Oggi parliamo di Eni colosso dell’energia e degli idrocarburi e di una delle vulnerabilità più amate da chi fa phishing, gli open redirect.

Prima di continuare vi invito a leggere il mio disclaimer.

Sul portale riservato ai privati di Eni http://famiglia.eni.it i cittadini, pagano ogni giorno le loro amate bollette del gas e dell’elettricità. Non so ora quanti utenti possiede Eni, ma sicuramente tra questi c’è chi utilizza la propria carta di credito per effettuare i pagamenti.

Come è noto Eni mette a disposizione la Bolletta Web che è un servizio che ti permette di ricevere la Fattura della bolletta nella propria casella di posta elettronica.

Il template dell’email è abbastanza semplice da replicare. Così per puro scopo didattico ne ho costruita una.

Come potete vedere se portate il mouse sopra i link, sono tutti in https e questo oltre a rassicurare alcuni antispam, fa si che l’utente possa avere maggiore fiducia ad un primo impatto visivo. In questo caso visto che si tratta della solita bolletta di Eni, che ci arriva ogni bimestre, perché non cliccarci e vedere questo mese quanto si deve pagare?

Come un open redirect può essere sfruttato dal Phisher?

Una volta che l’utente clicca su uno dei link, viene portato sulla vera pagina di Login di Eni, ma in ogni caso una volta effettuato il login verrà redirezionato su una pagina fake di Eni, dove troverà un form di login finto con l’errore: Credenziali errate. In questa situazione l’utente andrà a reinserire in modo naturale le proprie credenziali, che questa volta andranno a finire in mano al criminale informatico facendogli che successivamente gli farà eseguire un form wizard per un finto pagamento con carta di credito.

Se invece il criminale vuole molto di più della semplice carta di credito, è possibile seguire la strada degli exploit kit e far atterrare l’ignoto utente su una pagina costruita ad hoc con uno dei tanti exploit kit in circolazione.

Questo è il video che spiega come funziona la vulnerabilità. Purtroppo il video non utilizza la dimostrazione sopra descritta, ma spero renda l’idea.

DISCLOSURE HISTORY:

  • 18/02/2015 – Scoperta della vulnerabilità
  • 19/02/2015 – Primo contatto con il responsabile IT Security Operation di Eni. Inviata descrizione della vuln.
  • 22/05/2015 – Contatto telefonico con IT Security Operation, security team at work.
  • 31/10/2015 – Patched.
  • Full Disclosure 12/11/2015