Facebook phishing 17/03/2010

La mail arrivatami questa mattina

Sappiamo ormai che il phishing non risparmia piu nessuno. Oggi mi arriva questa email da facebook dove mi avvertono che la mia password è stata resettata; vi traduco il testo:

Hey daniele, (già una mail di servizio che comincia con Hey e con il mio nome in minuscolo è tutto dire)

Per via delle misure prese per la sicurezza dei nostri clienti (clienti??? facebook???)
la tua password è stata cambiata.
Puoi trovare la nuova password nel documento allegato (strano, perchè generalmente le password vengono scritte nel corpo della mail)

Ecco cosa non mi convince ad una prima occhiata, le cose cerchiate in rosso. Per prima cosa l’indirizzo email di risposta, subsistsn6@ViewFindR.com, niente di riconducibile a Facebook, è un errore piuttosto goffo questo; se lo scopo degli attacker è quello di farmi aprire l’allegato perchè non mascherare anche il campo reply?

La seconda stranezza è il file allegato. Prima di tutto perchè resettarmi la password? Seconda cosa, generalmente, per motivi di facile fruizione, le aziende inseriscono le nuove credenziali nel corpo della mail, consigliando vivamente subito dopo di cambiare la password da loro assegnata con una che sia compliant con le regole di sicurezza; perciò che senso ha cliccare su un file eseguibile?

Il file zip ed il suo contenuto

Come vedete è un file zip contenente un file exe; penso che potete immaginare cosa c’è dentro quel file no?
Ma andiamo a vedere che tipo di sito è questo ViewFindR.com

Ecco cosa compare collegandosi all'indirizzo viewfindr.com

Come potete vedere è un installazione base di apache su macchina CentOS. Andiamo a saperne di piu con un bel whois.

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: VIEWFINDR.COM
Registrar: GODADDY.COM, INC.
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS1.THEPLANET.COM
Name Server: NS2.THEPLANET.COM
Status: clientDeleteProhibited
Status: clientRenewProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 02-jul-2009
Creation Date: 01-jul-2008
Expiration Date: 01-jul-2010

>>> Last update of whois database: Wed, 17 Mar 2010 10:36:24 UTC <<<

NOTICE: The expiration date displayed in this record is the date the
registrar’s sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant’s agreement with the sponsoring
registrar.  Users may consult the sponsoring registrar’s Whois database to
view the registrar’s reported date of expiration for this registration.

TERMS OF USE: You are not authorized to access or query our Whois
database through the use of electronic processes that are high-volume and
automated except as reasonably necessary to register domain names or
modify existing registrations; the Data in VeriSign Global Registry
Services’ (“VeriSign”) Whois database is provided by VeriSign for
information purposes only, and to assist persons in obtaining information
about or related to a domain name registration record. VeriSign does not
guarantee its accuracy. By submitting a Whois query, you agree to abide
by the following terms of use: You agree that you may use this Data only
for lawful purposes and that under no circumstances will you use this Data
to: (1) allow, enable, or otherwise support the transmission of mass
unsolicited, commercial advertising or solicitations via e-mail, telephone,
or facsimile; or (2) enable high volume, automated, electronic processes
that apply to VeriSign (or its computer systems). The compilation,
repackaging, dissemination or other use of this Data is expressly
prohibited without the prior written consent of VeriSign. You agree not to
use electronic processes that are automated and high-volume to access or
query the Whois database except as reasonably necessary to register
domain names or modify existing registrations. VeriSign reserves the right
to restrict your access to the Whois database in its sole discretion to ensure
operational stability.  VeriSign may restrict or terminate your access to the
Whois database for failure to abide by these terms of use. VeriSign
reserves the right to modify these terms at any time.

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.The data contained in GoDaddy.com, Inc.’s WhoIs database,
while believed by the company to be reliable, is provided “as is”
with no guarantee or warranties regarding its accuracy.  This
information is provided for the sole purpose of assisting you
in obtaining information about domain name registration records.
Any use of this data for any other purpose is expressly forbidden without the prior written
permission of GoDaddy.com, Inc.  By submitting an inquiry,
you agree to these terms of usage and limitations of warranty.  In particular,
you agree not to use this data to allow, enable, or otherwise make possible,
dissemination or collection of this data, in part or in its entirety, for any
purpose, such as the transmission of unsolicited advertising and
and solicitations of any kind, including spam.  You further agree
not to use this data to enable high volume, automated or robotic electronic
processes designed to collect or compile this data for any purpose,
including mining this data for your own personal or commercial purposes.

Please note: the registrant of the domain name is specified
in the “registrant” field.  In most cases, GoDaddy.com, Inc.
is not the registrant of domain names listed in this database.

Registrant:
Kwun Han
2701 San Tomas Expressway
Santa Clara, California 95050
United States

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: VIEWFINDR.COM
Created on: 01-Jul-08
Expires on: 01-Jul-10
Last Updated on: 02-Jul-09

Administrative Contact:
Han, Kwun  jmpsmash@gmail.com
2701 San Tomas Expressway
Santa Clara, California 95050
United States
4087329041      Fax –

Technical Contact:
Han, Kwun  jmpsmash@gmail.com
2701 San Tomas Expressway
Santa Clara, California 95050
United States
4087329041      Fax –

Domain servers in listed order:
NS1.THEPLANET.COM
NS2.THEPLANET.COM

I punti salienti sono, il registrante

Kwun Han
2701 San Tomas Expressway
Santa Clara, California 95050
United States

Il contatto amministrativo:

Han, Kwun  jmpsmash@gmail.com
2701 San Tomas Expressway
Santa Clara, California 95050
United States
4087329041      Fax –

Ed il contatto tecnico

Han, Kwun  jmpsmash@gmail.com
2701 San Tomas Expressway
Santa Clara, California 95050
United States
4087329041      Fax –

Sempre la stessa persona; come potete vedere sopra il registrant è GoDaddy. Da qui le indagini si potrebbero sbizzarrire su chi è questa persona che non si è presa neanche la briga di pagare 8$ all’anno per offuscare i suoi dati, cosa che anche un ragazzino avrebbe fatto.

Con questo vi saluto e mi raccomando, occhi aperti!