Phishing con CARTASI: esaminiamo il caso in PHP
Posted on Dicembre 9, 2007
Filed Under Protezione Password |
Un nuovo caso di Phishing attanaglia da giorni le nostre mail: e’ il nuovo caso di CARTASI che presenta delle particolarita’ rispetto agli innumerevoli esempi di Phishing che bussa ogni giorno alle nostre email. Esaminiamo in dettaglio il nuovo caso con questo breve articolo.
Tramite una e-mail l’utente viene invitato a collegarsi all’indirizzo: http://mail.noahs-ark.org/.cartasi/index.htm dove viene presentata una simil pagina di login del sito CARTASI. Nella mail ci viene chiesto di inserire i dati di login e, nella successiva schermata quelli della carta in nostro possesso. Sembra tutto corretto se non che il sito e’ ovviamente un sito truffaldino che tenta di recuperare i nostri dati di login e di carta ma andiamo ad esaminare meglio come cio’ e’ stato possibile.
Ignorando quale mole di indirizzi e-mail siano stati acquistati/rubati passiamo ad analizzare dal punto di vista dello script utilizzato per la realizzazione del sistema. Per capire il funzionamento basta listare il contenuto della directory che avviene semplicemente collegandosi all’indirizzo: http://mail.noahs-ark.org/.cartasi/
Potremo cosi’ vedere tutti i file presenti tra cui figurano due file: eh1.txt ed eh.txt dove vengono archiviati i dati ma come avviene cio’ ? Collegandosi alla index.htm ed inserendo i dati e’ presente uno script nella pagina di action del form action=”login.php” simile al seguente:
$handle = fopen(”eh1.txt”,”a”); // con l’attributo a si dice al file che deve essere aperto in append, ossia scrivo il contenuto in fondo al file
$username = “user: “.$_POST[’username’].”<br>”;
$password = “Password: “.$_POST[’password’].”<br>”;
$ip = “IP: “.$_SERVER[’REMOTE_ADDR’].”<br>”;
$data = date(DATE_RFC822);
$stringa = $username.$password.$ip.$data;
fputs($handle,$stringa);
fclose($handle);
?>
Una sintassi analoga viene realizzata nella scrittura del file inerente alla carta dell’utente. I due file sono disgiunti, si rende quindi necessaria una comunicazione tra l’utente e la carta grazie all’indirizzo IP. Sara’ quindi necessario scorrere il file eh1.txt ed in base agli IP fare un’associazione con il file eh.txt.
Il sistema realizzato e’ molto arcaico ma una buona base di partenza per capire come vengono gestiti i file in scrittura, lettura (fread). Come esercizio sarebe utile scorrere il file eh.txt (while !feof($handle)) ed in base all’ip realizzare un file unico che comprenda il titolare della carta ed il nome dell’utente. Il tutto andrebbe memorizzato in una tabella di un DB Mysql, Oracle o Access che sia per rendere piu’ agevole e sicura la gestione.
L’analisi fatta e’ solo a scopo di presentazione degli strumenti di PHP e non ha alcuno scopo nel favorire le attivita’ di phishing o qualsivoglia attivita’ fraudolenta.
Tags: cartasi, gestione file, phishing, php
Others Script adv
2 Responses to “Phishing con CARTASI: esaminiamo il caso in PHP”
Leave a Reply
Ma la combinazione della cassaforte della Zecca d’Italia quando ce la passi?
Benvenuto Matt Kazz,
capire come agisce un phisher e’ utile per ovviare agli errori tipici presenti sulla stragrande dei propri siti. La combinazione senza la cassaforte e’ inutile…