markvp

Mi sento fortunato, se non è spam

La celebre opzione di ricerca di Google permette di giocherellare con le URL, e lo consente anche agli spammer. Che possono tentare di abusarne per mettere nel sacco gli utenti meno avveduti. L'allerta di Symantec

Roma - Chi si insospettirebbe di una email il cui contenuto è un link che punta a Google? Sfruttando alcune caratteristiche avanzate del motore di ricerca, quel link potrebbe indirizzare l'ignaro destinatario dell'email verso qualunque sito. Un sito raggiunto con un solo immediato clic, senza dover ricercare nulla su Google, come se l'utente avesse cliccato sull'opzione Mi sento fortunato.

Un esempio? Eccolo: cliccando questo link si apre una nuova finestra e, pur partendo da Google, si viene indirizzati direttamente sul sito di Punto Informatico. Per capire come ciò sia possibile basta analizzare la URL: inizia con "www.google.it", seguito da tutti i comandi necessari che corrispondono all'aver digitato, nella casellina di ricerca, "Punto Informatico" e ad aver cliccato su "Mi sento fortunato". Facile concludere che, in luogo di PI, avrebbe potuto esserci qualunque sito, con qualunque contenuto, anche non... tra i migliori. Con Google che fa, inconsapevolmente, da "garante".

Tutto qui? No. Si può essere molto più sottili nell'ingegnerizzare la URL, come spiega Symantec, per avere la certezza praticamente assoluta che il risultato dell'operazione porti esattamente al sito desiderato, qualunque sia il suo contenuto.
La questione assume rilevanza notevole, non solo per la minaccia in sé, ma anche in relazione ai filtri antispam di Gmail, il portale di posta elettronica di Google. Il più recente impegno del Gmail team, ampiamente documentato da Bred Taylor, software engineer e "zar antispam" del gruppo, sta proprio nel migliorare sensibilmente l'individuazione dei messaggi-spazzatura. Di certo, un messaggio email con parole come replica watches online (siti che spesso vendono Rolex fasulli, in sostanza) avrebbe fatto scattare l'allarme dei filtri. A meno chela URL non inizi con Google, appunto.

Specie se si tiene presente che, dietro alle ombre di malware, link malevoli, phishing e altre losche attività c'è un vero e proprio commercio, non c'è motivo di sentirsi "indenni": la curiosità spesso trae in inganno e i suoi peggiori alleati sono i programmi di posta elettronica con anteprima automatica attivata e l'impiego di antivirus non aggiornati o, peggio, assenti, su sistemi che però ne abbisognano.

La vicenda, quindi, rappresenta un altro piccolo varco che lo spam apre, contro il quale è difficoltoso agire e nei cui confronti non resta che essere il più possibile accorti, prima di cliccare: se, al posto del sito che vende orologi-replica, vi fosse uno dei tanti siti che sfruttano vulnerabilità per installare malware? Dunque, occhi aperti.

Marco Valerio Principato
22 Commenti alla Notizia Mi sento fortunato, se non è spam
Ordina
  • ...Hacker Journal di 2 settimane fa un articolo di come si potevano sfruttare al meglio (non al peggio) le opzioni di ricerca di google.
  • - Scritto da: pegasus2000
    > ...Hacker Journal di 2 settimane fa un articolo
    > di come si potevano sfruttare al meglio (non al
    > peggio) le opzioni di ricerca di
    > google.

    Oddio!
    non+autenticato
  • Guardate che l'anti-spam engineer di Gmail si chiama Brad Taylor.A bocca aperta
    non+autenticato
  • Meglio tardi che mai, comunque alcuni di questi problemini di google li avevo già fatti notare un paio d'anni fa... Occhiolino (http://www.piforum.it/b.aspx?i=957779)

    Ad esempio, con questo indirizzo si può ridirezionare google verso qualunque indirizzo: http://www.google.com/groups/clearrecent?_done=htt...

    Ficoso
    -----------------------------------------------------------
    Modificato dall' autore il 07 novembre 2007 12.38
    -----------------------------------------------------------
  • In questo caso e' leggermente diverso poiche' nel link che ti reindirizza non e' presente direttamente l'url del sito di destinaizone come nel caso che hai postato tu.
    Certo, l'url di destinazione deve essere il primo della lista ma e' sufficiente cercare il giusto insieme di parole che fanno arrivare il sito di destinazione in cima alla lista.

    O al massimo e' possibile disseminare per il sito che vuoi far raggiungere una sequenza di lettere senza (sempre la stessa pero') senso tipo: ghudfbgfdghbfdbgsdilfbi
    e poi fare la ricerca su quella stringa con Mi sento fortunato, l'utente cosi' non ha modo di capire che tipo di sito gli si aprira'.

    Comunque il principio di far fare "da garante" a Google e' lo stesso sia qui che nel metodo che hai postato tu.
    non+autenticato
  • Questa con tutta probabilità verrà ricordata come una delle "furbate" più difficili da sgamare.
    Io ormai ho imparato ad associare Google alla parola "sicurezza" e questa cosa credo sia condivisa da mooooltissimi utenti sparsi per il globo internettiano.

    D'ora in avanti ci converrà stare più attenti quando vorremo aprire un link di Google... fortunatamente basterà verificare il link ed accertarsi che non ci sia un "mi sento fortunato" di troppoOcchiolino

    E ricordatevi... una bella passata di antispyware alla settimana, antivirus acceso anche di giorno e prudenza... SEMPRE!A bocca aperta
    non+autenticato
  • - Scritto da: Dario

    > E ricordatevi... una bella passata di antispyware
    > alla settimana, antivirus acceso anche di giorno
    > e prudenza... SEMPRE!
    >A bocca aperta

    Ommioddio, sono 10 anni che non lo faccio !!
    Ah, che scemo, uso Linux ...

    Evvai di flameA bocca aperta !!
    non+autenticato
  • - Scritto da: capoccione
    > - Scritto da: Dario
    >
    > > E ricordatevi... una bella passata di
    > antispyware
    > > alla settimana, antivirus acceso anche di giorno
    > > e prudenza... SEMPRE!
    > >A bocca aperta
    >
    > Ommioddio, sono 10 anni che non lo faccio !!
    > Ah, che scemo, uso Linux ...
    >
    > Evvai di flameA bocca aperta !!

    ghgh, già, antivirus e antispyware sono solo un vago ricordo
    non+autenticato
  • beh oddio basta controllare la query e se compare "rolex replica" tra i parametri del link si sega il messaggio...
    c'è altro?
    MeX
    16902
  • Dite che e' possibile codificare la query in esadecimale come fanno per gli attacchi XSS? In quel caso nessuno potrebbe accorgersi delle parole chiave contenute, pero' si potrebbe essere insospettiti da tutti quegli %
    non+autenticato
  • il link dev'essere "trasparente" perchè mica puoi passare a google un parametro codificato... quindi il controllo del link per me rimane un problema banale.
    MeX
    16902
  • contenuto non disponibile
  • si e allora? non ci vuole nulla a decodificarlo non è "criptato"
    -----------------------------------------------------------
    Modificato dall' autore il 07 novembre 2007 11.33
    -----------------------------------------------------------
    MeX
    16902
  • contenuto non disponibile
  • si ho mal interpretato codificato, confondendolo con criptato... di fatto cmq il link che hai postato tu è "trasparente" non ad un essere umano ma non ci vuole nulla a segarlo automaticamente.
    E questo è un fatto.
    Poi se vuoi continua a prendermi in giro se ciò ti diverte.Sorride
    MeX
    16902
  • contenuto non disponibile