giovedì 6 giugno 2013

Phishing in siti fidati

Lasciatemi dire che è una piccola soddisfazione...nonché un altro esempio di sfera di cristallo.

Pochi giorni fa hanno accettato un nostro lavoro ad una importante conferenza internazionale di sicurezza informatica:

we developed a methodology for detecting fraudulent pages within trusted sites, that is, pages created by attackers within web sites of trusted organizations and placed at URLs at which no page is supposed (by the administrators of those sites) to exist. 
...
The problem is highly relevant for many reasons, including: HTTPS does not provide any defense in this respect (the fraudulent pages are hosted on sites that, from HTTPS point of view, are authenticated and with content integrity);

Pochi minuti fa, un grande Internet provider inglese, probabilmente il più grande provider al mondo, ha pubblicato un blog post in cui informa che sul sito della Polizia della Malesia è in corso un attacco di phishing proprio del genere indicato nel nostro studio (problema che non molti stanno studiando).

In altre parole, l'attacco è strutturato in questo modo:
  1. Inserimento fraudolento di una pagina identica a quella di PayPal nel sito della Polizia della Malesia.
  2. Campagna di phishing in cui si tenta di portare utenti all'URL creato al punto precedente.
  3. Gli utenti che arrivano a quell'URL vedono un sito completamente fidato dal punto di vista SSL, e probabilmente anche dal punto di vista di molti filtri anti-phishing (il sito della polizia della Malesia non può che essere considerato fidato). Ergo, inseriscono le proprie credenziali PayPal senza sospettare nulla...
Posta un commento