Symantec
09/07/2014

Annunci pubblicitari di phishing nei risultati dei motori di ricerca

Persone malintenzionate hanno sfruttato alcune lacune nella presentazione degli annunci pubblicitari dei principali motori di ricerca al fine di attirare gli utenti di questi ultimi verso siti di phishing.

La ricerca di "blockchain", il nome di un popolare fornitore di portafogli Bitcoin, ha causato la visualizzazione di annunci pubblicitari ingannevoli nella parte superiore delle pagine dei risultati di ricerca di Google, Bing, Yahoo e DuckDuckGo.

Rispetto alla modalità tradizionale di phishing, nel quale i link ai siti contraffatti sono contenuti in e-mail spesso inviate indiscriminatamente, questo nuovo approccio, nel quale i link sono contenuti negli annunci pubblicitari dei motori di ricerca, risulta sicuramente molto più convincente, soprattutto quando il dominio impersonato dal sito contraffatto viene visualizzato quale destinazione del link.

Blockchain.info, con più di 1,7 milioni di portafogli Bitcoin, è il più popolare servizio on-line nel suo genere. Blockchain My Wallet consente agli utenti di inviare e ricevere pagamenti in Bitcoin. Al momento della registrazione, viene fatto presente agli utenti l’obbligo assoluto di ricordare la propria password: una password dimenticata infatti non può essere recuperata e la sua dimenticanza comporterà la perdita di tutti i Bitcoin memorizzati nel portafoglio. Queste password hanno costituito l’obiettivo dei malintenzionati.

L'immagine precedente mostra i risultati di ricerca per "blockchain" in Bing. Il primo link della pagina è un annuncio pubblicitario che sembrerebbe riferirsi al servizio di portafoglio Blockchain ufficiale, cioè Blockchain.info. Tuttavia tale link conduceva al sito di phishing blockchaino.info (si noti la 'o' finale).

Il sito di phishing presente a blockchaino.info richiede di inserire il proprio identificativo e la propria password, mentre il sito autentico Blockchain richiede soltanto identificativo dell'utente.

Raccomandazioni di sicurezza di Blockchain chiariscono che il vero Blockchain.info non chiederà mai ai propri utenti la loro password: "Non ne abbiamo MAI bisogno e non la vogliamo MAI".

Non appena il truffatore riesce a ingannare la propria vittima, facendosi comunicare la password, i Bitcoin vengono ovviamente trasferiti altrove.

Nonostante l'assenza, sul sito di phishing, di un certificato SSL , è assai probabile che questo tipo di attacco sia estremamente efficace, visto che l'annuncio pubblicitario, oltre a essere il primo della lista che appare nella pagina dei risultati dei motori di ricerca, visualizza il nome di dominio del sito al quale si intenderebbe rivolgersi.

Alcuni utenti inoltre potrebbero non rendersi conto che si tratta di un annuncio pubblicitario e credere invece che sia il primo risultato organico.

Mostrare un URL errato (testo verde della prima immagine) è vietato dalle policies della maggior parte delle reti pubblicitarie; tuttavia i truffatori sono evidentemente riusciti a eludere questa restrizione.

Il motore di ricerca Bing non è stato l’unico a essere colpito da questa campagna di phishing. Gli annunci visualizzati nella parte superiore dei risultati di ricerca Bing sono apparsi ovunque nel Yahoo-Bing Network. Ciò significa che gli stessi annunci fraudolenti sono apparsi cercando blockchain su Yahoo.com. Annunci di phishing simili sono stati visualizzati anche sul motore di ricerca DuckDuckGo, che fa parte dalla stessa rete.

Phishing su Yahoo
Gli stessi annunci di phishing sono apparsi su Yahoo cercando blockchain

E non è stata solo la rete pubblicitaria Yahoo-Bing a essere stata sfruttata dai phisher, anche il gigante della ricerca Google ha mostrato il seguente annuncio di phishing fra i suoi risultati:

Il fatto che siano state carpite delle password comunque non significa necessariamente che siano stati rubati tutti i Bitcoin relativi. Se un utente Blockchain infatti ha scelto di abilitare l'autenticazione a due fattori (tramite SMS, Yubikey o Google Authenticator) il truffatore, pur avendo carpito la password, non sarà comunque in grado di accedere al portafoglio Bitcoin, non avendo la disponibilità fisica del dispositivo di autenticazione a due fattori della vittima (il telefono, ad esempio, o la Yubikey).

Fonte: Netcraft News