BCC Romagna Occidentale, un buon contrasto

A parole tutti sono veloci ad ottenere la messa off-line di pagine di phishing, qualcuno addirittura assicura tempi di shutdown di cinque minuti.

La realtà è diversa dovendocisi scontrare con:

– difficoltà linguistiche, che possono non far comprendere pienamente quanto si sta riportando, o che possono comunque lasciare il dubbio che la mail di warining ricevuta nasconda in realtà una frode;

– fusi orari: si rileva la presenza di pagine di phishing posizionate su un server in estremo oriente quando in Italia è in tardo pomeriggio e li già notte, oppure nel continente americano quando in Italia è prima mattina e li è ancora notte. A meno che non si abbia a che fare con grandissimi provider con personale turnista, la segnalazione all’abuse office non verrà presa in carico che dopo diverse ore;

– giorni festivi, a meno che non si abbia a che fare con grandissimi provider con personale turnista, la segnalazione all’abuse office non verrà presa in carico che alla ripresa delle attività lavorative, dopo uno, due o più giorni;

– provider e gestori dei siti web sordi, o (incredibilmente) irraggiungibili;

– procedure interne farraginose o mole di abuse warning tale da comportare tempistiche lunghe;

– ecc…

 

In una delle condizioni precedenti deve essere rientrata la gestione del caso di phishing, da noi riportato il 9 Aprile scorso, a danno dei clienti della BCC Romagna Occidentale. L’attacco ha visto il posizionamento di pagine di phishing all’interno del sito web saaspoint.com presumibilmente facente capo alla Saaspoint, società acquisita nel 2011 dalla Appirio, società statunitense operante nel settore servizi ICT e Cloud, e la successiva diffusione di url di attacco contenenti fake subdomain utili a generare url univoci al fine di rendere pressoché inutili i meccanismi di warning dei browser.

url rilevati

 

I nuovi url generati dai phisher hanno sempre puntato alle medesima pagina clone, cosa non scontata, in quanto l’uso dei fake 

corrispondenza domini indirzzi ip

 

subdomain permette facilmente l’implementazione di cloni diversi posizionati su host differenti.

Gli enti colpiti (banca e/o società erogante il servizio di home banking) sono quindi intervenuti, come abbiamo in passato già visto fare ad altri, impiegando le immagine usate dai phisher nelle pagine clone e tratte dai domini legittimi per visualizzare chiari messaggi di allerta evidenzianti la natura fraudolenta della pagina che si sta visionando.

warning inseriti nelle immagini