Come sappiamo, al giorno d’oggi, realizzare un attacco phishing o creare un falso sito web di servizi online è un’attività alla portata di tutti. Non sono, infatti, necessarie elevate capacità o significative risorse finanziarie. Questo genere di attacchi è generalmente collegato solo a fittizi siti web di enti bancari. Panda Security avvisa, invece, dell’esistenza di kit specifici collegati ad altri servizi online, quali YouTube, MySpace, Gmail, Yahoo, Fotolog, Hi5, etc. che possono essere utilizzati per operazioni di phishing.
Infatti, è possibile trovare informazioni e istruzioni sulle modalità d’uso di questi kit per realizzare attacchi in forum, blog, video online, etc. Inoltre, non solo si possono recuperare le direttive, ma anche i tool stessi, in forma completamente gratuita.
La modalità di azione è simile a quella degli attacchi lanciati contro enti bancari o qualsiasi altro genere di servizio. Utilizzando un tool di mass mailing, un falso messaggio – che finge di essere di un ente reale – viene inviato ad un’estesa lista di indirizzi email. Al suo interno, contiene un link offuscato dell’URL legittimo che condurrà ad un sito web fittizio, imitazione dell’originale. utenti non sono a conoscenza della frode ed inseriscono i propri dati di login, questi verranno inviati via email al cyber criminale o salvati in un file a sua disposizione.
Gli attacchi di phishing sono in evoluzione e non si nascondono solo in domini simili agli originali. Come riportato nel blog di Dancho Danchev*, è in atto un curioso attacco contro Myspace. In questo caso, il finto sito web è collocato in un profilo del dominio legittimo di Myspace, nel quale il cyber criminale ha inserito un falso login a un servizio di myspace, per ottenere le chiavi di accesso di tutti gli utenti ignari che cercheranno di accedervi per vedere il contenuto del profilo.
*Independent Security Consultancy, Threat Intell Analyses and Competitive Intelligence research on Demand