Falla MSN favorisce il phishing.

Di Paolo Attivissimo.

Facile confezionare messaggi-esca dall'aria assolutamente autorevole.

ZEUS News.

www.zeusnews.it.

19-06-2005.

Un difetto di MSN.com consente di creare messaggi che non solo hanno il mittente falso, ma contengono anche link-trappola che non rivelano il pericolo neppure
passandovi sopra con il mouse. MSN rischia quindi di diventare involontario trampolino per efficaci attacchi di phishing.

La dimostrazione preparata dal giovane Salvatore Aranzulla fornisce i
Dettagli del problema alla pagina:

http://www.salvatore-aranzulla.com/?p=167.

La vittima, secondo il copione classico del phishing, riceve un e-mail che apparentemente proviene dal servizio clienti Microsoft (perlomeno
stando al'indirizzo visualizzato) e lo avvisa di un "uso anomalo" del suo account, invitandolo a cliccare sul link che lo porter a maggiori informazioni
sul caso.

Fin qui niente di speciale: l'icona  un link a un sito-trappola, fac-simile di quello vero, nel quale la vittima immetter inconsapevolmente i propri codici
d'accesso, regalandoli al truffatore.

La differenza  che una delle pi diffuse contromisure adottate da molti utenti, ossia passare il mouse sul link per vederne la vera destinazione, non funziona,
e il link-trappola inganna anche i browser particolarmente sensibili alla sicurezza come Firefox. Quando il mouse si trova sopra il link-trappola, infatti,
la barra informativa del browser visualizza un indirizzo del sito Microsoft dall'aria assolutamente legittima, visto che inizia con http://g.msn.it, e
il browser non mostra alcun messaggio d'allerta (gli utenti Hotmail vengono
avvisati,
ma questo avviene quando cliccano su qualsiasi link, legittimo o meno).

Se volete verificare la vulnerabilit, potete usare il
test innocuo predisposto da Aranzulla alla pagina:

http://www.salvatore-aranzulla.com/?p=167.

Immettete il vostro indirizzo di e-mail e riceverete un messaggio che simula l'effetto della trappola di phishing, ma invece di
portarvi a un sito-fotocopia che vi carpisce i dati vi porta innocuamente a Google. Un aggressore potrebbe con la stessa facilit portarvi nella propria
trappola online.

Il risultato  ottenuto sfruttando anche una piccola tecnica di obfuscation, ossia rappresentando l'indirizzo di Google in un formato diverso dal consueto
www.google.com o dall'indirizzo IP corrispondente: la vera destinazione del link-trappola, infatti,  quell'http://1113983379/ che segue la destinazione
apparente (http://g.msn.it/IT9/105419.1). 1113983379  la traduzione in formato dotless di 66.102.9.147, che  l'indirizzo IP di Google inglese.

Microsoft  gi stata allertata da Aranzulla. In attesa che prenda misure in proposito, conviene trattare con particolare cautela maggiore tutti i messaggi
che contengono link apparentemente diretti a MSN.

Paolo Attivissimo.

