Precedente :: Successivo |
Autore |
Messaggio |
horus Macchinista
Registrato: 22/03/05 09:48 Messaggi: 2554 Residenza: Sirio e dintorni
|
Inviato: 15 Giu 2005 14:39 Oggetto: * Nascondere la vera destinazione |
|
|
Vista la grande quantità di mail che girano ultimamente con la reale destinazione di un link camuffata (se ne parla ad esempio qui) credo sia utile un riassunto della situazione.
La prima semplice tecnica per mascherare un link è basata sul fatto che quello che leggiamo non è necessariamente la destinazione.
Se io ad esempio scrivessi www.bancaditurno.it l'utente disattento si aspetterebbe di andare sul sito della banca invece finirebbe in quello di ZN.
L'utente leggermente più smaliziato potrebbe allora dire che lui guarda nella barra di stato del browser per vedere a cosa punta realmente quel link, in realtà se lui non ha disabilitato javascript io faccio in modo che quando passa col mouse sopra all'indirizzo parta una funzione che va a scrivere sulla barra di stato e ci metto l'indirizzo che voglio io, in questo caso www.bancaditurno.it .
Chiaramente andando a vedere il codice html dietro alla pagina si capisce subito il tranello ma quanti lo fanno prima di cliccare?
Per confondere un po' le acque ed evitare che i suddetti utenti smaliziati capiscano il trucco al primo sguardo posso sempre scrivere l'indirizzo in tanti modi differenti: http://www.zeusnews.it/ , http://151.9.162.202/ , http://%77%77%77%2e%7a%65%75%73%6e%65%77%73%2e%69%74/ portano tutti alla stessa pagina.
Ma se un utente si aspetta un indirizzo normale e si ritrova dei numeri apparentemente casuali magari si insospettisce così è meglio spostare la vera destinazione in una parte dell'indirizzo meno evidente, posso farlo grazie al carattere @ che fa sì che il browser ignori ciò che lo precede:
http://www.bancaditurno.it%3fsearch.%70h%70%3f&s=@%77%77%77%2e%7a%65%75%73%6e%65%77%73%2e%69%74%2f
Riguardo a queste tecniche di occultamento degli indirizzi consiglio la lettura di questo articolo di Paolo Attivissimo e di quest'altro (in inglese) di PCHelp.
Va detto che le ultime versioni dei browser hanno sviluppato una certa immunità a queste tecniche e quindi i link così formattati potrebbero non funzionare o dar vita a messaggi di avviso (ai quali però l'utente medio risponde sempre ok).
Un'ultimo modo per spostare la parte di indirizzo fraudolenta al fondo evitando di incappare in protezioni del browser è quello di usare un sito che permetta il reindirizzamento: nella mail falsa-UniCredit ad esempio venivano fatti una serie di salti successivi sfruttando google fino ad arrivare all'indirizzo finale (ovviamente codificato). Chissà dove condurrà http://www.google.it/url?q=http://%77%77%77%2e%7a%65%75%73%6e%65%77%73%2e%69%74
Sicuramente ho dimenticato di dire un sacco di cose (che spero aggiungiate voi). La cosa importante è che sia chiaro che i modi per ingannare sono tanti e l'unico modo per scampare a queste insidie è di usare la testa quando si usa internet.
Edit: ho corretto il primo link a zn perché avevo dimenticato una 's'
L'ultima modifica di horus il 16 Giu 2005 09:20, modificato 1 volta |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
Inviato: 15 Giu 2005 15:00 Oggetto: |
|
|
Bellissimo post Aggiungo solo che il carattere @ non fa esattamente sì che venga ignorato ciò che lo precede, semplicemente specifica che ciò che precede è il "nome utente" mentre ciò che segue è il sito. Non è molto comune nell' HTTP (nel web) ma lo è piuttosto nell FTP: ad esempio
ftp://user@ftp.sitoftp.com è validissimo
e l'altro uso comune è nel "mailto", infatti siamo abituati a cose tipo
mailto://utente@provider.com
no? |
|
Top |
|
|
pincopallino Dio maturo
Registrato: 05/05/02 08:05 Messaggi: 3396 Residenza: Paperopoli
|
Inviato: 15 Giu 2005 15:03 Oggetto: |
|
|
Citazione: | http://www.bancaditurno.it%3fsearch.%70h%70%3f&s=@%77%77%77%2e%7a%65%75%73%6e%65%77%73%2e%69%74%2f |
Opera me lo segnala come "illegal-url" |
|
Top |
|
|
SverX Supervisor Macchinisti
Registrato: 25/03/02 11:16 Messaggi: 11568 Residenza: Tokelau
|
Inviato: 15 Giu 2005 15:05 Oggetto: |
|
|
A me come "Si sta inviando un nome utente al sito www.zeusnews.it"
[ infatti l'URL è _valido_, perchè non ti funziona? Opera 8.0? ] |
|
Top |
|
|
pincopallino Dio maturo
Registrato: 05/05/02 08:05 Messaggi: 3396 Residenza: Paperopoli
|
Inviato: 15 Giu 2005 15:07 Oggetto: |
|
|
SverX ha scritto: | A me come "Si sta inviando un nome utente al sito www.zeusnews.it"
[ infatti l'URL è _valido_, perchè non ti funziona? Opera 8.0? ] |
Citazione: | Illegal URL
The URL http://www.bancaditurno.it%3fsearch.%70h%70%3f&s=@%77%77%77%2e%7a%65%75%73%6e%65%77%73%2e%69%74%2f contains characters that are not valid in the location they are found.
The reason for their presence may be a mistyped URL, but the URL may also be an attempt to trick you into visiting a website which you might mistakenly think is a site you trust. |
|
|
Top |
|
|
holifay Dio maturo
Registrato: 08/03/05 09:48 Messaggi: 2912 Residenza: Milano
|
Inviato: 15 Giu 2005 15:15 Oggetto: |
|
|
pincopallino ha scritto: | Citazione: | http://www.bancaditurno.it%3fsearch.%70h%70%3f&s=@%77%77%77%2e%7a%65%75%73%6e%65%77%73%2e%69%74%2f |
Opera me lo segnala come "illegal-url" |
Grazie Horus, splendida spiegazione.
in FF questo tipo di link funziona se gli togli una barra "/" finale, altrimenti dice: "url non trovata". Comunque FF avverte che si sta accedendo al sito "%77%77%77%...", ma che tale sito non richiede certificazione e questo può essere un tentativo di inganno.
. |
|
Top |
|
|
ioSOLOio Amministratore
Registrato: 12/09/03 18:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 15 Giu 2005 15:31 Oggetto: |
|
|
e perchè a me FF (1.0.4) non dice assolutamente nulla ed esegue il link normalmente ??
dipendenderà dal fatto che voi avete qualche extension che aggiunge funzioni e controlli mentre il mio è naked ? |
|
Top |
|
|
kingofworms Moderatore Internet e Telefonia
Registrato: 12/09/03 23:01 Messaggi: 1714
|
Inviato: 15 Giu 2005 22:40 Oggetto: |
|
|
ioSOLOio ha scritto: | e perchè a me FF (1.0.4) non dice assolutamente nulla ed esegue il link normalmente ?? |
Stessa versione, sistema Linux, niente extensions: stesso comportamento del tuo. |
|
Top |
|
|
juzo kun Dio maturo
Registrato: 19/04/04 08:32 Messaggi: 1853 Residenza: tra la tastiera e la sedia
|
Inviato: 16 Giu 2005 08:15 Oggetto: |
|
|
Win2000, FF 1.0.4, un tot di extension assortite, idem (però nella location vedo l'indirizzo corretto...)
Cià
JK |
|
Top |
|
|
sir jdp Eroe in grazia degli dei
Registrato: 30/01/04 22:14 Messaggi: 133 Residenza: bo (tmp:ve)
|
Inviato: 16 Giu 2005 08:27 Oggetto: |
|
|
win 2000, ff 1.0.4, una strage di extension, raggiungo il link senza avvisi, però l'indirizzo reale è svelato, vedo zeusnews dappertutto. |
|
Top |
|
|
horus Macchinista
Registrato: 22/03/05 09:48 Messaggi: 2554 Residenza: Sirio e dintorni
|
Inviato: 16 Giu 2005 09:17 Oggetto: |
|
|
Sempre per la cronaca ho fatto un paio di prove:
IE 6 (livello protezione media): lascia intatto anche nella barra di stato il formato esadecimale dei caratteri impedendo di capire ad occhio che il reale sito destinazione è zeusnews, nel caso del redirect lo fa senza problemi mentre il link con la @ semplicemente non fa nulla.
NS 7.2: i link scritti in versione esadecimale (sia diretto che con @) fanno vedere nella barra di stato il link non oscurato ma non portano alla destinazione bensì alla pagina di ricerca Netscape search passando come parametro l'indirizzo del sito destinazione. Il redirect tramite google invece funziona in quanto la lettura dei caratteri della destinazione la fa il server google e non il browser. |
|
Top |
|
|
ioSOLOio Amministratore
Registrato: 12/09/03 18:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 21 Giu 2005 09:43 Oggetto: |
|
|
due articoli di Attivissimo su zeusnews.it
qualche nozione sul pharming (17giugno) e poi l'articolo (19 giugno) su vulnerabilità e pishing |
|
Top |
|
|
|