Il Bug Che Ho Scoperto Su Google Adsense. Ti Sferro Un Attacco Di Phishing!

Come avete avuto modo di intuire, in questo periodo mi sto occupando specificatamente di phishing (= le truffe on-line) derivate da falle nelle web application.

Sfruttando spesso delle dimenticanze-errori è possibile condurre truffe on-line molto pericolose. Ecco un pratico esempio di phishing sfruttando una debolezza di Google Adsense.

L'home page di Google Adsense


Google Adsense
, per chi non lo sapesse, è un programma di affiliazione con cui ricavare dei soldi. Per maggiori dettagli si può visitare questa pagina.

Ususfruisco anch’io dei vantaggi di questo programma. Qualche giorno fa ho tentato di aprire una pagina protetta, senza eseguire il log-in (pensavo l’avessi fatto) e sono stato portato nell’home page, per il log-in, con questo indirizzo:

http://www.google.it/adsense/?destination=pagina che ho richiamato senza loggarmi

Il parametro destination definisce la pagina che si apre dopo il log-in. L’intento di Google è semplicemente quello di far visualizzare la pagina che era stata richiesta in precedenza, mentre non si era identificati, per poi esservi portati dopo l’identificazione.

Il mio spirito da smanettone si mette in moto e provo ad aprire l’indirizzo seguente

http://www.google.it/adsense/?destination=http://aranzulla.tecnologia.virgilio.it

Di fatto, dopo il log-in vengo portato sul mio sito internet, poiché il parametro destination non viene verificato. Ma se qualcuno sfruttasse questo non-controllo per un bell’attacco di phishing?

Una ipotetica e-mail di phishing

Ho contattato Google per segnalare il problema e rilasciato questo filmato dove dimostro come anche questa dimenticanza potrebbe causare forti danni, specialmente se considereiamo che Google Adsense effettua pagamenti.

Dopo il log-in l’utente viene portato sul mio sito, ma un truffatore interessato potrebbe registrare un indirizzo del tipo www.google-adsense.com (ricordate la “s” in più rispetto al sito originale di Unicredit?).

Google Adsense falsificato

Link:
Vedi il filmato di un ipotetico caso di phishing sfruttando questo “errore”

Google risponde

Gentile Salvatore,

La ringraziamo molto per la sua segnalazione. Le informazioni da lei
fornite sono risultate veritiere e sono state immediatamente inoltrate al
nostro team tecnico per ulteriori indagini.

Le siamo grati per la preziosa collaborazione e per l’attenzione.

Cordiali saluti


Questo articolo è stato scritto e pubblicato mercoledì 27 luglio 2005 da Salvatore Aranzulla. L'articolo è stato inserito in Phishing e altri inganni, Scoperte di sicurezza informatica di Salvatore. Puoi seguire i commenti a questo articolo tramite il feed RSS 2.0. Non puoi né inviare commenti, né inviare trackback.

Commenti dei lettori

  1. Fabio

    Segnalare le cose a Google è molto semplice, a seconda del tipo di comunicazione esistono diversi indirizzi mail. Per gli adsense c’è un intero forum dove è possibile scrivere e domandare.
    Quali siano le “risposte” effettive è tutt’altro paio di maniche.
    Comunque si comunica con Google Italia, ovviamente, con sede a Milano.

    Lol…

  2. Hunter

    Posso una piccola domandina?!Ma come si fa a segnalare a google delle cose,xkè ank’io ho trovato un bel pò di bug,e nn riesco a trovare come fare a contattarli!!!
    Grazie in anticipo,ciao ciao…

  3. Burgmann

    complimenti, NO. grazie per il consiglio di installatre un antivirus nel pc ,grazie. oggi sono più al sicuro.
    bello sto blog,

Non è possibile più aggiungere commenti all'articolo.