Discussione Il phishing nel 2022 è ancora uno degli attacchi più efficaci per rubare password

0xbro

Super Moderatore
24 Febbraio 2017
4,148
162
3,182
1,645
Ultima modifica da un moderatore:
Il phishing nel 2022 è ancora l'attacco più diffuso ed efficace per rubare le credenziali degli utenti. Analizziamo in che modo questi criminali riescano ad ottenere più di 30 mila password in meno di un mese.​

facebook-phishing-1280x720.png


Il Phishing nel 2022 è ancora uno degli attacchi più efficaci per rubare password!​

Tempo di lettura stimato: 16 min​








1    Cos'è il Phishing



In merito al Phishing si è parlato davvero molto negli ultimi anni, soprattutto per colpa del numero di attacchi sempre più in crescita, dovuti in particolar modo alla pandemia e al lavoro da remoto, che obbliga le persone a passare un maggior numero di tempo al pc e le "espone" maggiormente ai pericoli del web. Facciamo però prima un passo indietro per chi ancora non ha mai sentito parlare di questa tipologia di attacco informatico o per chi ancora non ha ben chiaro in cosa consista.
"Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale."
(Phishing - Wikipedia)

Riguardo ai concetti di base sull'argomento e all'aspetto teorico dell'attacco, sul forum ne abbiamo già parlato in passato (link sottostante), per cui nel seguente articolo daremo per scontato tali informazioni (che comunque vi invito a leggere in autonomia).




2    L'attacco



L'attacco che andremo ad analizzare fa parte di una catena diffusasi tra gli inizi e la fine di Gennaio dell'anno in corso, giunta fino ai miei genitori tramite altri loro colleghi. La catena è ben nota sul web e sono sempre di più i siti che ne parlano, anche se non sempre in maniera corretta. In caso voleste leggere altre informazioni a riguardo, una rapida Googlata vi darà le informazioni che cerchiate, ma per adesso continuiamo con la nostra analisi.​


2.1    Approccio



Tutto ha inizio tramite un semplice messaggio su Messenger da parte di un collega, un parente o un vostro amico, che vi comunica con fare molto sconvolto/sorpreso di avervi visto in una foto o in un video:
rBTfdNL.png

(Link inoltrato su telegram, ma l'originale proviene da Messenger)​

Per quanto già saltino all'occhio diversi indicatori di truffa e di pericolo (url non convenzionale, sensazione di allarme o pericolo trasmessa dal mittente) che dovrebbero scoraggiare la vittima a cliccare sul link, molte persone in preda al panico, alla curiosità o più semplicemente perchè non stanno capendo cosa stia succedendo, cliccano sul link per vedere di cosa si tratti.

L'attacco è intelligente (più intelligente degli attacchi phishing tradizionali, ndr.), proviene da una fonte nota, che quindi viene ritenuta sicura diversamente delle solite email, e utilizza un link abbreviato, cosa che ormai viene usata anche dai servizi mainstream, rendendo quindi l'attacco più plausibile e meno riconoscibile paragonato ai tradizionali attacchi.​


2.2    Analisi della minaccia



Siccome si tratta di un link molto sospetto e potenzialmente pericoloso, non conoscendone il contenuto ho deciso di ispezionare cosa facesse tramite l'ausilio di una sandbox. Ne esistono diverse sul web, tra cui Browserling (che non è propriamente una sandbox ma che permette di visitare pagine web in maniera indiretta), Cucko oppure quella che ho usato in questo caso: any.run. Utilizzare uno strumento del genere permette di vedere ed analizzare il contenuto di un sito senza visitarlo direttamente, permettendo così di proteggere la propria macchina e i propri dati da eventuali compromissioni dovute a codice malevolo.

Il link ricevuto in chat ri-direziona l'utente verso una pagina di login di Facebook con un messaggio (sgrammaticato) che ci avverte che il sito per autorizzarci a proseguire ha bisogno di verificare il nostro account:
FA9vKg8.png

(Pagina su cui si atterra dal link)​

Anche in questo caso la pagina è piena di indizi che possono farci pensare ad un tentativo di truffa: primo tra tutti il dominio del sito (riquadrato sopra in rosso), il quale, nel caso si trattasse di Facebook, dovrebbe essere "facebook.com" ma che nel caso corrente è "funnel-preview.com". In secondo luogo il layout del sito che, nonostante il footer "Facebook © 2021" (che adesso è diventato "Meta © 2022") utilizza il vecchio stile, ormai non più utilizzato.​

KWeMgaU.png

(Versione desktop moderna di Facebook)

ZVRNmDX.png

(Versione mobile moderna di Facebook)​

Il sito così a primo impatto sembra essere un classico portale di phishing, analizzando però il comportamento delle chiamate in background tramite un proxy su una macchina virtuale è possibile notare come il portale tenti di ottenere e loggare diverse informazioni appartenenti al visitatore:​

KkERi8d.png

(Richieste HTTP usate per il tracciamento)​

Trovate comunque pubblicamente tutta l'analisi fatta dalla sandbox al link di seguito:



2.3    Un errore... particolare!



Dopo l'immissione delle credenziali il sito mi ha mostrato due cose diverse. Dalla sandbox il risultato finale è stata una pagina d'errore del server, mentre dalla macchina virtuale la navigazione si è conclusa su una pagina custom dove veniva detto che il prodotto selezionato non fosse più disponibile.

uSMQkw8.png

(Pagina di errore dalla VM)

Ql7Ay1o.png

(Pagina di errore tramite la sandbox)​

L'errore 403 del server sulla pagina save.php ha attirato in particolar modo la mia attenzione. La pagina in sé e per sé è colei che si occupa di ricevere e salvare i dati dell'utente sul server. La richiesta inviata a tale pagina è la seguente:
XRADW6c.png

(POST inviata alla pagina save.php)​

Ciò che però mi ha maggiormente incuriosito è stato l'errore del server che mi ha fatto pensare che potesse esserci qualche configurazione errata che a volte facesse rispondere il sito correttamente e altre volte no. Ho così deciso di controllare in prima persona partendo come al solito dalla home...







Non c'è una spiegazione logica a tutto questo... o l'attaccante ha commesso un errore abominevole oppure si tratta di un truffatore della domenica.
Arrivati a questo punto però la strada da seguire è una sola...​


2.4    Analisi del contenuto del back-end del sito



Scarichiamo i due file e analizziamo il loro contenuto:

xgLx0Uv.png

(Contenuto dei due zip)​

Ottimo, abbiamo a disposizione il backup di tutti e tre i siti presenti nel directory listing. Guardandone il contenuto sembrano tutti e tre molto simili tra loro:
cgC8rVn.png

(Comparazione dei tre siti)​

Avendo ora a disposizione l'intero codice sorgente del sito si potrebbe fare un'analisi dettagliata del suo comportamento e dei files contenuti al suo interno. Per questioni di tempo però ci limiteremo a guardare solo le pagine più interessanti.
Siccome tutto è nato dal fatto che questo fosse un sito di phishing e ciò che ci ha portato fin qua è stato l'errore sulla pagina save.php, inizierei a osservare per primo proprio questo file:



Come immaginabile il file riceve le informazioni dal fake login di Facebook assieme ad altre informazioni di tracciamento della vittima e le scrive all'interno di un file in base al paese di provenienza di quest'ultima. Prima di farlo però controlla che la vittima non sia già stata segnata all'interno del file. Oltre a questo lo script importa altri due sorgenti php per funzionare: geoip.php (il cui codice è il seguente: github), che si occupa di identificare il paese della vittima, e configuration.php che definisce tutte le varie cartelle, la struttura del sito, la logica di comportamento e le credenziali degli hacker per accedere al db (complimenti a loro per aver leakato le credenziali :asd:):​



A questo punto abbiamo trovato anche la cartella dove sono contenute le credenziali rubate agli utenti... vediamo quante ne sono riusciti a rubare.​



ftLJ0Lj.png

(Totale credenziali file Italy)​

PIU' DI 1400 CREDENZIALI RUBATE!

E queste sono solo quelle rubate in Italia prima del 2 Gennaio! Considerando che il sito è ancora in piedi è fattibile che stiano continuando la campagna, e se consideriamo tutti gli altri stati è possibile che abbiano totalizzato più di 50 mila credenziali!


3    Conclusioni



Come abbiamo potuto constatare il phishing è ancora una piaga molto diffusa ma soprattutto ancora molto efficace (come dimostrato dai file che abbiamo trovato). Per quanto l'attacco risulti un po' più credibile dei tradizionali (fatti via email), sono molti i fattori che devono farvi storcere il naso ancora prima di raggiungere il messaggio d'errore finale.

Il motivo per cui il messaggio arrivi su Facebook tramite DM è semplice e presto detto: l'attaccante utilizza le credenziali rubate per loggarsi nell'account della vittima (e probabilmente anche alla casella email in caso di password utilizzata su diversi siti in modo da sventare la 2FA) e proseguire ulteriormente l'attacco inviando il link malevolo ad altre vittime. In questo modo si crea una catena infinita di possibilità che permette loro di ottenere sempre più credenziali.
Lo scopo di tutto ciò probabilmente è rivendere poi tutte le credenziali ottenute, ma di questo non ne sono completamente sicuro.

Abbiamo visto come però in questo caso l'attaccante (o gli attaccanti, vista la struttura del sito) abbiano commesso degli errori molto gravi, esponendo sostanzialmente l'intero sito web e un gran numero delle credenziali ottenute tramite la campagna.

3.1    Contrattacco

Siccome Inforge tiene a cuore la sicurezza degli utenti del web, come possiamo fare per segnalare in tempo ragionevole l'accaduto a tutte le vittime ed invitarle a cambiare credenziali il prima possibile?

Mi raccomando ragazzi, fate sempre attenzione ed istruite anche i vostri genitori, amici e parenti a riconoscere questo tipo di truffe.
NON INVIATE MAI LE VOSTRE CREDENZIALI SE NON AVETE LA CERTEZZA ASSOLUTA CHE IL SITO A CUI LE STATE DANDO SIA SICURO!



Made with ❤ for Inforge

 

MØNTI

Utente Gold
15 Maggio 2010
657
56
122
295
A primo impatto mi sembra sempre assurdo leggere queste cose. Per noi che mastichiamo informatica da anni, sembra quasi ridicola l'abilità nel riuscire a capire un URL malintenzionato (per quanto anomalo sia nella sua forma). Tuttavia, siamo solo un caso "limite" rispetto a tutte quelle persone che, per negligenza o inesperienza, si ritrovano all'interno di un social network (o banalmente nei messaggi telefonici) continuamente vittime di phishing. Questa cosa è molto triste. Bellissimo articolo!
 
  • Mi piace
  • Grazie
Reazioni: Closed e 0xbro

ZeusOn3

Utente Bronze
20 Gennaio 2020
77
3
7
26
Purtroppo è vero. Non esiste limite o patch per la stupidità umana, c'è ancora gente che ci casca ?

Hai fatto bene a postare una guida del genere, che chiarisse le idee immediatamente a chi purtroppo non le ha già chiare da anni.

Comunque basterebbe un controllo del URL, e verificarne l'originalità con una ricerca su google..
 

CrazyMonk

Utente Electrum
24 Dicembre 2021
483
14
247
159
Ottimo articolo @0xbro , davvero un' ottima analisi. Speriamo che molte persone che non sono ancora capaci di difendersi da questo tipo di truffa, leggendo questo articolo, imparino a tutelare i loro dati! ;)
 
  • Grazie
Reazioni: 0xbro

Hastro

Utente Emerald
14 Febbraio 2012
423
60
171
355
Un articolo interessantissimo! Certo che un .htaccess lo potevano impostare eh .... fanno pagine di phising et simili e poi lasciano la root aperta???? Ma perchè :asd::rofl::alesisi:
 
  • Love
Reazioni: 0xbro

Andreww

Utente Iron
10 Dicembre 2021
2
0
0
8
Mi chiedo quanto tempo ci vorrà prima che gli utenti imparino a distinguere i siti originali da quelli falsi. E se possibile impostare l'autenticazione a due fattori ovunque, per esempio io ho password diverse ovunque e non le scrivo. Anche dall' allarme ajax in casa una volta al mese cambio per sicurezza. Non sto nemmeno parlando di pagare con una grande carta di credito nei negozi. Per gli acquisti online, ho una carta separata sulla quale metto la quantità di denaro strettamente necessaria.
 

artoniack

Utente Bronze
13 Gennaio 2021
88
20
8
42
Bellissimo articolo quindi complimenti. Aggiungo che ultimamente lo stanno facendo anche su Instagram in modo leggermente diverso ma simile.

Detto questo avrei una curiosità data dalla mia inesperienza nel settore: se un soggetto cadesse in questa rete inserendo le sue credenziali ma possedesse l'autentificazione 2FA con app (es. Google authanticator) il suo account verrebbe sempre rubato? Penso di o sbaglio?
 

0xbro

Super Moderatore
24 Febbraio 2017
4,148
162
3,182
1,645
Bellissimo articolo quindi complimenti. Aggiungo che ultimamente lo stanno facendo anche su Instagram in modo leggermente diverso ma simile.

Detto questo avrei una curiosità data dalla mia inesperienza nel settore: se un soggetto cadesse in questa rete inserendo le sue credenziali ma possedesse l'autentificazione 2FA con app (es. Google authanticator) il suo account verrebbe sempre rubato? Penso di o sbaglio?
No esatto, in caso di 2FA tramite mobile token o Google Authenticator l'account sarebbe salvo
 

0xbro

Super Moderatore
24 Febbraio 2017
4,148
162
3,182
1,645
grazie per la risposta ma allora come mai facebook non mette obbligatorio per i suoi account la 2FA come accade già per banche o paypal?
Credo che sia dovuto alla differenza di dati che le piattaforme gestiscono. I servizi bancari dato che maneggiano soldi sono soggetti a maggiori attenzioni lato security a causa degli impatti devastanti che una loro compromissione potrebbe avere. Un profilo social, per quanto possa contenere dati privati, non è allo stesso livello di una banca (o servizi che contengono dati sanitari), per cui è ad indiscrezione dell'utente decidere se attivate la 2FA o no
 

Zeus4

Utente Electrum
26 Settembre 2020
367
18
102
139
La 2FA è molto utile. Ma da quando l’ho attivata ho una paura bestiale di perdere/rompere il telefono. Come la gestite voi questa cosa?
 

kaisersoze22

Utente Iron
23 Febbraio 2022
3
0
2
2
Mi chiedo quanto tempo ci vorrà prima che gli utenti imparino a distinguere i siti originali da quelli falsi. E se possibile impostare l'autenticazione a due fattori ovunque, per esempio io ho password diverse ovunque e non le scrivo. Anche dall' allarme ajax in casa una volta al mese cambio per sicurezza. Non sto nemmeno parlando di pagare con una grande carta di credito nei negozi. Per gli acquisti online, ho una carta separata sulla quale metto la quantità di denaro strettamente necessaria
Devi tener conto che l'utente medio non ha conoscenze informatiche da poter distinguere un link malevolo da uno originale. La tecnologia è esplosa e purtroppo in mano a persone che usano Dispositivi soltanto per i social o semplici richerce google. Oggi usano i telefoni anche i 75 enni e 80 enni cosa vuoi che ne sappiano.
 
  • Mi piace
Reazioni: artoniack e 0xbro

BeastMode

Utente Silver
16 Gennaio 2017
103
5
19
56
Io dico solamente che questo argomento è stato toccato già molte e siamo sempre qua con il server aperto e pieno di utenza, quindi sono tread inutili.
Io non ci sto giocando per cavoli miei però potessi lo farei.

Devi tener conto che l'utente medio non ha conoscenze informatiche da poter distinguere un link malevolo da uno originale. La tecnologia è esplosa e purtroppo in mano a persone che usano Dispositivi soltanto per i social o semplici richerce google. Oggi usano i telefoni anche i 75 enni e 80 enni cosa vuoi che ne sappiano.
Esatto, una persona poco capace ci perde le carte di credito in queste robe
 
  • Mi piace
Reazioni: artoniack

Kode

Utente Emerald
10 Dicembre 2013
1,226
81
371
623
Esatto, una persona poco capace ci perde le carte di credito in queste robe
Più che poco capace, poco sveglia. Conosco professori universitari che hanno i dati delle proprie carte di credito sul desktop del loro PC e credo che loro ne sappiano in merito ma non credo siano abbastanza svegli da gestire una cosa cosi semplice. Fatto sta che proprio pagine che sto seguendo sui social hanno subito questo tipo di "attacco", questo anche perché non vi è per niente educazione sul data privacy e su come tutelarsi su internet. Prova a domandare cos'è un 2FA ad una persona qualsiasi che usa attivamente Instagram (anche giovane), quante ti queste ti sanno rispondere? E quante di queste hanno il 2FA attivo sui propri account? Che poi ok i social, ma parliamo anche di tutelarsi su carte di credito e prepagate...
 
  • Mi piace
Reazioni: 0xbro

Hackth3w0rld

Utente Iron
13 Gennaio 2022
15
1
10
14
amite mobile token o Google
Più che poco capace, poco sveglia. Conosco professori universitari che hanno i dati delle proprie carte di credito sul desktop del loro PC e credo che loro ne sappiano in merito ma non credo siano abbastanza svegli da gestire una cosa cosi semplice. Fatto sta che proprio pagine che sto seguendo sui social hanno subito questo tipo di "attacco", questo anche perché non vi è per niente educazione sul data privacy e su come tutelarsi su internet. Prova a domandare cos'è un 2FA ad una persona qualsiasi che usa attivamente Instagram (anche giovane), quante ti queste ti sanno rispondere? E quante di queste hanno il 2FA attivo sui propri account? Che poi ok i social, ma parliamo anche di tutelarsi su carte di credito e prepagate...
si, io ne vedo molti, ma moltissimi, che per loro è già tanto doversi ricordare le password perché hanno una sorta di ansia nel dover accedere subito, figurati dopo aver inserito la password fare la sudata di prendere il cell, aprire un app e reinserire il codice... almeno 5 giorni di riposo ci vogliono...
Io credo che il minimo della sicurezza informatica(la base diciamo) dovrebbe essere insegnata proprio a prescindere a scuola, oppure anche dopo in qualsiasi azienda, dovrebbe essere strutturata proprio diversamente...
cioè bisognerebbe fare qualche ora di formazione dalla base, ormai chiunque ha un telefono(che alla fine è come avere un computer oggi) e però di fatto viene confuso il fatto di saper scaricare un app ed utilizzarla con il fatto di essere informatico. e su questo sbaglia anche chi lavora nel settore, bisogna iniziare ad imporsi o si fa come dico io oppure fai come vuoi tu e la responsabilità è tua...
 
  • Mi piace
Reazioni: hck2009

JeXor

Utente Bronze
25 Giugno 2019
19
5
11
29
Che articolo è mai questo?
Sappiamo che esistono, sappiamo come si riconoscono, sappiamo che è ancora uno degli attacchi più efficaci, sappiamo che cliccare su link a caso e dare credenziali non è una delle cose più sveglie che si possano fare.
Cosa aggiunge questo articolo? Un in-depth nel phishing da script kiddie perché ci sono un paio di screenshot? Non hai fatto altro che descrivere un processo conosciutissimo e avere la fortuna di riuscire a sgamargli il db e tutto il resto perchè è stato stupido il truffatore.
 

0xbro

Super Moderatore
24 Febbraio 2017
4,148
162
3,182
1,645
Ultima modifica:
Sappiamo che esistono, sappiamo come si riconoscono, sappiamo che è ancora uno degli attacchi più efficaci, sappiamo che cliccare su link a caso e dare credenziali non è una delle cose più sveglie che si possano fare.
Cosa aggiunge questo articolo? Un in-depth nel phishing da script kiddie perché ci sono un paio di screenshot? Non hai fatto altro che descrivere un processo conosciutissimo e avere la fortuna di riuscire a sgamargli il db e tutto il resto perchè è stato stupido il truffatore.
Se davvero tutti lo conoscessero e tutti sapessero queste cose non ci sarebbero state 1400 e più credenziali valide.
Non doveva essere nulla di sofisticato o di advanced, ma una semplice discussione informativa (e ironica, data appunto la misconfigurazione palese).

PS: Ho deciso di creare questo topic proprio perchè sono rimasto molto sorpreso
1) Da quanto fosse configurato male il server
2) Dall'elevato numero di credenziali rubate
Non avessi trovato esposto il backup non avrei di sicuro scritto tutto questo topic, anzi avrei risparmiato anche molto volentieri il mio tempo per fare altro, ma date le circostanze e data l'innumerevole quantità di dati ho trovato interessante condividere la mia esperienza ¯\_(ツ)_/¯
 
  • Mi piace
Reazioni: Fulvy

czonta96

Utente Gold
17 Gennaio 2022
259
73
153
289
Che articolo è mai questo?
Sappiamo che esistono, sappiamo come si riconoscono, sappiamo che è ancora uno degli attacchi più efficaci, sappiamo che cliccare su link a caso e dare credenziali non è una delle cose più sveglie che si possano fare.
Cosa aggiunge questo articolo? Un in-depth nel phishing da script kiddie perché ci sono un paio di screenshot? Non hai fatto altro che descrivere un processo conosciutissimo e avere la fortuna di riuscire a sgamargli il db e tutto il resto perchè è stato stupido il truffatore.
100% d'accordo. Ma veramente su internet ci sono centinaia di guide sempre sugli stessi argomenti, spesso scontate e fatte da 'ricercatori' abbastanza amatoriali... Che poi servire una pagina di phishing con scritto Facebook 2021... Non so se è più scemo il truffatore o il target. Per cambiare quella scritta basta editare una cazzata nel codice sorgente della pagina lol, ma farlo è letteralmente una cazzata colossale, della serie che se non lo fai Spero che non te ne sei accorto xD
 

CrazyMonk

Utente Electrum
24 Dicembre 2021
483
14
247
159
Che articolo è mai questo?
Sappiamo che esistono, sappiamo come si riconoscono, sappiamo che è ancora uno degli attacchi più efficaci, sappiamo che cliccare su link a caso e dare credenziali non è una delle cose più sveglie che si possano fare.
Cosa aggiunge questo articolo? Un in-depth nel phishing da script kiddie perché ci sono un paio di screenshot? Non hai fatto altro che descrivere un processo conosciutissimo e avere la fortuna di riuscire a sgamargli il db e tutto il resto perchè è stato stupido il truffatore.
Scusa "Grande Maestro" se non tutti sono edotti come te...la prossima volta la facciamo scrivere a te la guida, che dici?
 

xArturo84x

Utente Bronze
11 Dicembre 2017
8
1
1
26
ho letto con piacere il post, e purtroppo l'errore/disattenzione umana è al primo posto come motivazione che porta gli attacchi phishing ad essere uno tra i metodi più funzionanti per rubare le credenziali.
purtroppo molte, moltissime persone sono poco attente e sottovalutano quella che è l'importanza di navigare con attenzione e non cadere nella rete di malintenzionati.
l'unico modo è essere sempre, SEMPRE diffidenti in ogni momento, penso che solo questo ci può salvare e nel dubbio è meglio chiedere e/o evitare proprio.
 
  • Grazie
Reazioni: 0xbro

0xbro

Super Moderatore
24 Febbraio 2017
4,148
162
3,182
1,645
ho letto con piacere il post, e purtroppo l'errore/disattenzione umana è al primo posto come motivazione che porta gli attacchi phishing ad essere uno tra i metodi più funzionanti per rubare le credenziali.
purtroppo molte, moltissime persone sono poco attente e sottovalutano quella che è l'importanza di navigare con attenzione e non cadere nella rete di malintenzionati.
l'unico modo è essere sempre, SEMPRE diffidenti in ogni momento, penso che solo questo ci può salvare e nel dubbio è meglio chiedere e/o evitare proprio.
Sono perfettamente d'accordo, il phishing se uno ci pensa è un attacco molto stupido, ma che ciò nonostante fa forza sulle numeriche e sulla disattenzione dell'utente che, immancabilmente ci casca sempre. Anche la two-factor autentication non è una garanzia al 100%, recentemente sono sempre di più le campagne di phishing che fanno utilizzo della tecnica del "browser-in-the-browser". Sostanzialmente sono normali pagine di phishing che però simulano il popup del sito reale e ti chiedono anche la two-factor... se un utente ci è cascato con la password, ci cascherà anche con la two-factor, per cui l'unica reale fonte di prevenzione è la consapevolezza e l'attenzione. Tutto il resto è bypassabile
 
  • Mi piace
Reazioni: xArturo84x