Articoli

,

HackInBo – Phishing one shot, Many victims!

 

L’ottava edizione di HackInBo si è conclusa da qualche ora e questa volta ho personalmente vissuto l’evento in maniera più intensa essendo io tra i relatori dell’evento, una bellissima emozione. Il mio talk affrontava i principali aspetti del Phishing con un focus preciso verso gli attacchi Italiani e una recente indagine delle Forze di Polizia che ha portato alla luce una frode di 1,8milioni di euro effettuata in poco più di 6 mesi ai danni di utenti di Poste Italiane.

Ma andiamo con ordine, io ho chiuso la giornata dei Talk, il primo relatore è stato Giovanni Mellini che ci ha spiegato come l’ENAV (Società nazionale per l’assistenza al volo) ha affrontato dal 2015 un percorso di ristrutturazione del SOC passando da una soluzione in outsourcing ad una gestita totalmente da personale interno fondato anche su tecnologie Open Source. Successivamente Valerio Costamagna ci ha illustrato come è possibile attraverso determinati approcci algoritmici agevolare e velocizzare la ricerca di vulnerabilità, con un esempio reale attraverso il codebase di Android. Roberto Clapis ha infine concluso mattinata mostrandoci le sue impressionati capacità con la programmazione mostrando ogni punto di debolezza, ma anche di forza, del linguaggio Go sviluppato da Google.

Nel primo pomeriggio la “Strana Coppia” composta da Andrea Pierini e Giuseppe Trotta ci hanno illustrato una campagna di Spear Phishing che hanno condotto per ottenere informazioni sensibili all’interno dell’azienda target partendo dallo Smartphone della Segretaria fino ad una escalation di privilegi che gli ha permesso di sottrarre file sensibili a livello aziendale. Successivamente Michele Spagnuolo ci ha dimostrato com’è possibile grazie ad un nuovo approccio strict-dynamic adottare un Content Security Policy in prodotti molto complessi come Gmail. Infine alle 16:00 è arrivato il mio personale turno prima di una calorosa tavola rotonda composta Giovanni Ziccardi, Alessio Pennasilico e da tutti noi relatori.

L’evento è stato arricchito da fiumi di birra artigianale al miele prodotta dal Birrificio Valsusa in collaborazione con l’onlus Educamente e dalla importantissima presenza della Onlus Non Basta un Sorriso che grazie a tutti i presenti ha potuto raccogliere 1710euro da destinare al progetto Elikia, aiuteranno due bambini Kibeni e Wumba ad avere cure garantite ancora per sei mesi. Entrambi i bambini, che frequentano la scuola materna gestita dalla Onlus, sono affetti da anemia falciforme, una malattia tremenda anche in Europa ma che in un Paese come la Repubblica Democratica del Congo è una condanna a una vita che si spegne intorno ai 18 anni tra sofferenze tremende.

L’evento è poi proseguito anche nella giornata del 7 Maggio con i Laboratori a numero chiuso, per accedere a tali laboratori bisognava competere in una CTF organizzata dal Team di Hacktive Security. I lab erano tre il primo condotto da Valerio permetteva ai partecipanti di analizzare le vulnerabilità su Android, Giovanni ha invece dimostrato come è possibile creare da zero un’applicazione, costruita su una istanza free del software SPLUNK Enterprise, per la gestione degli eventi di sicurezza di un generico SOC. Il terzo, nonché mio, laboratorio permetteva ai partecipanti di analizzare i kit di Phishing sfruttati quotidianamente dai Phisher, le tecniche per aggirare i filtri anti-spam e le black list dei browser.

Le mie slide sono già disponibili su SlideShare, per quanto riguarda il video bisogna attendere il prezioso lavoro che farà tutta la squadra dei video-maker. Ammetto che ero veramente emozionato e anche agitato 🙂 non avevo mai parlato davanti a quasi 500 persone, l’emozione come sentirete ha giocato brutti scherzi con qualche errore/imprecisione, Scusatemi! Le slide di tutti gli altri relatori le trovate sul sito ufficiale di HackInBo.

Concludo questo post ringraziando Mario, non solo per avermi invitato come relatore, ma per tutto l’impegno che ci mette nell’organizzare un evento così importante e BELLO! È fantastico trovarsi con tantissimi amici provenienti da tutto il mondo (sì, non sto scherzando) per due giornate di Hacking! Infine un grazie più che meritato va a tutta la squadra che supporta Mario nell’organizzazione dell’evento.

/0 Commenti/da
, ,

Una serata sul Phishing: Analisi, Simulazione e Contromisure

Venerdì 24 Febbraio al Forlì Linux User Group terrò un talk sul Phishing dove analizzerò il fenomeno sempre crescente del Phishing con una simulazione.

Tutti noi riceviamo almeno quotidianamente eMail (e non solo) con il chiaro intento di rubarci le credenziali di accesso alla nostra vita digitale, che sia il conto corrente online, piuttosto che l’account social e così via.
Questo è il phishing, una truffa che come ogni tecnologia umana si sta evolvendo e questa serata ha come obbiettivo quello di spiegare in maniera chiara e precisa che cos’è, come funziona e come possiamo difenderci.
Vedremo anche con esempi pratici, come già avvenuto per la serata sul penetration test, esattamente come si può svolgere una campagna di phishing, quali sono gli attori coinvolti, un esempio di infrastruttura e come poter tutelarci da questi attaccanti.

Di seguito il programma più dettagliato del talk:

  • Presentazione
  • Introduzione al Phishing:
  • Cos’è,
  • Dati Statistici,
  • Tecniche,
  • Simulazione mediante due tecniche:
    • via eMail di Phishing ai danni di un ente normalmente soggetto ad attacchi di Phishing,
    • via SMS di Phishing con dominio creato ad-hoc per rendere maggiormente credibile SMS,
  • Analisi dei dati acquisiti nella simulazione e non solo:
    • IP
    • User Agent
    • Localizzazione
    • Credenziali
    • ecc…
  • Contromisure
  • Conclusione

La serata è aperta a tutti e non servono conoscenze tecniche, basta solo molta curiosità.

Ci vediamo il 24 febbraio presso la sede del FoLUG, la partecipazione è gratuita ma è richiesto la registrazione all’evento da qui.

Per chi non dovesse riuscire ad essere presente verranno pubblicate da Sabato 25 le slide e uno screencasting dell’evento.

Slide e Video

Le slide della serata sono disponibili qui: https://www.slideshare.net/drego85/phishing-analisi-simulazione-e-contromisure

/3 Commenti/da
,

Linux Day 2015, ci vediamo ad Orvieto? Parlerò di Phishing!

Linux Day 2015

Sabato 24 ottobre sarò nuovamente ospite dell’Orvieto LUG per il Linux Day 2015, il tema di quest’anno che ho deciso di trattare è il Phishing! Grazie alla collaborazioni con il D3Lab porterò dati realistici sul Phishing Italiano!

Quotidianamente sfruttiamo computer o smartphone per rimanere interconnessi con il mondo digitale. Online condividiamo i nostri stati d’animo, gestiamo i conti bancari, facciamo acquisti, studiamo e lavoriamo. Viviamo in una società digitale che offre enormi vantaggi, ma nasconde anche pericolose trappole. Ogni volta che sfruttiamo una comunicazione digitale rischiamo che ci vengano sottratte informazioni, segreti, soldi e la nostra identità. Il phishing è una truffa dove un malintenzionato cerca di ingannare la vittima convincendola a fornire credenziali d’accesso, dati finanziari o informazioni personali. Si tratta di una attività illegale che sfrutta l’ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate. In prevalenza è una truffa eseguita usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.

Il programma della mattinata è molto intenso, 6 Talk della durata di 30 minuti l’uno ci parleranno di Programmazione, Open Source nella PA, Sicurezza Informatica, Anonimia con Linux, Musica e le basi dell’amato pinguino! Nel pomeriggio invece Laboratori tematici ed installazioni Linux anche su Raspberry Pi!

Se qualcuno vuole venirmi a salutare e a fare due o tre chiacchiere sulla Sicurezza Informatica può registrarsi su EventBrite mentre per tutti i dettagli sulla location, orari, ecc vi lascio il sito ufficiale dell’evento.

Vi aspetto!

AGGIORNAMENTO: Le slide dell’evento sono disponibili su SlideShare

/0 Commenti/da

Sulle tracce di un Botmaster…

Heartbleed

Gianni Amato ha pubblicato lo scorso 10 giugno un articolo in cui evidenzia un attacco Malware su base webinject ai danni di tre istituti di credito Italiani, vista la coincidenza dei tre istituti con un precedente caso che ho analizzato lo scorso Febbraio ho voluto approfondire nuovamente la vicenda.

Seguendo le tracce del Botmaster e il codice JS pubblicato da Gianni ho capito quanto fosse ben strutturata l’organizzazione criminale alle spalle di questo nuovo caso, gli istituti di credito coinvolti non sono solo Italiani ma sono coinvolti gli istituti dei principali continenti sviluppati. Il botmaster sfrutta diverse tecniche per oscurare il pannello di controllo online e si appoggia a diversi server per rimbalzare i dati provenienti dai bot.

SSL Trusted

Schermata 2015-06-13 alle 12.22.37La raffinatezza del Botmaster la possiamo cogliere già da questa prima immagine, il dominio che viene sfruttato per diffondere il malware e per raccogliere i dati sottratti sfrutta il protocollo SSL con un certificato valido! Il certificato SSL rilasciato da GeoTrust permettono una comunicazione sicura dal sorgente al destinatario (end-to-end) sulla rete fornendo autenticazione, integrità dei dati e cifratura operando al di sopra del livello di trasporto.

Errore 404

Not_Found

Se avete letto l’articolo di Gianni avrete notato che il malware per sottrarre le informazioni bancarie dal portale di csebanking è proviene da questo url: http://………../sajf98wquioijhsa/scripts/csebanking.js ed è pubblicamente consultabile! Conseguentemente anche la sottocartella http://………../sajf98wquioijhsa/ deve esistere, ma invece accedendoci  appare l’errore Not Found. Impossibile? No, è un trucchetto voluto dal botmaster per confonderci le idee! La sottodirectory /sajf98wquioijhsa/ esiste realmente ma è stata creata una regola contenuta in .htaccess per consentire l’accesso alla relativa sottodirectory solo passandoli un valido parametro nella richiesta GET! Se tale parametro non viene passato verremo reindirizzati ad una fittizia pagina x.php la quale genera il layout Not Found.

Ho scoperto questa particolarità tentando di accedere casualmente a qualche pagina nella cartella principale del dominio, come potete vedere dalla precedente immagine accedendo all’indirizzo http://………../script.php mi appare l’errore No Found ma vengono anche fornite le informazioni sul server “Apache/2.2.15 (CentOS) Server at…..” mentre accedendo alla sottodirectory sajf98wquioijhsa/ questa informazioni non appaiono. La pagina Not Found di Apache è solitamente standard per tutto il dominio/server e salvo personalizzazioni contiene anche le informazioni sulla versione di Apache. Notando questa diversità ho voluto indagare scoprendo quanto precedentemente detto.

Gate

In questo screenshot ho voluto farvi un esempio pratico della mia precedente teoria, accedendo normalmente alla pagine http://………../sajf98wquioijhsa/gate visualizziamo l’errore 404 Not Found, se invece alla richiesta GET gli aggiungo uno o più paramenti (es. ?x=yzv&q=werty) correttamente validati dalle regole di .htaccess visualizzo la pagina e la relativa risposta come potete vedere dallo screenshot. In questo caso il sistema ci conferma di aver ricevuto correttamente le credenziali sottratte alla vittima.

Gate_IndexModificando i parametri che vengono convalidati dalle regole di .htaccess sono riuscito ad ottenere una porzione della pagina di index, dove probabilmente vengono memorizzate le credenziali sottratte o reportizzati i bot attivi. Non avendo i pieni diritti di accesso, ovvero non conoscendo le credenziali, la visualizzazione dei dati è limitata alla sola struttura del pannello di controllo.

Secondo Server

BootMaster Panel

Successivamente ho scoperto che il primo server utilizzato dal Botmaster è vulnerabile, sfruttando quindi il data leak ho individuato un secondo server in uso. Questo secondo server riceve i dati dal primo, a tale server non è associato alcun dominio internet secondo il database di Domaintools probabilmente per mantenere il più possibile nascosto tale server.

Istituti di Credito Coinvolti (e non solo)

Attraverso il leak di memoria estratto dalla vulnerabilità ho potuto, in una analisi durata poco più di 2h, recuperare un’importante lista degli istituti di credito coinvolti in questa operazione. Il botmaster è in grado di sottrarre informazioni dei seguenti istituti, e non solo:

  1. https://www.nwolb.com
  2. https://bankingportal.sparkasse-essen.de/
  3. http://www.co-operativebank.co.uk/
  4. https://www.csebanking.it
  5. https://banking.credem.it
  6. https://www.chebanca.it
  7. https://banking.postbank.de
  8. https://www.rbsdigital.com
  9. https://finanzportal.fiducia.de/
  10. http://www.assist.ru/index.html
  11. https://www.fineco.it/
  12. https://www.citibank.ru
  13. https://www.paypal.com/
  14. https://www.usbank.com/
  15. http://libertyreserve.com
  16. http://www.mbna.co.uk/
  17. http://www.ebay.com
  18. http://www.ebay.fr
  19. http://www.poste.it
  20. http://wachovia.com
  21. http://www.ybonline.co.uk/
  22. http://www.banquepopulaire.fr
  23. https://www.cmb.fr
  24. http://www.credit-agricole.fr/
  25. https://www.labanquepostale.fr/
  26. https://www.secure.bnpparibas.net/
  27. https://www.ing.nl
  28. https://www.discover.com/
  29. https://www.credit-du-nord.fr/
  30. https://www.caisse-epargne.fr
  31. https://www.exabanque.net
  32. https://www.norisbank.de/
  33. https://bankofamerica.com
  34. https://www.chase.com/
  35. https://www.koodomobile.com/
  36. http://www.scotiabank.com
  37. http://www.bancopopular.es
  38. https://www.creval.it
  39. http://www.mybusinessbank.co.uk
  40. http://www.intesasanpaolo.com/

Come avrete notato in questa lista vi sono prevalentemente Istituti di Credito ma anche altri servizi come PayPal, Liberty Reserve che era moneta elettronica ora posta sotto sequestro ed eBay. La lista è bella numerosa e probabilmente con analisi sul target di 24h avrei estrapolato altri target.

Conclusione

La cronaca di questi ultimi dieci giorni ci ha dimostrato quanto è proficua l’attiva di un Phisher o di un Botmaster, in un breve tempo sono riusciti a trafugare 6 milioni di euro. L’indagine ha portato a un raid multiplo in 58 diversi luoghi d’Europa, dove i criminali informatici operavano per effettuare soprattutto attacchi di tipo phishing, ottenendo così i dati d’accesso dagli stessi proprietari degli account per poi trafugare i soldi dalle banche.

Questi avvenimenti ci insegnano sempre più che l’utente finale deve imparare a navigare su internet e a proteggersi da queste minacce molto proficue, bisogna inoltre intensificare i controlli da parte delle istituzioni per fermare questi criminali.

Volutamente ho evitato di scrivere dettagli e passaggi tecnici che mi hanno permesso di estrarre l’elenco degli istituiti, meglio non dare troppi vantaggi al Botmaster! 😉

/7 Commenti/da

Il Phishing passa anche attraverso le applicazioni Android

Phishing-Attack-Launched-from-Android-Market-2

La scorsa settimana i contatti tra il D3Lab e gli istituti di credito hanno permesso il recupero di un complesso sistema di gestione di una Botnet dedicata a carpire le credenziali bancarie degli utenti. Sono stato interpellato durante l’analisi di questo caso con l’incarico di analizzare ogni sfaccettatura dell’attacco, ricevuti i file è stato possibile installarli su una macchina di test che ci permettesse di esaminarne il funzionamento.

Non voglio soffermarmi oltre sugli aspetti tecnici, ma bensì su una tipologia di attacco che i malviventi attuano ai danni degli utenti Android. Trattandosi di un attacco non convenzionale credo che rispecchierà una nuova frontiera per i Phisher ed ho deciso di documentare l’accaduto per sensibilizzare l’attenzione degli utenti.

I malcapitati utenti venivano invitati tramite pagine web dedicate ad hoc o tramite l’invio di SMS ad installare una applicazione dedita alla protezione dei propri dati personali e alla criptazione di essi, ma tale applicazione realmente è stata sviluppata con l’intento di sottrarre le credenziali che gli utenti digitavano sul Browser del proprio Smartphone. Il servizio online AndroTotal ci dimostra come 4 Antivirus su 6 riportano come malevole tale applicativo.

Homepage_Phishing_Android

La precedente immagine, volutamente oscurata in alcune parti, vi riportata l’homepage del pannello online di gestione dei bots Android in cui vengono configurati alcuni servizi fondamentali per il buon esito dell’attacco. Come potrete notare è possibile impostare il servizio Jabber così che l’attaccante possa ricevere istantaneamente la notifica di avvenuta acquisizione di credenziali (username, password e token) e velocemente possa ripetere il login dal suo terminale con un codice token ancora valido. Inoltre è possibile configurare un servizio SMSc per l’invio di SMS, impostare il testo del messaggio di testo e il link per il download dell’applicazione.

Bots_Phishing_Android

L’elenco dei bots/vittime ci riporta le credenziale carpite, l’indirizzo IP, l’eMail, il numero di cellulare e il sistema operativo della vittima oltre alla data di acquisizione delle credenziali.

 

Credenziali_Phishing_Android

Infine per ogni vittima è possibile aprire un pannello dedicato dove poter leggere le credenziali e il sito internet fonte di tali dati.

/0 Commenti/da

[AGGIORNATO x5] Violati 5 milioni di Account Google, ecco i dettagli!

Violati 5 Milioni di Account Google

Precisamente sono 4.929.090 gli Account Google Violati resi pubblici ieri sera alle 23:38 GMT-4 attraverso un Forum Russo dedicato ai BitCoin. In una discussione è stato pubblicato un archivio contenente eMail e relavite password come potete vedere dall’immagine di apertura di quasi cinque milioni di account Google. L’archivio che a dire dell’autore è stato recentemente aggiornato e più del 60% della password risultano veritiere, glli amministratori del forum hanno prontamente rimosso le password lasciando visibili esclusivamente gli indirizzi eMail per poter eseguire dei controlli personali e capire se la propria casella è stata violata o meno. L’archivio in questione è denominato google_5000000.7z (HASH MD5: 4ef74c48d1599802f5ef32c04852e764) ed è liberamente scaribabile da tutti. Sulla rete Torrent è invece già disponibile l’archvio originale contenete anche le password, questo archivio preferisco non pubblicarlo garantendo la sicurezza dei quasi 5 milioni di utenti.

 

Schermata 2014-09-10 alle 12.59.53

Concludo lasciandovi i consigli di Google per scegliere una password robusta e nel dubbio cambiate subito la password ed abilitate la verifica in due passaggi!

Se dovessero esserci ulteriori novità vi terrò aggiornati!

[AGGIORNAMENTO]

In molti mi segnalate che il Forum Russo risulta Down e quindi non è possibile scaricare l’archivio, ho quindi pensato di renderlo disponibile da una fonte alternativa. Potete scaricare il file clicando qui google_5000000.7z!

[AGGIORNAMENTO x2 x5]

Accedendo al sito internet https://isleaked.com/en.php è possibile inserire il proprio indirizzo di gMail e scoprire se fate parte del leak in questione, se fosse presente l’indirizzo il sito vi riporterà i primi due caratteri della vostra password. Il mio consiglio è comunque quello di NON sfruttare il sito internet in questione, piuttosto scaricatevi l’archivio che ho reso disponibile anche tramite una seconda fonte. È possibile che questo servizio sia stato creato appositamente per creare un elenco di eMail che verranno sfruttate chissà come (spam, phishing, ecc ecc). Un grazie a MyWeb per aver alimentato un po’ di sana paranoia 🙂

[AGGIORNAMENTO x3]

Nell’archivio pubblico o comunque in quello contenenete le password non sono presenti esclusivamenti indirizzi di posta elettronica @gmail.com ma son presenti anche 123224 eMail con estensione @yandex.ru che provengono sicuramente dal leak del 8 Settembre scorso, ma andiamo per ordine così posso mostrarvi dalla mia piccola analisi cosa ho rilevato:

drego85$ wc -l google_5000000.txt
4929090 google_5000000.txt

Il file come vi anticipavo dovrebbe contenere 4.929.090 eMail di Google ma successivamente decido di eliminare dall’elenco le porzioni di test non valide, prelevando esclusivamente le eMail

drego85$ fgrep @ google_5000000.txt -c
4927698

scopro conseguentemente che le eMail valide solo realmente 4.927.698 e me le salvo all’interno del file google_5000000_validemail.txt, proseguendo:

drego85$ grep @yandex.ru google_5000000_validemail.txt -c
123224

di esse però vi sono 123.224 eMail di @yandex.ru, le rimanenti eMail saranno tutte di Google?

 drego85$ sed -n -e ‘s:.*@::p’ google_5000000_validemail.txt | sort | uniq -c | sort -n -r
sed: RE error: illegal byte sequence
4723698 gmail.com
123224 yandex.ru
600 gmail.com777
335 gmail.com.vn
254 gmail.com.br
234 gmail.com.au
187 gmail.com7777
171 gmail.com.com
120 gmail.com.
95 gmail.comm
89 gmail.com_abuse
68 gmail.com|login
59 gmail.com
47 gmail.com.pl
44 gmail.com777777
43 gmail.comn
43 gmail.com77777
38 gmail.coml
37 gmail.com.ar
33 gmail.com.mm
31 gmail.com\r\n
29 gmail.com.my
27 gmail.com.sg
25 gmail.comq
24 gmail.coma
23 gmail.come
23 gmail.com.tw
23 gmail.com.mx
22 hotmail.com
21 gmail.com_xtube
19 yahoo.com
19 gmail.como
18 gmail.com.il
16 gmail.com`
16 gmail.com.in
15 gmail.com|googlemail}.com
15 gmail.comi
15 gmail.com,
15 gmail.com%
12 gmail.com1
11 gmail.comt
11 gmail.coms
11 gmail.comr
11 gmail.comj
11 gmail.com777777777
10 gmail.comk
10 gmail.com.tr
10 gmail.com.ph
10 gmail.com.hk

Bene scopriamo quindi che il file non è ancora perfettamente formattato, ma tralasciando questo dettaglio scopriamo che nell’archvio vi sono realmente 123224 di @yandex.ru e 22 eMail di @hotmail.com con le relative password. Ma mi balza all’occhio l’estensione _xtube che appartire a 21 account eMail quasi come se il creatore dell’archivio avesse voluto specificare la fonte degli indirizzi eMail in questione. XTube fa parte di una delle più grandi società di Pornografia online, detiene infatti la proprietà di YouPorn, ed è proprio YouPorn ad essere stato vittima di un attacco nel 2012 che esponeva le credenziali di accesso come vi riportai in questo articolo. Ho quindi deciso di analizzare le eMail contrassegnate con “Xtube”:

drego85$ grep @gmail.com_xtube google_5000000_validemail.txt | sort
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube
[email protected]_xtube

Gli archivi che avevo pubblicato nell’articolo sull’attacco a YouPorn purtroppo non sono più accessibili, ma cercando su internet ed usando l’archivio di Dazzlepod scopro che solo [email protected] appartiene al portale XTube ma non fa parte del Leak pubblicato nel 2012.

Onestamente speravo di aver trovato la fonte, o almeno parziale, di questo mega archivio di indirizzi Gmail e relative password…ma ho sbagliato strada! Scorro l’elenco manualmente e scopro che diverse email vengono espresse nel seguente formato: [email protected]. Un formato assolutamente anomalo perchè il carattere “+” viene spesso ignorato oppure usato per creare filtri personalizzati.

Allora analizzo meglio i risultati e tento di capire se dall’espressione “+sitointernet.estensione” posso ottenere qualche dettaglio in più, tramite il comando sed ottengo l’elenco dei nomi maggiornmente usati successivamente al + e antecedenti a @gmail.com. Poi inizio a contarli:

drego85$ grep +daz google_5000000_validemail.txt -c
213

drego85$ grep +xtube google_5000000_validemail.txt -c
196

drego85$ grep +savage google_5000000_validemail.txt -c
117

grep +filedropper google_5000000_validemail.txt -c
90

grep +daz3d google_5000000_validemail.txt -c
69

drego85$ grep +eharmony google_5000000_validemail.txt -c
65

Quindi è possibile, ma ovviamente non posso esserne sicuro, che tali eMail e relative password siano state sottratte dai siti in qestione (Daz, xTube, Filedropper, ecc) e memorizzate con la dicitura “+sito.estesione” per ricordarsi la fonte.

Concludo questo sito articolo confermando che a mio giudizio le password sono state sottratte tramite attacchi di Phishing oppure attraverso SQL Injection su siti non appartenenti a Gmail e quindi l’abitudine frequente di usare sempre una stessa password permette di accedere comunque all’indirizzo di posta elettronica fornito da Google.

[AGGIORNAMENTO x4]

Un’analisi similare alla mia che mostra altri aspetti e punti di vista l’ha condotta Diego Elio Pettenò in Inglese, vi invito a leggerla perchè è interessante.

For English readers, Diego Elio Petternò wrote in English an analysis similar to mine. Here you can read, it is interesting!

/36 Commenti/da

[AGGIORNATO x2] Libero Mail – Probabile attacco agli account eMail

Libero Mail

Nel corso delle ultime due settimane da alcune analisi effettuate mi è risultato un invio anomalo di eMail contenente SPAM provenienti da account di @libero.it, entrando più nel dettaglio ho ricevuto delle eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi 8 anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web!

Pertanto diverse eMail @libero.it con le quali in passato ho scambiato messaggi di posta elettronica mi hanno inviato un link contenente SPAM, mittenti che sono scollegati tra loro e non si conoscono ne virtualmente ne nella vita reale! Dettaglio che mi fa pensare di non essere un caso isolato ma una anomalia su buona parte degli account Italiani. Di seguito vi riporto in una tabella l’eMail che ho rilevato:

 

I Casi Rilevati
Data
 Mittente Destinatario Ultimo Contatto con il Mittente Contenuto
29/05/2014 [email protected] [email protected]*****ti.it 08/07/2013 SPAM
29/06/2014 [email protected] [email protected]*****ti.it 24/01/2013 SPAM
30/06/2014 [email protected] [email protected]********.net 30/09/2011 SPAM
03/07/2014 [email protected] [email protected]*****i.it 08/02/2010 SPAM
05/07/2014 [email protected] [email protected]*****i.it 05/07/2006 SPAM
08/07/2014 [email protected] [email protected]******ti.it 21/03/2014 SPAM
08/07/2014 [email protected] [email protected]*****ti.it 08/07/2013 SPAM
09/07/2014 [email protected] [email protected]*****i.it 24/10/2013 SPAM

 

 

Confrontando i dati in mio possesso con i dati di Phishing raccolti dal laboratorio del D3Lab ho trovato conferma che è in corso un insolito traffico di posta elettronica da account di Libero Mail, infatti nel secondo trimestre del 2014 gli attacchi di Phishing verso utenti @libero.it è cresciuto rispetto alla media dell’ultimo anno.

Secondo i dati attualmente in mio possesso è plausibile che una vulnerabilità nel portale Libero Mail ha permesso a malintenzionati di accedere alle caselle eMail di ignari utenti, sfruttare la loro rubrica inviando eMail ad utenti conosciuti scavalcando possibili filtri Anti Spam! Un ulteriore ipotesi può invece vedere colpevoli gli utenti di Libero Mail che usando password notevolmente deboli e pertanto sono stati facili bersagli da parte di Lamer/Cracker che hanno violato gli account proprio allo scopo di inviare questa eMail di Spam!

Continueremo ad analizzare la vicenda, se avete ulteriori informazioni cortesemente avvisatemi 😉 grazie!

[AGGIORNAMENTO 09/07/2014]

Analizzando i sorgenti delle eMail ricevute vi riporto i seguenti dati:

 

Analisi sorgenti eMail
Data Paese Mittente X-Mailer Server SMTP
29/05/2014 Estonia Microsoft Windows Live Mail 16.4.3522.110 estpak.ee
29/06/2014 Biellorussia Microsoft Windows Live Mail 16.4.3522.110 trjdesigns.com
30/06/2014 Kazakistan Microsoft Windows Live Mail 16.4.3522.110 telecom.kz
03/07/2014 Argentina Microsoft Windows Live Mail 16.4.3522.110 eigbox.net
05/07/2014 Ucraina Microsoft Windows Live Mail 16.4.3522.110 ccg.ua
08/07/2014 Paesi Bassi Microsoft Windows Live Mail 16.4.3522.110 dehostingfirma.nl
08/07/2014 Ucraina Microsoft Windows Live Mail 16.4.3522.110 mailgun.org
09/07/2014 Indonesia Microsoft Windows Live Mail 16.4.3522.110 melvincruz.com

 

da tali sorgenti deduco che gli spammer non hanno usato direttamente il portale eMail di Libero (http://posta.libero.it) ma sfruttavano una connessione SMTP per inviare eMail ed il software Microsoft Windows Live Mail (oppure uno script creato ad hoc che si identifica per tale client) usufruendo di diversi servizi SMTP.

Federico ‘glamis‘ Filacchione, mi ha gentilmente inviato un suo sorgente eMail nel quale vengono riproposte le stesse caratteristiche delle eMail che ho ricevuto personalmente.

Ad oggi pertanto dai dati raccolti possiamo riassumere le seguenti caratteristiche dell’attacco:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione.

Ipotesi

Non avendo inviato le eMail direttamente dal sito internet di Libero, tecnica che gli avrebbe permesso di inviare eMail attraverso un server SMTP che prevede l’autenticazione e quindi migliorando il Rank contro i filtri AntiSpam è plausibile che il Portale eMail di Libero.it contenga una vulnerabilità con la quale è stato possibile estrarre la rubrica eMail di ogni singolo account. Rubrica che poi è stata sfruttata per inviare l’eMail contenenti SPAM.

Punti da chiarire:

  • Gli account eMail @libero.it sfruttati per inviare SPAM hanno subito un cambio password non voluto? Quindi l’attaccante è riuscito anche a cambiare la password di tali account?
  • Libero ha comunicato ai propri utenti un utilizzo anomalo del proprio account invitandoli ad effettuare qualche procedura?

[AGGIORNAMENTO 21/07/2014]

Venerdì 11 Luglio 2014 ho commentato sul Blog Ufficiale di Libero.it la vicenda linkando il mio articolo, ma ancora ad oggi non ho ancora ricevuto nessuna risposta e il commento non è stato reso pubblico!

Stando invece ai molti lettori che mi hanno aiutato nell’indagare su questa vicenda posso trarre nuove conclusioni sull’attacco di SPAM ai danni degli utenti di Libero.it:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione;
  • eMail inviate ad utenti NON presenti nella rubrica del portale Libero.it;
  • eMail inviate ad utenti presenti nella “Posta Inviata” del portale Libero.it.

Dai dati raccolti il portale Libero Mail è stato violato, da tale violazione è stato possibile estrarre i destinatari delle eMail inviate e quindi presenti nella sezione “Posta Inviata” del portale Libero Mail. È facilmente credibile che avendo ottenuto l’accesso alla “Posta Inviata” abbiano ottenuto l’accesso anche alla posta “Posta in Arrivo” mettendo a disposizione di estranei le proprie eMail e magari anche Informazioni Sensibili o Personali.

Attendo, fiducioso, una risposta ufficiale da Libero.it in grado di circoscrivere il problema e/o inviarci ulteriori dettagli. Ad oggi l’accatto ha ottenuto una sfaccettatura importante al punto di rendere disponibili ad estranei le eMail di ignari utenti, violando la Privacy!

/61 Commenti/da

Rapporto del D3Lab sul Phishing 2013

D3Lab Rapporto Phishing 2013

Denis Frati del D3Lab ha oggi rilasciato il suo rapporto sul mondo del Phishing dello scorso 2013, un ottimo documento realizzato con molta dedizione e la massima volontà di contrastare un fenomeno in continua crescita debito a truffare i navigatori del web! Con grande piacere alcune volte aiuto Denis nell’effettuare analisi sui siti internet compromessi per poter estrarre quanti più dettagli possibili e prevenire futuri attacchi a danno dei clienti del D3Lab, le informazioni raccolte vengono ora pubblicate nelle ventidue pagine del Rapporto D3Lab 2013, documento riassuntivo dell’attività svolta lo scorso anno dall’azienda.

Il documento, pensato per società ed aziende interessate ai servizi proposti da D3Lab e per il law enforcement nazionale, non è disponibile in download ma ne deve essere richiesto via mail aziendale scrivendo a [email protected].

Con molto piacere vi mostro in anteprima alcune pagine del Rapporto per poter rendere partecipi anche i miei lettori nel lavoro che ogni giorno i White Hat effettuato per contrastare l‘abuso dei sistemi informatici!

/1 Commento/da

Tabnabbing, un caso reale di Phishing ai danni di Facebook

Tabnabbing, un caso reale di Phishing

Grazie alla segnalazione di Claudio Rizzo (~Zip~) i primi giorni di Marzo 2014 abbiamo rilevato un particolare attacco di phishing ai danni di Facebook e del portale WhatsApp Hacking, la particolarità di questo attacco è lo sfruttamento della tecnica di Tabnabbing.

Il Tabnabbing è una tecnica di attacco informatico di tipo phishing con un minimo di arguzia in più.
Viene presentato infatti alla vittima un link ad una pagina internet del tutto innocua e con del contenuto interessante. L’utente medio ha ormai l’abitudine di navigare su più tab (schede) all’interno del suo browser e la pagina in questione sfrutta questa abitudine per cambiare d’aspetto nel momento in cui l’utente la lascia aperta per visitare una nuova tab. Il nuovo aspetto rispecchierà in tutto e per tutto quello di una pagina di accesso a dei servizi online in cui vengono chieste username e password (per esempio il sito di posteitaliane, quello di un homebanking oppure la pagina di login di gmail come riportato dal link esterno). La vittima, tornando sulla scheda del sito attaccante, non si ricorderà più che quella deriva da un link non sicuro che ha cliccato, potrà invece pensare che aveva aperto tale pagina senza aver ancora effettuato l’accesso. Ovviamente l’inserimento dei dati in questa pagina verranno inoltrati all’account dell’attaccante e l’utente verrà reinderizzato sul sito reale in modo che non si accorga di essere stato derubato delle credenzialità. {Wikipedia}

Visto il forte interesse a “controllare” le conversazioni altrui di WhatsApp l’utente medio che faceva una ricerca online trovava nei principali risultati il portale “WhatsApp Hacking”, sito ospitato gratuitamente presso un importante provider che offre domini di terzo livello gratuitamente. Il sito in questione è una copia speculare dell’originale http://www.whatsapphack.com ma tradotto in Italiano, il sito civetta era stato costruito per trafugare le credenziali di accesso degli utenti Facebook!

Grazie alla collaborazione del D3Lab siamo riusciti a ricostruire integralmente il portale ed abbiamo riprodotto in locale l’esperienza di navigazione, che vi proponiamo nel seguente video:

Entrando più nello specifico il sito internet era composto da i seguenti file:

  • home.php
  • index.php
  • send.php
  • tabnabbing.js
  • contatti.txt

Il file index.php incorporava questa porzione di codice:


<script language="javascript" src="tabnabbing.js"></script>
<meta charset="UTF-8" />
<title>Whatsapp Hack - Whatsapp Hack Tool</title>

che richiama il file tabnabbing.js che incorpora la seguente porzione di codice:


function createShield(){
div = document.createElement("div");
div.style.position = "fixed";
div.style.top = 0;
div.style.left = 0;
div.style.backgroundColor = "white";
div.style.width = "100%";
div.style.height = "100%";
div.style.textAlign = "center";
document.body.style.overflow = "hidden";

window.location = 'home.php'

var oldTitle = document.title;
var oldFavicon = favicon.get() || "/favicon.ico";

div.appendChild(img);
document.body.appendChild(div);
img.onclick = function(){
div.parentNode.removeChild(div);
document.body.style.overflow = "auto";
setTitle(oldTitle);
favicon.set(oldFavicon)
}

Come è possibile vedere il precedente Java Script crea l’effetto Tabnabbing, una volta che l’utente cambia il focus su un’altra pagina/applicazione automaticamente entra in azione lo script che va a caricare la pagina home.php! Tale pagina emula la pagina di accesso di Facebook con un form che rimanderà al file send.php per il salvataggio delle credenziali:

<form id="login_form" action="send.php" method="post" onsubmit="https://www.facebook.com">

quest’ultimo file send.php contiene invece la seguente porzione di codice che rimanda l’utente sull’autentico portale di Facebook mostrandoli una foto del Concorso Protagoniste della Creatività:


<meta http-equiv="refresh" content="0; url=https://www.facebook.com/photo.php?fbid=539777592726633&set=a.539291452775247.1073741830.539232656114460&type=3&theater">

Il file send.php contiene inoltre lo script di memorizzazione delle credenziali sottratte all’utente, porzione di codice che non riusciamo a mostrarvi perché nidificato all’interno del Hypertext Preprocessor  “<?php” – “?>” ma che abbiamo scoperto salverà le credenziali all’interno del file contatti.txt che al momento della nostra analisi conteneva più di 160 credenziali sottratte come è possibile vedere nel seguente screenshot appositamente oscurato:

Credenziali_Phishing_Web

In conclusione l’utente che cercava online un metodo per leggere le conversazioni di WhatsApp di una terza persona trovava tra i primi risultati di Google il sito internet http://whatsapphack.provider123.com, tale sito era una copia speculare dell’autentico sito www.whatsapphack.com ma tradotto in Italiano e non permetteva il download di alcuna applicazione, ma non appena si cambiava il focus del scheda/pannello del Browser magari per vedere una notifica su Twitter o un altro risultato della ricerca entrava in funzione lo script di Tabnabbing che sostituiva la pagina con un form di autenticazione di Facebook falso debito esclusivamente a sottrarre le credenziali.

Quanto prima provvederò a contattare tutti gli utenti coinvolti e gli avviserò che le loro informazioni sono state trafugate!

Ringrazio Claudio Rizzo per la segnalazione e Denis Frati del D3Lab per il supporto.

/0 Commenti/da

Il Phishing e l’onestà Italiana…

phishing

Vi racconterò una breve storia che si sta svolgendo in questi giorni, non tanto per farvi conoscere il mondo del Phising, l’utente medio di questo Blog conosce già, ma sulla correttezza ed onestà che purtroppo manca ad alcune aziende Italiane operati nel settore Web.

Domenica 22 Settembre, la mia compagna ragazza che è la Vice Presidente di una associazione locale, riceve via eMail una comunicazione della Internet Identity scritta in un Italiano maccheronico (probabilmente hanno usato un traduttore) nella quale veniva informata che il loro sito internet viene utilizzato per azioni di Phishing ai danni dell’Istituto di Credito CIBC che loro rappresentano, forniscono ogni dettaglio dell’attacco (Indirizzo Malevolo e IP) e si offrono di aiutarla a risolvere il problema a patto di contattarli all’indirizzo eMail in firma o al numero telefonico. La mail era scritta in maniera corretta e ordinata, ad intuire un ottima serietà dell’azienda!

Il sito internet in questione è sviluppato sulla piattaforma Joomla e le credenziali di amministrazione le ha esclusivamente l’azienda incaricata alla produzione del sito, altre persone hanno un semplice account da Editore ove possono modificare o creare nuovi contenuti ma non hanno permessi ulteriori.
Il dominio nel frattempo era andato offline, Forbidden, compresa la homepage! Probabilmente perché gli attaccanti avevano cambiati i permessi dei file, erroneamente.

La mail ricevuta dall’Internet Identity viene inoltrata agli amministratori del sito, i quali rispondono (copio e incollo):

Continua a leggere

/1 Commento/da