23 agosto 2012

Phishing: scovato server truffaldino ...

Ricevo ancora una volta la classica Email di spamming da (apparentemente) poste.it , sembra veramente 'ben fatta' , non ci sono nemmeno i grossolani errori ortografici che accompagnano spesso questo genere di messaggi. Naturalmente il fido client di posta Thunderbird fa il suo onesto lavoro relegando questa email nella cartella spam.

Ciò nonostante sono incuriosito perchè sembra veramente (e subdolamente) un messaggio innocuo proveniente dalle Poste Italiane ... 
Guardando meglio noto che c'e un file allegato (sicurezzX_XXX_cliente.XXX.shtml) , lo apro e vengo dirottato qui:



Ok , sembra tutto normale (sembra ...). Apro "visualizza sorgente pagina" di Firefox , mi studio un pò la struttura di questa pagina scritta in codice HTML ,  fino a quando questa cosa attira la mia attenzione:

Grosso modo la riga evidenziata dalla freccia starebbe a significare: tutto quello scritto compilando il form (user , password , data scadenza , ecc) va "mandato" a questa pagina 

http://www.XXXXXX.fi/jasenet/photogallerytest/admin/classes/ha.php

....ahi ahi ahi .... l'estensione geografica del server indica un dominio registrato in Finlandia !!!!!
Provando a puntare a questo indirizzo "http://www.XXXXXX.fi/jasenet/photogallerytest/admin/classes/" (senza la "ha.php" finale) e sono arrivato qui:

Cliccando su "ha.txt" si apre un file di testo cosi:

MA GUARDA UN PO !!!!!.... un sostanzioso elenco di dati di utenti con relative USER , PASSWORD , SCADENZE , ecc ...insomma tutto quello che ci vuole per entrare nel vero sito di Poste.it con le credenziali corrette dei relativi Clienti ignari che , avendo compilato , magari in buona fede , con i propri dati la pagina-trappola li hanno in pratica  REGALATI a dei banditi che ne RIPULIRANNO IL CONTO !!!! ....

Io stesso ho voluto provare ad accedere a un conto , ho utilizzato un nome a caso tra quelli contenuti nel file "ha.txt" ed ho tranquillamente avuto l'accesso al conto di questa persona , avrei potuto fare qualsiasi operazione .... Visto che però la cosa potrebbe configurarsi come reato penale naturalmente sono uscito senza toccare nulla , la mia era solo una prova spinta dalla curiosità .... mi sembrava perfino "troppo facile" per essere possibile ....

Nota importante: in tutte le immagini qui pubblicate ho nascosto i riferimenti veri per ovvie ragioni , appena possibile sarà mia cura segnalare l'accaduto alla Polizia Postale di Forli fornendo loro le immagini e/o documentazione originali senza cancellature.

Nessun commento: