Tecniche avanzate di Phishing: Fake Facebook Dinamico

Il Phising solitamente utilizza tecniche grezze, brutali e veloci. Le conoscenze tecniche di un attacco phising sono acquisibili in un qualsiasi istituto di scuola media/superiore di genere scientifico/tecnico, questa è la grande forza di questo tipo di attacco ed è anche la principale motivazione percui gli attacchi di questo tipo sono i più diffusi. Le tecniche per quanto riguarda l'aspetto grafico di solito si limitano all'andare sul sito di cui si vuole realizzare la copia truccata, selezionarne il sorgente, copiarlo in una pagina html e al posto dei link di login standard andargli a sostituire link ad azioni di login su uno script (solitamente in php) che si copia da qualche parte (in un file di testo) i dati immessi nel form. A questo punto, password rubata, il ladro non è più interessato e non gestisce il corso degli eventi futuri. Molto probabilmente all'utente sembrerà di non aver fatto alcuna azione, ritenterà il login e dopo un certo numero di tentativi rinuncerà. A questo punto per le persone un pò meno ingenue, viene il sospetto che qualcosa non vada... La gente in queste truffe ci casca, quando legge distrattamente l' indirizzo della pagina magari legge Facebook e non Faceboook che è il reale dominio di arrivo di un possibile sito truffa. Il dominio preso in esempio è un dominio molto scomodo, è infatti difficile da riconoscere rispetto al dominio originale e oltretutto può essere digitato per sbaglio. In linea generale le modalità che vi abbiamo raccontato sono quelle utilizzate per gli attacchi phising classici, con mail che con pretesti come : Account Bloccato, Pagamenti sospesi, Nuova gestione indirizzi... etc..etc. Questi generi di titoli servono per spaventare l'utente, che senza rendersene  conto clicca sul link senza pensarci 2 volte. L'orientamento di questi attacchi presto però cambierà, sotto certe competenze tecniche i prossimi attacchi di phising saranno il più possibile trasparenti, in modo che vengano limitate le segnalazioni a strumenti come il nostro italiano www.anti-phishing.it. Sempre più verso l'idea di siti Trojan, che si intromettono tra voi e il vero portale di servizi solo per un momento, come una maschera trasparente che raccoglie vostri dati personali per restituirli al truffatore. Sembrerebbe il nome di un corso di Criminologia informatica, oppure di un corso per truffe on-line. In verità ecco come le tecnologie che hanno dato via al web 2.0 potrebbero essere una fortissima arma nelle mani di un Phiser con buone competenze tecniche. Gli strumenti che daranno il via al phising trasparente, come lo chiameremo d'ora in avanti, saranno 2:

• I parser
• L'user agent spoofing

I Parser sono strumenti che vengono utilizzati fino dalla nascita dell'informatica, e sono programmi in grado di scandire un documento, copiarlo ad esempio in una variabile e fornire al programmatore un set di operazioni con cui si può modificare e visualizzare il documento in copia. Quello preso in esame ed utilizzato in tutto il web è il parser DOM, in grado di gestire documenti XML/HTML come strutture dati ad albero. L'user agent spofing invece è una tecnica non sempre necessaria, serve in concomitanza all'uso di parser per fare in modo che il documento dato in ingresso al parser possa provenire da un sito remoto. Questa tecnica di spoofing serve talvolta ci siano dei controlli per far credere al sito da cui stiamo prendendo il documento che il parser sia un normale browser come Firefox o Internet Explorer. Le applicazioni web come facebook fanno controlli sulla provenienza e sull'user agent del visitatore, per controllare che il suo browser sia compatibile e che possa visualizzare il sito correttamente, proprio questi controlli negano l'accesso ai parser che non fanno uso di user agent spoofing. Queste tecniche di phising, come quelle tradizionali del copia/incolla funzionano molto bene con tutti questi siti web/applicazioni web che fanno un modesto uso di link relativi ad immagini, fogli di stile, script. Facebook grazie al suo orientamento AJAX è molto indicato ad essere preso come esempio per fare phising trasparente. La grande quantità di Javascript e Css infatti viene caricato in modo assoluto nella pagina e viene facilmente acquisito anche dal parser che salva il DOMdocument della pagina. Con l'uso di parser, l'attacco phising non diventa più sito-centrico, mentre prima immaginavamo un truffatore pensare quasi accuratamente al sito da imitare ora basta esprimere un desiderio, inserire il link da copiare nel parser e la copia viene eseguita al volo. Questo porta all'esplosione del numero di attacchi phising e del numero di siti che possono essere presi di mira. Fino ad ora abbiamo parlato delle tecnologie coinvolte per fare un attacco Phising dinamico, ma non abbiamo ancora chiarito il perchè del "trasparente". Come dicevamo all'inizio dell'articolo, gli attacchi di phising  vengono segnalati alle autorità di competenza,spesso dopo che si è subita la frode. La trasparenza è dettata dal riuscire a far credere all'utente vittima che è sul sito web originale, e che il login che ha fatto un momento prima sia andato o a buon fine oppure che sia andato male perchè a digitato male la password. Per riuscire in questo le tecniche adottate sono:

• Redirect temporizzati
• Redirect dopo il primo login

Dopo un primo login sul sito truffa, che acquisice le password, l'utente viene portato sul sito originale, a questo punto è istintivo dare un occhio all'url che dopo il redirect però sarà del sito originale, ignaro del passaggio per il sito truffa ecco l'utente che prosegue la navigazione! Siamo ad un buon livello di trasparenza in questo modo, attenzione!

Conclusione

Con questo concludiamo l'articolo, non ho volutamente fatto riferimento a pezzi di codice per senso del pudore, infatti questo articolo vuole solamente dare una visione generale delle tecniche phising classiche e di quelle che potrebbero essere le tecniche per i truffatori 2.0 .