Siti di P.A. compromessi. Un caso di fake login multiplo a servizio webmail incluso in sito comunale IT (4 settembre)

Sempre molto diffuse in rete pagine, quasi sempre incluse su siti legittimi compromessi, che propongono  un falso login multiplo a diversi noti servizi di webmail.
Lo scopo e’ quello di venire in possesso sia di un indirizzo mail valido che delle credenziali di accesso alla mailbox con tutte le conseguenze del caso.
Da notare anche che, sempre piu’ spesso, lo stesso login alla mailbox permette, vedi esempio i servizi Google, di accedere a molti di quelli offerti e non solo alla mailbox.
Altro possibile problema e’ che molti usano la stessa password per accedere alla mailbox ma anche a differenti servizi web aumentando cosi il pericolo che chi e’ venuto in possesso delle credenziali di accesso alla mail possa anche usarle per altri login.

Questa la fake pagina di login webmail

dove notiamo i differenti loghi cliccabili che corrispondono ad altrettanti form di richiesta credenziali di accesso.

Una volta confermati i dati si viene rediretti su legittimo login Google

Le pagina di fake login e’ inclusa all’interno di questo sito comunale IT di cui vediamo la homepage

con IP

Una analisi dei response headers della fake pagina di accesso ai servizi webmail mostra data recente per l’azione di inclusione dei contenuti di phishing.

Edgar