On 7/12/10 12:30 PM, [email protected] wrote: >>> Secondo voi, non gli verrebbe resa la vita un po' meno facile >>> disabilitando l'hot-linking delle immagini fuori dal dominio >>> poste.it? >> > Penso sia controproducente. Nei casi in cui il phisher utilizza le > immagini (o qualsiasi altra risorsa) linkando direttamente il sito > dell'attaccato, quest'ultimo ha una importante informazione da > monitorare sui propri log (richiesta di immagini con referer diverso > dal proprio) che può essere utilizzata come indicatore di pericolo.
In realtà, i "kit pronto-phishing" già precedentemente citati da qualcun altro spesso non sono che delle tarball con la replica del sito, immagini comprese. Nessun bisogno di likare quelle sul sito originale, quindi. Piuttosto nel contenuto delle mail di phishing, ci sono 3 casi per quanto concerne le immagini - stanno sullo stesso host del phishing cui puntano - stanno su un altro host contenente phishing - stanno sul sito originale Si vedono tutte e tre le tipologie (forse c'è una preponderanza di una sulle altre, mai posto il problema, ma di certo non è poi marcatissima). Tuttavia, quand'anche si sia nel terzo caso, c'è da tenere conto che la GET dell'immagine effettuata dal MUA giunge al webserver di norma priva di referrer. Quindi al limite l'attaccato può sapere che vi è una ondata di phishing che lo riguarda, ma difficilmente cava dai log qualche informazione su dove sia il phish. Potrebbe solertemente sostituire l'immagine con la "versione allarmata" se la GET è priva di referrer, ma - otterrebbe molto probabilmente di scassare un po' di cose in giro per il proprio mondo, dato che il caso di referrer nullo càpita in altre occasioni - i phisher cambierebbero con poca fatica le proprie prassi usando uno degli altri due metodi sopra riportati Per riassumere, monitorare le GET per le immagini e gli eventuali referrer aiuta, ma basare qualche azione "runtime" su quei dati è una prassi meno risolutiva di quanto potrebbe sembrare a prima vista... Invece, è interessante notare come alcuni dei kit (non tutti) succitati facciano uso di chiamate curl in direzione del sito originale al fine di validare a runtime le credenziali introdotte dalle vittime del phish. Monitorare il "comportamento" di quella tipologia di accessi in modo da poterli individuare è probabilmente assai più redditizio che giocare con le immagini. Il tutto, IMHO, AFAIK, ROTFLASTC, ed una serie di sigle a vostro gusto, tenendo conto che mi occupo del solo lato SMTP del "problema phishing" e non sono granchè coinvolto sul fronte HTTP... -- Paranoia is a disease unto itself. And may I add: the person standing next to you may not be who they appear to be, so take precaution. ----------------------------------------------------------------------------- http://bofhskull.wordpress.com/ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
