Google Redirect: porta aperta per i phisher!

E' una storia vecchia, ma dopo quasi un anno ancora non si è trovata una soluzione. Google può essere utilizzato dai phisher per portare attacchi di phishing, utilizzando il redirezionamento presente in alcune pagine del motore di ricerca.
I phisher infatti inseriscono, nelle mail che inviano, dei link che il malcapitato deve cliccare e che apriranno delle fake page costruite ad hoc per portare a termine l' attacco. Se i link in questione provengono da un sito attendibile come Google, l' attacco potrà ottenere un successo maggiore poichè la vittima del phisher sarà confortata dal fatto che il link proviene da un sito importante e famoso.
Ecco alcuni esempi di come si possa sfruttare Google per redirezionare una persona verso una pagina da noi scelta. Cliccate sui link qui sotto e (magia!) verrete redirezionati alla home page di Repubblica. Purtroppo i link sono molto lunghi e non entrano completamente nella pagina del blog.

http://news.google.com/news/url?sa=T&ct=us/0i-0&fd=R&url=http://www.repubblica.it
http://news.google.it/news/url?sa=T&ct=us/0i-0&fd=R&url=http://www.repubblica.it
http://www.google.com/local_url?q=http://www.repubblica.it
http://maps.google.com/local_url?q=http://www.repubblica.it
http://eval.google.com/local_url?q=http://www.repubblica.it
http://sketchup.google.com/local_url?q=http://www.repubblica.it
http://browsersync.google.com/local_url?q=http://www.repubblica.it
http://desktop.google.com/local_url?q=http://www.repubblica.it
http://toolbar.google.com/local_url?q=http://www.repubblica.it
http://earth.google.com/local_url?q=http://www.repubblica.it
http://picasa.google.com/local_url?q=http://www.repubblica.it
http://toolbarqueries.google.com/local_url?q=http://www.repubblica.it


Ovviamente il sito su cui si intende portare la vittima, può essere facilmente reso illeggibile, per esempio trasformandolo nel relativo ip.
Già sono stati sferrati alcuni attacchi di phishing utilizzando questi indirizzi. Vi rimando a questa pagina di www.anti-phishing.it dove viene riportato un esempio di mail fasulla proveniente da Poste Italiane in cui viene utilizzato come sito ponte proprio Google.

3 commenti:

    On 4 agosto 2007 16:29 mach g ha detto...

    incredibile!! non lo sapevo. ma è legale questa roba?

    fa un redirect o un include?

    fa un redirect...
    tu credi che sia un sito di Google (ed è un sito di Google), ma vieni portato su un sito esterno.