Phishing in evoluzione: mirino puntato sui webmaster

Chi gestisce un sito Internet e desidera pubblicizzarlo nel Web conoscerà probabilmente Google AdWords, celebre servizio di Google rivolto a tutti coloro che desiderano far crescere la popolarità del proprio portale (di e-commerce, professionale o amatoriale che sia) in rete e senza investire necessariamente enormi capitali.

Purtroppo, come già accade per altri servizi finanziati attraverso denaro inviato via Internet dagli utenti, anche AdWords da qualche anno è finito nel mirino dei phishers e non è una novità trovarsi nella casella di posta delle email come questa:


il corpo del messaggio in esame, dietro l'avvertimento dell'imminente scandenza del servizio, invita l'utente a cliccare su un certo link presente nell'email e a digitare nel successivo sito web (un perfetto clone dell'originale) nome utente e password di accesso. Secondo il classico schema del phishing i dati, una volta digitati, vengono acquisiti fraudolentemente dal phisher e utilizzati successivamente per fare spam o compiere ulteriori attività illecite.

La tecnica deve aver riscosso successo tra i phishers, tanto da spingerli ancora una volta a fingersi providers di servizi Internet e a richiedere esplicitamente alle potenziali vittime persino i dati per amministrare i loro siti Web.

Nelle ultime ore, infatti, Trend Micro (azienda leader nel settore della sicurezza dei contenuti Internet) ha segnalato sul suo blog una nuova variante di phishing principalmente rivolta a webmaster e gestori di siti Internet.

A seguito di una email proveniente in apparenza dal provider del proprio spazio Web, l'utente viene invitato dietro le motivazioni più fantasiose a cliccare un certo link che rimanda al pannello di amministrazione del sito. In realtà quello che compare dopo all'apertura del link altro non è che un sito clone realizzato dal phisher in cui vengono chieste le credenziali di autenticazione per accedere alla gestione del portale. Nell'immagine a seguire (fonte: TrendLabs Malware Blog) viene mostrato un esempio di sito fraudolento:


da notare le informazioni richieste alla vittima:
- Indirizzo di accesso al server FTP;
- Login FTP;
- Password FTP;

a dati digitati una schermata ringrazia l'utente per aver inserito le informazioni richieste e lo reindirizza ingannevolmente al sito originale del provider (v. immagine a seguire).


Eloquente è la molteplicità di rischi a cui viene esposto con questa azione fraudolenta l'intestatario dello spazio Web: assecondando la richiesta delle credenziali, la vittima fornisce infatti al criminale di turno quelle informazioni fondamentali per assumere il controllo del sito Internet e utilizzarlo per le finalità illecite più disparate.

Redazione InterTraders