Phishing, XSS
domenica, 13 luglio 2008Oggi ho notato un messaggio-truffa nella mia casella di posta elettronica… curioso di testare la nuova funzionalità anti-phishing di firefox e google ho cliccato sul link; purtroppo il browser mi ha fatto accedere alla pagina taroccata senza dirmi nulla, ho cercato l’home page originale, ed ho constatato che sono identiche! Beh, non ci vuole molto a fare un copia/incolla… allora ho cercato il modo di segnalare il sito di phishing, semplicissimo! su firefox 3.0 (mi sembra anche nella versione 2) basta cliccare sul punto interrogativo, e poi su “segnala un sito contraffatto…” ed ecco fatta una fatta una buona azione! 
L’url del link nell’email apparteneva ad un dominio diverso da quello del sito contraffatto, quindi un occhio attento si accorge subito della truffa… ma bisogna stare attenti anche agli url di siti che conosciamo!
Può capitare che persone non troppo gentili con noi sfruttino BUG grossolani presenti nei siti per iniettare i loro contenuti dannosi o truffaldini… ecco alcuni esempi per farvi vedere che purtroppo non è così difficile trovare siti malfatti:
Io ho inserito semplicemente un iframe a tutto schermo che mostra il mio sito (da notare nella barra degli indirizzi l’url del sito originale)… ma si potrebbe anche mettere codice javascript col quale ad esempio “rubare” i cookie di qualcuno autentificato al sito per poi autentificarsi al suo posto…
Colleghi alle prese con sistemi informativi, stiamo attenti anche a queste cose (non so se all’esame le controllino e devo ammettere che per il mio progetto me ne sto fregando altamente visto è rimasto poco tempo, ma per siti “veri” queste attenzioni sono obbligatorie).
Non si arrabbino quelli che la sanno lunga per il tempo perso leggendo questo (per loro) inutile articolo, ma probabilmente qualcuno che non conosce questi problemi ancora c’è, e mi piacerebbe leggere un suo commento
