Cuteit & phishing: come ti prendo al mio amo.

Come nascondere il reale indirizzo di destinazione in un link.

Gli attacchi di phishing sono molto comuni in questi giorni. La maggior parte delle grandi aziende devono affrontare attacchi di phishing e sicuramente anche un utente singolo. Esistono centinaia di metodi per poter penetrare all’interno di una azienda o nella vita di una persona, ma il phishing rimane il metodo più affidabile e facile. Vi parlero’ di come viene utilizzato cuteit per offuscare (nascondere) il reale indirizzo ip in un link.

Come al solito, non vi dirò come sfruttarlo, ma cercherò di farvi capire come viene viene sfruttato e quindi come difendersi.

Cuteit è uno strumento ben progettato per nascondere un indirizzo ip  “dannoso”, e potrebbe ache essere utilizzato nel pentesting di rete.

Cuteit è stato progettato per trasformare gli indirizzi IP dannosi in URL quasi del tutto “regolari”. Un semplice script python che trasforma un indirizzo IP in molte forme.

Il  Pen Test

In informatica, il penetration test (o informalmente pen test) è il processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l’attacco di un utente malintenzionato. L’analisi comprende più fasi ed ha come obiettivo evidenziare le debolezze della piattaforma fornendo il maggior numero di informazioni sulle vulnerabilità che ne hanno permesso l’accesso non autorizzato. L’analisi è condotta dal punto di vista di un potenziale attaccante e consiste nello sfruttamento delle vulnerabilità rilevate al fine di ottenere più informazioni possibili per accedere indebitamente al sistema. Un penetration test può aiutare a determinare se le difese del sistema sono sufficienti o se presenta delle vulnerabilità elencando in questo caso quali difese il test ha sconfitto. (fonte WK)

attacco phishing
attacco phishing



 

Come funziona Cuteit (o simili)

Immaginate che un “amico” vi invii un bel massaggio o una mail con un link similare a questi che seguono, e che vi chieda di controllare o vedere una determinata cosa.

https://www.facebook.com+settings&tab=privacy@%3192%2E%3168%2E%31%2E%38

http://google.com@accounts@%3192%2E%3168%2E%31%2E%38

https://www.facebook.com+settings&tab=privacy@0300.0250.0001.0010

Molto male !

Se seguite il link, andrete su un server che ha (nello specifico) indirizzo 192.168.1.8 ( ma potrebbe essere un qualsiasi ip pubblico) Li sicuramente ci sarà un clone della pagina di autenticazione di Facebook o Google e una volta digitate le vostre credenziali il vostro amico le avrà su un piatto d’argento, mentre voi verrete ulteriormente dirottati sul vero Facebook o Google.

Dal quel momento il vostro amico o presunto tale avrà pieno accesso alla vostra vita!

Il problema è che di solito non sono gli amici che fanno questi giochetti, ma hacker che impersonano una persona che voi conoscete bene e utilizzano come mezzo preferito la mail!

Non seguite link strani, basta un secondo di disattenzione e la frittata è fatta!