Potremmo chiamarlo phalsing, ovvero il falso che arriva via "phone", ossia dai cavi dai quali una volta passavano le voci telefoniche. Dai laboratori di Websense l´annuncio

Potremmo chiamarlo phalsing, ovvero il falso che arriva via "phone", ossia dai cavi dai quali una volta passavano le voci telefoniche. Dai laboratori di Websense l´annuncio di una nuova temibile insidia, un trojan camuffato con i marchi di oltre un centinaio di note istituzioni finanziarie americane ed europee. Così, senza attendere che l´utente riceva una e-mail falsa dalla propria banca, e poi si rechi nel sito clone, con questo attacco, se l´utente digita il nome a dominio di una di queste 100 istituzioni finanziarie verrà indirizzato direttamente nel sito clone. L´iniziativa del worm è davvero molto capziosa, poichè arriva a modificare i contenuti dei file host sul Pc con una lista di siti che indirizzano tutti al localhost. In sostanza il meccanismo consiste nel reindirizzamento del browser verso un Web server dove ci sono più di 100 diversi falsi brand di istituzioni finanziarie. In pratica una volta installato sul Pc, il codice maligno verifica che ci sia una finestra attiva aperta - "my computer" o Internet Explorer. Se una di queste applicazioni non è aperta, il software maligno modifica i contenuti dei file host sul Pc con una lista di siti che indirizzano tutti al localhost (127.0.0.1). Se invece una di queste applicazioni è aperta, il codice maligno effettua un lookup DNS verso un server DNS ospitato in Russia e riceve l´indirizzo per un Website. L´indirizzo che ritorna dal server DNS è quindi posto nei file host con una lista di marchi di istituzioni finanziarie. Se l´ignara vittima visita uno di questi siti, si viene reindirizzati al sito fraudolento. In questo modo l´hacker puà cambiare l´indirizzo di destinazione attraverso il DNS se uno dei server non è in linea. Il Web server utilizza l´hostname ricevuto per creare le pagine per quel particolare target. Ci sono più di 100 diversi falsi brand di istituzioni finanziarie ospitati su questo sito, tutte con uniche pagine per quel particolare attacco. ,

Condividi