Fast Flux attack: Significato, utilizzo e fasi del Fast Flux informatico

Fast Flux attack: Significato, utilizzo e fasi del Fast Flux informatico

Fast Flux

Il metodo denominato Fast Flux, anch’esso evoluzione delle tecniche di attacco phishing come il pharming, è quello che consente di modificare continuamente, ad intervalli brevissimi di tempo, gli indirizzi IP e domain server dei computer infettati da virus e utilizzati per ospitare siti di phishing. I domini Fast Flux stanno notevolmente aumentando, sono sempre più utilizzati dai phisher in quanto rendono più difficile l’identificazione dei siti clone ed è, dunque, più difficile la loro chiusura. In questi casi, il phisher evolve la propria metodologia di attacco: invia una email contenente un messaggio di collegamento al sito clone all’utente, che, confidando dell’autenticità del messaggio, clicca sul link che appartiene alla rete di personal computer infettati da malware rispondenti ai comandi da remoto del phisher98 ed inserisce le proprie credenziali sul sito clone99, che cattura le credenziali e reindirizza automaticamente l’utente sul sito originale, così che non possa accorgersi di nulla. In tali casi, l’indirizzo IP a cui si connetterebbe il browser dell’utente cambia randomicamente ogni tre minuti, collegandosi a differenti computer facenti parte della rete dei computer infettati da malware e controllati dal phisher: in questo modo, con il cambiamento continuo, è difficile risalire al server principale che ospita il sito clone ed è anche più facile per l’aggressore disporre di computer cosiddetti “zombies” attivi e pronti all’uso.

Fast Flux attack: Significato, utilizzo e fasi del Fast Flux informatico

Ad oggi, esistono due tipologie di rete Fast Flux: una prima, denominata Singol Flux ed un’altra, denominata Double Flux, che sfrutta una complessa tecnica basata su un doppio livello di cambiamento degli indirizzi IP.
Di recente, le aziende produttrici di software antivirus hanno individuato un particolare tipo di virus, il virus storm worm, quale veicolo principale di diffusione degli attacchi, stimandolo in circa due milioni di unità e la propagazione massima è stata registrata tramite alcuni filmati caricati sul sito YouTube.
Un esempio di Fast Flux si può rintracciare prendendo in considerazione un attacco ai clienti di Poste Italiane, che, digitando l’URL del sito di Poste Italiane, di cui l’attaccante aveva creato un sito clone, hanno involontariamente attivato un javascript nascosto che ha scaricato automaticamente sul loro computer un trojan, facendo sì che anche l’attaccante potesse avere accesso al computer del cliente.

Nonostante i gruppi anti-phishing e i responsabili della sicurezza informatica degli enti colpiti abbiano condotto studi che hanno permesso di individuare le strategie idonee ad identificare l’indirizzo IP del sito clone e di effettuarne la chiusura, il Fast Flux rimane comunque una tecnica di attacco molto pericolosa, in quanto vi è forte difficoltà a procedere ad una veloce individuazione e chiusura del sito clone, che spesso viene anche occultato mediante proxy e, quindi, rimane la tecnica che permette massimizzazione di profitti con il minimo degli sforzi.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *