Matteo Carli » Spam

Sicurezza per chi fa sicurezza

Matteo Carli — Fri, 02 Nov 2007 10:49:40 +0000

Chi era presente all’ESC durante la presentazione di “GoogleTistic e WordPressTistic: le statistiche che nessuno avrebbe mai voluto mostrarvi” sicuramente si ricorderà come le installazioni di WordPress nella blogosfera italiana non siano sicure e ancor meno aggiornate a versioni recenti.
Ovvio che il problema non è solo sulla blogosfera italiana, ma su quella mondiale.

Può capitare, anche se non dovrebbe, che utenti non troppo esperti non aggiornino la propria piattaforma per paura che un plug-in o l’intero blog smetta di funzionare. Nessuna scusante è data però agli addetti ai lavori.
Anche se esiste il detto “Il calzolaio ha le scarpe rotte” chi si occupa di Web a tempo pieno o ancor peggio di sicurezza non si può permettere la compromissione della propria piattaforma.

Vedere blog di sicurezza informatica con versioni di WordPress di un anno fa non è una bella sensazione, figuriamoci a vederli compromessi: la scorsa settimana LightBlueTouchpaper, noto blog del Security Group dell’Università di Cambridge, ha ammesso senza troppi problemi che:

Regular readers may have noticed that Light Blue Touchpaper was down most of today. This was due to the blog being compromised through several WordPress vulnerabilities.

Ieri è successa una cosa simile, annunciata da tempo da LHM (si vedano i commenti nel suo tool per antiblogging): il blog di SecuriTeam è stato compromesso.

Sono stati inseriti link che portano ad un blog (WordPress 2.0.2), ospitato su un sottodominio dell’Università del Michigan, il quale a sua volta è stato compromesso ed usato per ospitare pagine che effettuano redirect verso domini di casinò on-line. Per eludere li spider che passeranno da quelle pagine è stato inserito un testo con alcune keywords e il redirect viene fatto con del codice JS offuscato.

E’ troppo facile gestire un blog pensando solo a scrivere e tralasciando la sua sicurezza in quanto, presunta, roba da ragazzini (in tutti questi casi si tratta di vulnerabilità conosciute e risolte).
Dal punto di vista degli sviluppatori non sarebbe il caso di pensare a rilasci meno frettolosi e a maggiore testing di WordPress visto il bacino di utenza che ha?
Ad ognuno le proprie conclusioni.

Utilizzare XSS per fare SEO

Matteo Carli — Mon, 30 Jul 2007 11:40:42 +0000

Per SEO (Search Engine Optimization) si intendono tutte quelle tecniche (lecite e meno lecite) atte a migliorare il posizionamento, in base a determinate keywords, di un certo dominio sui motori di ricerca.

Già da molto tra esperti in “Web Application Security” e “black hat SEO” si discuteva dell’argomento senza nessuna pubblicazione ufficiale fino a quando XssNews ha reso noto il risultato di un test che ha visto come obiettivo quello di indicizzare un testo generato tramite un XSS (Cross-Site Scripting) sul dominio hackerwatch.org
L’esito dell’esperimento è stato positivo tanto che MSN e Google hanno indicizzato correttamente la stringa.
Google sembra però aver già tolto la pagina di HackerWatch utilizzata per il test, mentre su MSN risulta ancora indicizzata.

L’obiettivo adesso è quello di capire se, oltre al testo, vengono indicizzati pure i link generati tramite XSS. Poter ottenere link in ingresso da domini con alto PageRank grazie alla segnalazione a Google di URL contenenti XSS appositamente costruiti potrebbe far gola a molti, soprattutto ai black hat SEO.

Sono rimasto stupito dal comportamento di MSN e Google; credevo avessero dei filtri per evitare questo tipo di abusi.

Ricevo spam ma “Mi sento fortunato”

Matteo Carli — Mon, 09 Jul 2007 10:57:00 +0000

Stavo dando un occhiata alla cartella dello spam sul client di posta quando una e-mail attira la mia attenzione:

From: “Glover, Erica”
To: [random_name]@gmail.com
Date: Sun, 08 Jul 2007 23:39:17 -0500
Subject: Refiance Approval. Sun, 08 Jul 2007 23:39:17 -0500

L’intestazione di per se non ha niente di particolare, è il corpo ad avermi incuriosito:

Please complete your application Sun, 08 Jul 2007 23:39:17 -0500

Tired of paying high interest rates?

Refinaance us lowest rate.

http://www.google.com/search?hl=en&q=easyratemortage+100%+mortgage+refinance&btnI=04Yi9N5jkF

“Absence and death are the same – only that in death there is no suffering.” Theodore Roosevel

La mail non contiene nessuna allegato, la cosa interessante però è il link proposto al destinatario, il quale potrebbe indurre quest’ultimo a fidarsi vedendo il nome di Google.

I furbetti di turno hanno prima fatto indicizzare da Google il sito Web che ospita le pagine di spam, dopodichè hanno individuato quali keywords proponevano, nella lista dei risultati del motore di ricerca, come primo risultato il sito in questione. A questo punto hanno creato una URL che restituisse un codice HTTP (302) di redirect verso il sito di spam servendosi della funzione “Mi sento fortunato” (o nella sua versione inglese “I’m Feeling Lucky”).
Analizzando l’URL si nota il parametro “btnI”, utilizzato da Google proprio per identificare una ricerca di tipo “Mi sento fortunato”. Piccola nota: il parametro può essere valorizza a piacimento.

Confrontando alcune e-mail sono arrivato alla conclusione che in ciascuna viene modificato il soggetto, la parte finale del corpo e il valore del parametro “btnI” dell’URL.

Il phishing su Poste Italiane si fa insistente

Matteo Carli — Thu, 10 May 2007 21:22:51 +0000

Dopo le precendeti segnalazioni il phishing su Poste Italiane non si è fermato, anzi si è fatto ancora più insistente.

Di recente è cambiata l’impaginazione delle e-mail, alcune con un italiano alquanto ostentato, altre invece sono state confezionate veramente bene.

Ecco alcune esempi:

From: “Poste Italiane”
Reply-To: “Poste Italiane”
To: xxxxxx@xxxxxx.xxx
Subject: Autenticazione di cliente richiesta

Caro Poste Italiane cliente ,

Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto è stato scelto a caso per questa manutenzione, e lei sarà adesso portato attraverso una serie di pagine di verifica di identità.
[...]
Se facciamo no riceve la verifica di conto appropriata entro 24 ore, poi presumeremo che questo conto è fraudolento e sarà sospeso. Lo scopo di questa verifica è assicurare che il suo conto non è stato fraudolentamente usato e combattere la frode dalla nostra comunità.

From: “Poste Italiane”
Subject: Aggiorna i tuoi dati
To: undisclosed-recipients:;

Caro cliente Poste.it,

Una nuova gamma completa di servizi online è adesso disponibile !
Per poter usufruire dei nuovi servizi online di Poste.it occorre prima diventare UTENTE VERIFICATO.

Accedi a Poste.it » Accedi ai servizi online di Poste.it e diventa UTENTE VERIFICATO »

L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente ad attivare il suo ” Nome Utente Verificato “. Verrai informato telefonicamente di tale attivazione.

To: xxxxxx@xxxx.xxx
Subject: Aggiorna i tuoi dati
From: “Poste Italiane”

Caro cliente Poste.it ,
Il Servizio Tecnico di Poste Italia sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che trover alla fine di questo messaggio

Accedi a Poste.it Acc! edi ai servizi online di Poste.it e verifichi il suo account
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicit provveder immediatamente ad riattivare il suo account.
Grazie della collaborazione Poste.it

Reply-To:
From: “Poste Italiane”
Subject: Il tuo conto di PostePay sara chiuso oggi
To: undisclosed-recipients:;

Il vostro conto sara chiuso perche non lo avete utilizzato nel mese passato.
Se volete annullare la chiusura, dovete verificare le vostre informazioni di utente

Accedi a Poste.it » Accedi ai servizi online di Poste.it e verifica i tuoi dati per continuare usare i nostri servizi!

Dopo che hai verificato i dati riceverai un email di conferma tra 24 ore.

To: xxxxxxxxx@xxxxxxx.xxx
Subject: Communicazione!
From: Poste Italiane
Reply-To:

Gentile Cliente,
Abbiamo ricevuto una segnalazione di accredito di Euro 129 ricevuta il giorno 24/4/2007 da UFFICIO POSTALE 13.55 BRANDIZZO. L’accredito è stato temporaneamente bloccato a causa delle fascie orarie, potrà ora essere verificato e successivamente accreditato sul suo conto postale:

Accedi a Poste.it » Acceda al servizio accrediti di Poste.it e verifichi le sue transazioni »

Seguono alcuni URL utilizzati per ospitare le pagine di phishing (httx e l’underscore dopo il dominio o l’ip sono stati aggiunti per sicurezza):

httx://www.larimer.org_/store/red.html
httx://71-246.lerstenen.t3.se_/.bancoposta/index.htm
httx://web2.sbinet.com_/bancopostaonline.poste.it/poste/bpol/bancoposta/formslogin.htm
httx://216.84.195.93_/www.poste.it/online/bancopostaonline.poste.it/formslogin.htm
httx://pponline.altervista.org_/priv/bpol/cartepr/index.htm
http://www.aquitania.co.uk_/gallery/albums/300d1/www.poste.it/formslogin.htm

Analizzando le intestazioni delle e-mail si capisce come esse siano state inviate tramite script ospitati su account, presumibilmente compromessi, e tramite worm che sfruttano il terminale dell’ignara vittima per connettersi a server smtp esteri.

Ancora spam e malware pubblicizzato come Internet Explorer 7

Matteo Carli — Tue, 08 May 2007 09:10:44 +0000

Nelle ultime ore è stata rilevata una nuova variante delle e-mail di spam “Internet Explorer 7.0 Beta”. Tutte quante hanno un link verso un file eseguibile dal nome “update.exe” ospitato su diversi domini.
Per ingannare i filtri anti-spam il testo, inserito nel corpo della mail, è stato racchiuso in tag HTML in modo che ad un loro controllo risultasse una semplice conversazione tra amici e invece all’apertura dell’e-mail con un qualsiasi client di posta venisse visualizzato solamente il link al file eseguibile.

Questi gli header più significativi:

From:
To: xxxxx@xxxxxxxxx.xxx
Subject: Internet Explorer 7.0 Beta

Questi i domini, per ora individuati, che ospitano il file eseguibile:

httx://accentstaffing.com_/images/update.exe

httx://mikelike.cd_/update.exe

httx://xoozee.cd_/update.exe

httx://merzingo.cd_/update.exe

httx://endfriends.cd_/update.exe

httx://netdesks.cd_/update.exe

httx://pleasedostock.hk_/update.exe

httx://wordcasts.cd_/update.exe

httx://abyssrecycling.co.uk_/images/update.exe

httx://bcweblist.com_/images/update.exe

httx://actorsandactresses.co.uk_/images/update.exe

(httx e l’underscore dopo il TLD sono stati inseriti per sicurezza)

Il primo nella lista, almeno nelle e-mail che ho ricevuto io, è stato quello più utilizzato. Fortunatamente già molti dei domini nella lista sono stati ripuliti e il link al file eseguibile restituisce un errore HTTP 404.

Il consiglio è quello di bloccare i domini sopra riportati tramite il proprio gateway o proxy di rete, oppure in maniera più semplice aggiungere, sul proprio server mail, dei pattern per il riconoscimento delle e-mail provenienti da “admin@microsoft.com” con oggetto “Internet Explorer 7.0 Beta”.
Per eventuali aggiornamenti rifarsi alla segnalazione dell’ISC.

Il phishing contro Poste Italiane non si ferma

Matteo Carli — Sat, 17 Mar 2007 19:26:53 +0000

Nelle ultime ore sta circolando un messaggio di phishing contro i clienti di Poste Italiane confezionato diversamente a quelli, già segnalati, delle scorse settimane.

La mail confezionata risulta ben fatta e scritta in un Italiano corretto. A fianco potete vedere uno screenshot della mail originale che comprende i loghi di Poste Italiane. Di seguito riporto il testo originale e alcune intestazioni:

To: xxxxxx@xxxxx.xxx
Subject: Poste.it chiede la vostra collaborazione
From: Poste Italiane
Reply-To: BPOL@poste.it

Caro cliente Poste.it,
Il Servizio Tecnico di Poste Italiane sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che troverà alla fine di questo messaggio
Acceda ai servizi online di Poste.it e verifichi il suo account »
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente a riattivare il suo account.
Grazie della collaborazione lo staff di Poste.it

Come ogni classico messaggio di phishing il link associato al testo “Acceda ai servizi online di Poste.it e verifichi il suo account »” porta ad un dominio simile a quello originale proprio per confondere gli utenti meno esperti.
L’indirizzo utilizzato per ospitare le pagine falsificate di Poste Italiane è hxxp://postepay.us/ il quale effettua una ridirezione verso hxxp://faq.cybersmart.co.za/attachments/.poste/.poste/
Il dominio utilizzato per il phishing è ospitato sull’indirizzo IP 196.15.138.10 che ha come DNS host name php.cybersmart.co.za .
Il messaggio, almeno nel mio caso, risulta partito da un server Web di kasserver.com .

Consiglio la visione del video rilasciato da pochi giorni da Poste Italiane che spiega come difendersi da questo tipo di truffe.

L’organismo di controllo della borsa USA contro gli spammer

Matteo Carli — Tue, 13 Mar 2007 11:10:01 +0000

La U.S. Securities and Exchange Commission (SEC) è intervenuta sospendendo le contrattazioni di 35 titoli che hanno subito un alto rialzo grazie al massiccio invio di email spam contenenti false informazioni finanziarie.
Il SEC ha dichiarato che i titoli saranno sospesi per 10 giorni (lavorativi) per poter proteggere gli investitori da possibili truffe.
Tutto è nato circa un anno fa: una serie di informazioni fasulle fatte circolare via mail e relative ad informazioni commerciali e finanziarie delle aziende quotate sulle borse U.S.A. Le informazioni erano in grado di generare precisi rialzi sulla quotazione dei titoli coinvolti così che i malintenzionati potessero compiere operazioni “pump and dump“, volti a innalzare la quotazione dei titoli in maniera fraudolenta.
Da i dati pubblicati dall’operazione “spamalot” sarebbero 100 milioni le e-mail inviate ogni settimana dagli spammer aventi come obbiettivo quello di generare rialzi su titoli azionari. Gli autori delle truffe tramite queste tecniche avrebbe guadagnato circa 700.000 dollari generando, al tempo steso, gravi danni per investitori e broker. Senza contare il costo, in termini di tempo e di denaro, per lo smistamento, il filtraggio e la cancellazione delle e-mail inviate.
La SEC ha inoltre reso noto che nel 2006 più 600 titoli (alcuni catalogati da Stock Spam Gallery) sono stati usati per generare “pump and dump” da malintenzionati. Nello stesso anno Sophos ha stimato che il volume di tutto lo spam mondiale volto a rilasciare false informazioni finanziarie era intorno al 15% in confronto allo 0.8% del Gennaio 2005.

Phishing diretto alle e-mail specificate nei WHOIS server

Matteo Carli — Mon, 19 Feb 2007 23:35:13 +0000

Alcuni blog di sicurezza negli ultimi giorni stanno ponendo l’attenzione su una e-mail, che tramite phishing, si propone come un controllo dell’ISP che ospitata il proprio dominio.

Gli attacker prendendo le e-mail di contatto specificate nei WHOIS dei domini spediscono una richiesta, in inglese, che inivta ad caricare sul proprio spazio uno script in php (offuscato) che, secondo quanto scoperto dalle prime indagini, raccoglie informazioni sul sistema, apre una shell e installa un bot IRC scritto in Perl.

Solitamente il mittente, falsificato, è il proprio ISP, ma sono state rilevate anche varianti con mittente lo US FDIC (Federal Deposit Insurance Corporation).

I file php allegati che sono stati rilevati fin ora sono:

webguard.php, size 130990 bytes, MD5: 1071956063131f0fd178ace92ab526bb e SHA1: c47dd28e336030e3d940b66e2884aba91124a831
vprotect.php, size: 156686 bytes, MD5: 43f3c330f6e85943fd4a60c3b89787e2 e SHA1: d58bcb698417cbcf005a0e26e9e962a5097892d9

Quello che segue è una delle varianti della mail:

Dear #Nome dell’ISP# valued Members

Regarding our new security regulations, as a part of our yearly maintenance we have provided a security guard script in the attachment.

So, to secure your websites, please use the attached file and (for UNIX/Linux Based servers) upload the file “guard.php” in: “./public_html”

or (for Windows Based servers which use ASP) upload the file “guard.asp” in: “./wwwroot” in your site.

If you do not know how to use it, you can use the following instruction:

For Unix/Linux based websites that use PHP/CGI/PERL:
1) Download the attachment named “guard.zip”
2) Extract file “guard.php”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “Public_html” or “htdocs”
6) Choose “Upload Files”
7) Upload the file “guard.php”
Check its URL too “http://www.yoursite.com/guard.php”, if it is ok

For Windows based websites that use ASP:
1) Download the attachment named “guard.zip”
2) Extract file “guard.asp”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “wwwroot” directory
6) Choose “Upload Files”
7) Upload the file “guard.asp”
Check its URL too “http://www.yoursite.com/guard.asp”, if it is ok

Thank you for using our services and products. We look forward to providing you with a unique and high quality service.

Best Regards

#Nome dell’ISP#

L’attacco è stato rilevato per la prima volta l’8 Febbraio 2007 (Solid Space – Bluehost) mentre i principali blog ne stanno parlando solo negli utlimi giorni.

Spam nascosto in newsletters falsificate

Matteo Carli — Mon, 22 Jan 2007 22:04:41 +0000

Nuova “moda” tra gli spammer. Essi stanno riproducendo, molto fedelmente, newsletter ed e-mail pubblicitarie di grossi marchi come NFL, Amazon, Wal-Mart, eBay, ESPN, US Airways, Kohls, Verizon e 1-800-Flowers.

Doug Bowers, direttore dei sistemi antifrode di Symantec afferma “Loro (gli spammer n.d.) agiscono riproducendo in ogni minimo dettaglio i messaggi originali spediti dalle aziende, inserendo, al loro interno, immagini o link ad esse”. Doug conclude dicendo che sono state avvistate le prime forme, di questa tecnica, dagli inizi del mese scorso.

Come riportato da Darkreading.com, i ricercatori di Symantec hanno appurato che gli spammer, usando una combinazione di tecniche, riescono a passare i filtri anti-spam, consentendo così, alla e-mail apparentemente legittima, di cambiare radicalmente il contenuto dopo alcuni secondi dall’apertura.
Questo tecnica è stata definita dai ricercatori di Symantec come “wait and switch” proprio perché dopo pochi secondi dall’apertura il contenuto viene cambiato.

I ricercatori che seguono lo sviluppo di questo fenomeno non hanno rilevato nessuna forma di malware nei messaggi di spam. Dopotutto è chiaro, con in allegato un worm, le probabilità che l’e-mail venga bloccata sono molto alte se non certe.
Sin dalla loro nascita newsletters e bollettini informativi di aziende sono stati bombardati da spam, scartato con filtri software anti-spam. Oggi queste risorse non bastano più, pertanto sarà opportuno innalzare il livello di guardia e di qualità dei filtri, non un problema da poco per le aziende impegnate a spedire il loro materiale informativo usando le e-mail.

1$ per essere cancellati da liste spam

Matteo Carli — Fri, 19 Jan 2007 22:57:49 +0000

“Give me $1 to unsubscribe”, questo è quello che vorrebbe far credere uno spammer Russo.
L’immagine alla sinistra è quella invata da Andrey Slabosnickiy, così si chiama il Russo artefice dell’email, residente in Rostov-on-Don che è evidentemente caduto in una casella e-mail creata per raccogliere spam.

Con tutti i dati che Andrey ha lasciato, per farsi mandare i pagamenti, non sarebbe difficile per le autorità rintracciarlo applicando le locali leggi sullo spam.

Questa immagine a sinistra è la versione tradotta in Inglese dal laboratorio di ricerca di McAfee.

Non è la prima volta che vengono inviate questo tipo di richieste da spammer. E’ chiaro che non ci sarà nessuna cancellazione dalle liste degli spammer della propria e-mail dopo il pagamento. Ogni spammer ha la sua lista “personale” e non si curerebbe del fatto che altri spammer gli chiedano di cancellare e-mail presenti nella propria lista.