venerdì 8 agosto 2008

Il phishing e le tecniche utilizzate per camuffare l'URL

L'obiettivo del phisher è quello di indurre il malcapitato a cliccare su un falso URL che lo indirizzerà poi nel sito maligno predisposto per la frode. Fondamentale perciò diventa per il phisher mascherare il falso URL verso il quale l’ignaro utente verrà indirizzato.
Le soluzioni escogitate dai phisher per risolvere questo problema sono sostanzialmente due:
- sfruttare le vulnerabilità dei vari browser (di qui, la necessità di tenere costantemente aggiornati i vostri browser e di installare tutte le patch di sicurezza rilasciate dal produttore);
- registrare nomi a dominio simili a quelli originali. Tempo fa la Unicredit Banca, il cui indirizzo internet è: 'www.unicreditbanca.com', ha visto recapitare ai propri clienti un e-mail contenete un falso indirizzo 'www.unicreditsbanca.com'. Come vedete si tratta di un indirizzo simile ma assolutamente estraneo alla banca in questione.

Riporto di seguito le tecniche principali utilizzate dal phisher per camuffare l'URL:
1. Conversione del nome a dominio in indirizzo IP.
Questo sistema consente di mascherare il nome del falso sito con il suo equivalente indirizzo IP; così il legittimo indirizzo:
'http://www.ebay.com/signin.ebay.com/ws/eBayISAPI.dllSignIn&'
può trasformarsi in
'http://218.154.123.224/signin.ebay.com/ws/eBayISAPI.dllSignIn&'

2. Il carattere @
Il simbolo @ viene utilizzato per instradare l’utente verso il sito truffa.
Infatti modificando l’URL in questo modo
'https://www.paypal.com/it/cgi-bin/webscr@www.microsoft.com'
tutto quello che si trova a sinistra del simbolo @ viene ignorato mentre si è indirizzati verso il sito microsoft.com.
A rendere questa tecnica ancora più subdola ci ha pensato il dotless decimale il quale consente di convertire un indirizzo IP in una numero decimale a 32-bit senza punti. In questo modo ad esempio l’indirizzo IP di www.microsoft.com 207.46.250.119 viene convertito in 3475962487 ed aggiunto all’URL modificato produce:
'https://www.paypal.com/it/cgi-bin/webscr@3475962487'.ù
C'è da dire comunque che la tecnica del simbolo @ non è può sfruttabile in quando Microsoft ha provveduto ad arginare il problema attraverso il rilascio di un apposita patch.

3. URL codificato
La codifica dell’URL o parte di esso nell’equivalente ASCII esadecimale è una tecnica ancora molto usata dai phisher. Il meccanismo è semplice infatti tramite un apposito convertitore o anche manualmente è possibile trasformare www.anti-phishing.it nella sua versione meno comprensibile
http://www%2E%61%6E%74%69%2D%70%68%69%73%68%69%6E%67%2E%69%74.

4. URL di elevate dimensione
Utilizzare un indirizzo web di dimensioni superiori a quelle della barra degli indirizzi è una tecnica molto usata.
I clienti di Bank of America, colpiti da un attacco di phishing, si videro recapitare il seguente indirizzo:
'http://62.193.218.82/daokewqoekwqoekwqoekwqoekwqpewqkeopwkdopsajdaoidjsaoidjsaoidjaoidjsaiodjsaoidjsaoidjsaoidjsaoidsajdoisajdoisajdoisadjsaoijdsaoidjsaoidjsaoidwqewqjepwqiekpwqkeopwk/card_activation.htm'

5. Reindirizzamento
Con questa tecnica l’utente viene indotto a credere di essere diretto verso il sito reale mentre in realtà viene trascinato nel sito truffa.
(fonte:http://www.anti-phishing.it/)