Cari Hacker fate attenzione quando lanciate attacchi di phishing.
Assicuratevi innanzitutto che non sia il dominio personale di un ricercatore senior della cybersecurity della società Akamai.
Akamai Technologies, Inc. è infatti un’azienda internazionale che fornisce una piattaforma per la distribuzione di contenuti via Internet famosa in tutto il mondo.
Tra i più famosi e importanti clienti di Akamai figurano: Adobe, Apple, Audi, Cathay Pacific, CBC, Cognos, Logitech, MTV Networks, Myspace, Sun Microsystems, Verizon Wireless[1], Amazon.com, CBS, eBay, Facebook, FedEx, Microsoft, McAfee, NASA, NBA, NBC, NHL, NFL, Nintendo, IBM, IKEA, Reuters, Sony Music, Symantec, U.S. Air Force, Yahoo!, la Casa Bianca[2], RSI[3]. Per la parte streaming dei siti Rai, Mediaset, Sky Italia ed anche l’emittente araba Al Jazeera usufruì dei servizi di hosting.
La news che vi stiamo per raccontare è realmente accaduta.
Pensi di essere un Hacker sfortunato? Non quanto colui il quale ha provato ad attaccare un Ricercatore Senior della Società Akamai, Larry Cashdollar, un security response engineer.
Verso la fine della scorsa settimana Larry ha notato qualcosa di strano nei log del suo sito Web e cioè che qualcuno stava analizzando se ci fossero vulnerabilità sui remote file inclusion (RFI)
RFI sta per Remote file inclusion, ovvero un l’inserimento di un File incluso da remoto (solitamente malevolo) innestato in pagine web dinamiche che sfruttando delle variabili non controllate.
Chiunque si occupi di scanning di server pubblici sa che questi sono continuamente monitorati. Uno dei test che solitamente si fa per capire le vulnerabilità è cercare di eseguire un RFI per vedere se il file venga incluso e/o eseguito nel sistema.
“It’s a generic test against any website where they can parse out the form input variable and then supply a URL to that variable to see if the content is included and executed.”
Mentre gli exploit RFI vengono generalmente eseguiti per dirottare un server Web, in questo caso Cashdollar ritiene che gli aggressori stessero provando qualcosa di diverso: sfruttare delle vulnerabilità con la tecnica del file-injecting per trasformare il sito in una vera e propria base da dove far partire email di phishing.
Ebene tra i siti scelti dagli Hacker c’era anche quello di Cashdollar. Ovviamente il monitoraggio dei log ha permesso all’esperto informatico di accorgersi dell’attacco in corso ma ancor più di studiarlo.
L’arsenale di script dell’ingenuo attaccante includeva comandi che avrebbero creato file HTML sul server della vittima che in tutti i sensi “imitavano” il sito di una popolare banca europea.
Una volta imitato il sito un possibile visitatore compilando i campi presenti (credenziali, conto bancario, etc) sarebbe inconsapevolmente diventato vittima di una frode.
Alcune considerazioni interessanti del ricercatore infatti sottolineano come sia estremamente ambiguo il fine ultimo dell’attacco portato in essere.
“È interessante considerare che l’attaccante tra tutte le cose che potrebbe fare in sistema dopo aver scoperto la sua vulnerabilità RFI, abbia scelto di reindirizzare i visitatore verso siti di phishing piuttosto che installare un crypto miner o un altro mezzo di creazione di valuta”, ha spiegato Cashdollar .
Tuttavia sottolinea come questa tipologia di attacco rappresenti probabilmente una “soluzione”decisamente redditizia.
“Questa è un’ulteriore prova del fatto che il phishing è un metodo redditizio e di grande successo per compromettere le credenziali e le informazioni sulle vittime”.
I consigli dell’esperto:
“Assicurati che le applicazioni siano aggiornate con le ultime patch”. “Tieni traccia delle eventuali e nuove vulnerabilità rilevate nel software che stai utilizzando per la gestione dei tuoi contenuti, i siti di destinazione e le patch per le nuove vulnerabilità che vengono rilasciate dal fornitore.”.
Fonte: https://www.theregister.co.uk/