http://servermanaged.it/sicurezza/no...re-e-phishing/

Molto spesso la tua sicurezza può essere minata da un semplice messaggio email. Si hai letto bene. Si tratta del phishing, una tecnica di attacco che gode ancora di molta popolarità tra i blackhat che si divertono a prosciugare i conti correnti di chi inavvertitamente inserisce i propri dati personali all’interno di improbabili siti fake preparati all’occorrenza da truffatori senza scrupoli.

Quello delle truffe è un mercato che fa gola a molti e purtroppo sono numerosi gli utenti che ancora cadono in tranelli di questo tipo.

Guarda questo messaggio di posta:



Ti consiglio di ritagliare dieci minuti del tuo tempo per proseguire con la lettura di questo post perché analizzeremo per te le varie parti del messaggio. Se hai ricevuto un’email di questo tipo ci sono vari motivi per cui la sua natura dovrebbe insospettirti:

A. La prima cosa che salta all’occhio è il mittente del messaggio adminit@paypal.it. Paypal non invia email da questa casella di posta. L’indirizzo è falso ed oltretutto è stato spedito dal server german-dns.se
B. Il secondo elemento che dovrebbe far scattare il campanello d’allarme è il flag “undisclosed-recipients”. Significa sostanzialmente che l’email è stata inviata a numerosi indirizzi e non direttamente alla tua casella di posta. L’email non è personale ma “di massa”
C. Sei italiano vero? Quindi perché dovrebbe arrivarti un’email da PayPal France?
D. Leggi il corpo dell’email. Le frasi sono sconnesse, impersonali e disarticolate, con evidenti errori di ortografia (Paypall con due elle su tutti)
E. La formula magica: “abbiamo bisogno di confermare nuovamente le informazioni sul tuo conto PayPal” con un’invito a cliccare su un link.

Vale la pena di analizzare questo link sotto il profilo tecnico. Utilizziamo lo strumento curl su una shell Linux, specificando un user agent, in modo da prelevare l’url come se fossimo un normale browser e la modalità verbose in modo da avere maggiori dettagli tecnici sul link.



Il risultato è una risposta 302, ovvero un redirect temporaneo da hxxp://mx-ams.pepejeans.es/canit/api/it/help.php verso hxxp:///avsa-avsa.com/flags/weblogin. L’url hxxp:///avsa-avsa.com/flags/weblogin è il punto finale di atterraggio utilizzato in questa campagna di phishing. Il contenuto di questo sito è una pagina fake dell’home di PayPal.

[ Proprio mentre stavamo scrivendo la pagina in questione è stata rimossa ]

E’ inutile dire che inserendo i tuoi dati personali all’interno di una pagina di phishing andrai incontro a grossi rischi, primo tra tutti quello di vedere il tuo conto Paypal prosciugato.

Il phishing è una piaga purtroppo molto attuale, un pericolo per tutti.