrà invece pensare che aveva aperto tale pagina senza aver ancora effettuato l’accesso. Ovviamente l’inserimento dei dati in questa pagina verranno inoltrati all’account dell’attaccante e l’utente verrà reinderizzato sul sito reale in modo che non si accorga di essere stato derubato delle credenzialità. {Wikipedia}
Visto il forte interesse a “controllare” le conversazioni altrui di WhatsApp l’utente medio che faceva una ricerca online trovava nei principali risultati il portale “WhatsApp Hacking”, sito ospitato gratuitamente presso un importante provider che offre domini di terzo livello gratuitamente. Il sito in questione è una copia speculare dell’originale http://www.whatsapphack.com ma tradotto in Italiano, il sito civetta era stato costruito per trafugare le credenziali di accesso degli utenti Facebook!
Grazie alla collaborazione del D3Lab siamo riusciti a ricostruire integralmente il portale ed abbiamo riprodotto in locale l’esperienza di navigazione, che vi proponiamo nel seguente video:
Entrando più nello specifico il sito internet era composto da i seguenti file:
home.php
index.php
send.php
tabnabbing.js
contatti.txt
Il file index.php incorporava questa porzione di codice:
Come è possibile vedere il precedente Java Script crea l’effetto Tabnabbing, una volta che l’utente cambia il focus su un’altra pagina/applicazione automaticamente entra in azione lo script che va a caricare la pagina home.php! Tale pagina emula la pagina di accesso di Facebook con un form che rimanderà al file send.php per il salvataggio delle credenziali:
quest’ultimo file send.php contiene invece la seguente porzione di codice che rimanda l’utente sull’autentico portale di Facebook mostrandoli una foto del Concorso Protagoniste della Creatività:
Il file send.php contiene inoltre lo script di memorizzazione delle credenziali sottratte all’utente, porzione di codice che non riusciamo a mostrarvi perché nidificato all’interno del Hypertext Preprocessor “<?php” – “?>” ma che abbiamo scoperto salverà le credenziali all’interno del file contatti.txt che al momento della nostra analisi conteneva più di 160 credenziali sottratte come è possibile vedere nel seguente screenshot appositamente oscurato:
In conclusione l’utente che cercava online un metodo per leggere le conversazioni di WhatsApp di una terza persona trovava tra i primi risultati di Google il sito internet http://whatsapphack.provider123.com, tale sito era una copia speculare dell’autentico sito www.whatsapphack.com ma tradotto in Italiano e non permetteva il download di alcuna applicazione, ma non appena si cambiava il focus del scheda/pannello del Browser magari per vedere una notifica su Twitter o un altro risultato della ricerca entrava in funzione lo script di Tabnabbing che sostituiva la pagina con un form di autenticazione di Facebook falso debito esclusivamente a sottrarre le credenziali.
Quanto prima provvederò a contattare tutti gli utenti coinvolti e gli avviserò che le loro informazioni sono state trafugate!
Ringrazio Claudio Rizzo per la segnalazione e Denis Frati del D3Lab per il supporto.
https://www.andreadraghetti.it/wp-content/uploads/2014/03/Schermata-2014-03-27-alle-16.30.03.png7071259https://www.andreadraghetti.it/wp-content/uploads/2016/11/Logo_Andrea_Draghetti_v4.png2014-03-27 19:11:232014-03-28 11:44:34 Tabnabbing, un caso reale di Phishing ai danni di Facebook
