Stavo controllando la mia casella spam su libero e tra le varie mail di
> phishing noto questa alquanto strana di CartaSì:
[..]
> Per ovviare al problema e' necessaria la verifica e l'aggiornamento dei dati
> relativi all'anagrafica dell'Intestatario del servizio.
> Effettuare l'aggiornamento dei dati cliccando sul seguente link:
>
> https://titolari.cartasi.it/aggiorn/ind/log
>
> Effettuare l'aggiornamento dei dati.
[..]
> Questo però mi fa pensare che qualcuno sia riuscito a sfruttare una qualche
> vulnerabilità nel sito CartaSì e creare una pagina farlocca all'interno del
> sito stesso per recuperare credenziali per un qualche lasso di tempo (la
> mail è del 28/06/2010 ore 23.41) finché la falla è stata scoperta e chiusa.
Mi aggancio al thread, se posso, per fornire un po' di "contorno" alla
risposta gia' data da 'ASCII' (il messaggio sembra essere un phishing
"canonico", con URL taroccata per portare altrove l'utente) perche'
merita forse parlarne al di la' del singolo caso.
Alcuni messaggi di phishing (comunque pochi sul totale di quelli con cui
ho avuto personalmente a che fare: uno all'anno o anche meno) sembrano
"resistere", infatti, perfino ad un controllo del sorgente, che riporta
la URL gia' visibile e facente capo ad un sito/dominio legittimo. Fermo
restando il fatto che sono comunque propenso a mettere in fondo alla
lista delle possibilita' l'hacking diretto dei siti dell'istituzione
coinvolta, qualunque essa sia, metto qui in fila qualche idea volante su
cio' che si puo' considerare ben piu' plausibile.
1. Il messaggio non ha (ancora) niente a che fare con un phishing e
serve al mittente per vedere se, inviando all'indirizzo del
destinatario, si produce una notifica di errore (possibile in caso di
account eliminato, etc.); in poche parole il messaggio e' una "sonda"
utilizzata per raccogliere un po' di rimbalzi dove ce ne sono e
"ripulire" una lista da impiegare in invii successivi. Cio' e' ben piu'
palese con messaggi che sembrano provenire da sconosciuti stranieri e
che contengono... poco o nulla (ne ho ricevuto proprio oggi uno con
scritto dentro giusto "md" e sono abbastanza certo che non fosse Marco
D'Itri ;-)).
2. Il mittente voleva fare davvero del phishing ma ha semplicemente
omesso di includere, nel messaggio, l'URL del sito effettivamente
compromesso nel quale ospitare le pagine di raccolta dati. Questo sembra
abbastanza facile se qualcuno puo' confermare le voci, sempre piu'
insistenti, secondo le quali sarebbero in circolazione veri e propri
"kit di montaggio" per fare phishing. Se e' cosi', allora qualcuno di
questi pacchetti potrebbe essere finito in mano facilmente anche a
qualcuno che non sa come servirsene nel modo corretto. Non so se capiti
davvero, ma probabilmente basta l'idea per farci qualche gustosa risata
alle spalle dei phisher.
3. Questa e' gia' molto meno probabile, ma in teoria possibile e,
quindi, merita giusto due centesimi di considerazione. Se fossero stati
i DNS di qualche provider ad essere stati temporaneamente "avvelenati"
(cache poisoning) in modo da far puntare un nome ad un indirizzo
differente dal solito, un messaggio con la URL contenente il dominio
corretto otterrebbe proprio l'effetto desiderato, cioe' quello di
carpire i dati dell'utente tramite una pagina di terzi. Si bersaglia
(poisoning+phishing) un solo provider alla volta e si raccoglie
relativamente poco, perche' l'effetto e' sicuramente di breve durata e
qualche pescione sfugge alla rete solo per aver cliccato troppo tardi
sul link-esca (sembrerebbe spiegare il 404, "se" il nome del sito era
"davvero" quello giusto); ma per chi ha gettato la rete quel poco
potrebbe comunque valere la pena.
4. Quest'ultima e' quasi da paranoia e la riporto qui a titolo di
riflessione giusto perche', a mio avviso, la tecnologia non e' sempre il
solo aspetto da considerare rilevante, quando si pensa alla sicurezza
informatica. Viviamo in un'epoca nella quale basta una notizia (falsa)
su un malore di Steve Jobs in qualche forum per gettare nel panico il
mercato azionario e provocare ad arte rimbalzi anomali, muovendo
capitali altrui come con un telecomando (gia' capitato, ma c'e' sempre
il rischio che per qualcuno sia una novita'). Per uno speculatore, una
folata di e-mail dalle quali far trarre veloci (e sbagliate) deduzioni
sulla presunta inaffidabilita' di una qualsiasi organizzazione potrebbe
essere un mezzo, magari non l'unico ma sicuramente non lecito, piuttosto
a buon mercato e di un certo quale effetto negli ambienti "giusti", per
tirare l'acqua al proprio mulino.
Se qualcuno ha altre idee, potrebbe essere interessante raccoglierle
insieme.
un saluto
Marcello Magnifico
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
