Offuscamento IPv4 per attività di Phishing ai danni di Poste
Dal mese di Ottobre 2017 i criminali informatici (Phisher) che operano in ambito Italiano ai danni di Poste Italiane stanno sfruttando la tecnica di offuscamento dell’URL di Phishing convertendo l’indirizzo IP contenuto nell’url in formato decimale. Questa tecnica, come vedremo, gli permette di eludere la blacklist di PhishTank.
La vittima riceve la seguente eMail:
Gentile Cliente,
Dal 25° novembre 2017 non potrai utilizzare il tuo conto PostePay se non hai attivo il nuovo sistema di sicurezza web.
Il nuovo sistema di Sicurezza Web PostePay e una soluzione innovativa che garantisce maggiore sicurezza e affidabilita per le operazioni dispositive con PostePay effettuate sui siti online.
Il nuovo sistema per l`autorizzazione delle operazioni di pagamento effettuate con PostePay sui siti online,prevede l`utilizzo di due strumenti:
1. Dati di carattere personale.
2. Informazioni fiscali.
L`attivazione e semplice,gratuita e richiede 1 minuto.
Le alleghiamo la documentazione necessaria per attivare la protezione.
Cordiali Saluti,
Poste Italiane
Email in cui l’utente trova in allegato un file HTML contente sole quattro righe di codice che hanno il compito di redirigere l’utente su una pagina di Phishing:
L’IP 3414353538 visualizzato nel sorgente dell’allegato non sembra a prima vista reale poiché comunemente un indirizzo IPv4 viene espresso in quattro terne XXX.XXX.XXX.XXX (dove ogni terna xxx varia tra 0 e 254). Questo potrebbe far pensare ad un errore del Phisher o all’intervento di un antivirus che ha “troncato” eventuale contenuto malevolo nella comunicazione eMail.
Ma realmente si tratta di un indirizzo valido e correttamente interpretato dai comuni Browser, infatti in base al RFC 780 gli indirizzi IPv4 possono essere rappresentati anche in forma Decimale, Binaria o Esadecimale permettendo anche la concatenazione di più rappresentazioni.
L’IP 3414353538 potrà quindi essere rappresentato come segue:
- 203[.]130[.]230[.]130 (formato convenzionale, parentesi quadrate da rimuovere)
- 11001011100000101110011010000010 (formato binario)
- 0xcb82e682 (formato esadecimale)
Il noto portale PhishTank dedicato alle segnalazioni di Phishing non è attualmente in grado di convalidare segnalazioni che sfruttano l’offuscamento dell’indirizzo IP. Nella segnalazione #5344072 possiamo notare come nonostante lo screenshot della pagina di Phishing sia stato acquisito correttamente non è possibile votare la veridicità della segnalazione perché la pagina web è irraggiungibile: “This suspected phishing site is unavailable…” vanificando pertanto l’efficacia di questo portale.
Assodato quindi che una non corretta validazione dell’indirizzo ip possa portare ad un errore di una applicazione (nel caso specifico un portale web) è ipotizzabile che la medesima casistica se non contemplata e correttamente gestita possa rendere inefficaci eventuali black list implementate su sistemi anti-spam/firewall.