Truffatori alle prime armi: Hackshit e il phishing alla portata di tutti | Tool

La scorsa settimana abbiamo parlato del tool Katyusha scanner per la scansione di siti web alla ricerca di falle SQL injection da poter fruttare in un attacco successivo, oggi continuiamo il nostro tour nell’underground criminale alla ricerca di altri strumenti che possano agevolare l’impresa criminale. Gli esperti dell’azienda di sicurezza Netskope, hanno scoperto una piattaforma di Phishing-as-a-Service (PhaaS) denominata Hackshit nel corso di una generica indagine. 

Hackshit è una piattaforma che offre ai suoi clienti una soluzione per truffatori alle prime armi che intendono lanciare campagne di phishing senza però disporre di particolari conoscenze tecniche

Ancora una volta ci troviamo dinanzi ad un modello di vendita a servizio (cybercrime-as-a-service) che consente ad aspiranti criminali di diventare rapidamente operativi nel cyber spazio, a danno di ignari utenti ed imprese. Vediamo in dettaglio come si è arrivati alla piattaforma Hackshit.

La piattaforma Hackshit

Form di autenticazione di servizi web

Gli esperti dell’azienda Netskope si sono imbattuti in alcune pagine di phishing codificate in Base64 (la codifica Base64 utilizza una tecnica di conversione dei dati basata su 64 simboli del formato ASCII.), accessibili su siti web che implementano il protocollo HTTPs e che utilizzano l’estensione .moe probabilmente per ridurre la probabilità di essere individuate dalle varie soluzioni anti-phishing.

Le pagine riproducono le form di autenticazione di principali servizi web come Google Gmail

Una volta risolto l’indirizzo delle pagine codificato in Base64 gli esperti hanno scoperto che il dominio usato dai criminali aveva una struttura del tipo “https://a.safe.moe,” accedendo tale indirizzo si sono trovati dinanzi ad una pagina di login di Google Docs.

La seconda pagina di phishing

Una volta che la vittima ha fornito le credenziali attraverso la falsa pagina di login le stesse sono poi inviate ad una seconda pagina di phishing che utilizza uno schema di conversione in base64 simile a quello descritto pocanzi. Anche in questo caso, l’indirizzo della pagina si risolve in https://a.safe.moe. Questa seconda pagina è stata disegnata in modo da far sì che la vittima fornisca le informazioni normalmente utilizzare per il recupero di un account di posta elettronica (i.e. risposte a domande generiche quali il cognome da nubile della mamma, il colore preferito o la città di nascita). Una volta fornite queste informazioni, l’ignaro utente è quindi reindirizzato alla pagina legittima per il recupero dell’account di posta, ad esempio Gmail. Chiaramente una volta collezionate le credenziali di accesso e le informazioni di recupero, l’attaccante è in grado di prendere pieno possesso dell’account della vittima.

Websocket

L’analisi delle pagine di phishing ha rivelato che i dati forniti dall’utente sono inviati all’attaccante attraverso un meccanismo noto come websocket all’indirizzo https://pod[.]logshit[.]com and https://pod-1[.]logshit[.]com. Banalmente inserendo tale indirizzo nel browser ci si trova dinanzi un sito di nome Hackshit, proprio la piattaforma di “Phishing as a Service” di cui parliamo (nella foto sopra).

Black market e servizi di phishing

Hackshit offre numerosi servizi di phishing completamente personalizzabili per l’utente, inoltre la piattaforma implementa anche un black market in cui è possibile vendere o acquistare qualunque servizio o prodotto relativo alla pratica del phishing. «Il black market implementato da Hackshit è un portale che offre servizi per acquistare e vendere tutto il necessario per eseguire attacchi di phishing» ha spiegato il ricercatore di Netskope Ashwin Vamshi. «I criminali – ha aggiunto – possono generare pagine di phishing personalizzate attraverso un generatore apposito, prendere nota di tutti gli account di cui sono acquisiti i dati, visualizzare contatti ed inviare email contenenti link a pagine di phishing». I criminali possono acquistare nel black market dati acquisiti mediante campagne di phishing e pagare comodamente utilizzando diversi sistemi, dal Bitcoin a Perfect Money. Hackshit consente ai propri utenti di generare rapidamente pagine personalizzate di phishing per popolari servizi web Yahoo, Facebook, and Gmail. Tra le altre caratteristiche di rilievo del sito vi è l’utilizzo di certificate SSL emessi dalla Autorità di Certificazione Open Let’s Encrypt.

Quanto costa il servizio Hackshit

I gestori della piattaforma offrono diversi livelli di abbonamento il cui prezzo varia da circa 40 dollari per settima per un profilo Starter ai 250 dollari per due mesi di una sottoscrizione Master. 

Hackshit è la dimostrazione dell’efficacia del modello Crime-as-a-Service che consente a criminali senza particolari conoscenze tecniche di trarre rapidamente profitto dalle loro attività illegali

Tale modello preoccupa molto gli esperti di sicurezza in quanto consente alle organizzazioni del crimine organizzato con notevoli disponibilità finanziare di differenziare le proprie attività reinvestendo nel crimine informatico. La conoscenza del modello e l’osservazione di nuovi servizi e prodotti offerti nell’ecosistema criminale è essenziale per mitigare gli effetti delle minacce cibernetiche e ridurne l’impatto su imprese ed utenti.