In recent months, we at eScan have been observing a whole bunch of phishing attacks on Indian Banks. CERT-IN has been informed on multiple occasions but the phishing scams just doesn’t seem to end.
Untill recently, I had never seen the usage of .htaccess , however, this time got hold of the source-code which revealed its inclusion.
The .htaccess is used to block access attempts from unwanted locations and to be more specific, accept connections from India.
List of Files used in the Phishing attack
Rest of the things remain the same, phishing site , asking the user to provide login credentials etc , but the usage of .htaccess is what I want to highlight.
Normally in malware laced websites we have seen the usage of .htaccess and other methods to deny connections from IP address, however for a phishing site this is something new.
Some of the IP addresses which have been included in this .htaccess belong to certain organizations who provide security solutions and since to ensure that this phishing campaign is a successful one, blocking the IP addresses belong to such organizations will always result in wrongful detection.
As our latest product eScan 14 employs Dynamic Phishing filter, users from specific geographical areas will get varied responses, however, any user who is from the non-blocked IP address range will be protected by the Dynamic Phishing filter, as they are the ones who will be served with the Phishing content.
Secondly, database based detection, will be severely impaired, as DB cleanup will rely on the error code generated by the .htaccess and the url might be removed from its DB , again putting the users at risk who solely rely on DB based detection.
In near future , phishing campaigns targeting different Banks / Institutions / Online Services may limit their target audience based on their geographical location and those will be testing times for everyone.
Hemos observado aquí en eScan muchos ataques en los Bancos de la India. Uno de ellos CERT-IN han sido atacados en algunas ocasiones pero estos ataques de phishing no parecen de terminar.
Hace poco que no he visto el uso de .htaccess. El .htaccess se usa para bloquear intentos de acceso desde lugares no deseados y acepta conexiones de la India.
El sitio de phishing solicita al usuario de proporcionar los datos de inicio de sesión pero me interesa más el uso de .htaccess.
Normalmente en los sitos web de malware hemos visto el uso de .htaccess y otros métodos para denegar conexiones de dirección IP, sin embargo esto es algo nuevo para un sitio de phishing.
Algunas de las direcciones IPs que han sido incluidas en .htaccess pertenecen a algunos grupos que proporcionan soluciones de seguridad y para asegurar que la campaña de phishing se hace con éxito, bloqueando las direcciones IPs que pertenecen a tales grupos resulta una mala detección.
Nuestra última versión 14 de eScan tiene la función de Filtro de Phishing Dinámica, usuarios de áreas geográficas específicas obtendrán respuestas diferentes sin embargo cualquier usuario que es del rango de direcciones IP bloqueadas no serán protegidos por el Filtro de Phishing Dinámica ya que ellos serán servidos con el contenido de Phishing.
La detección basada en la base de datos será dañado ya que la limpieza de la base de datos se basara en el código de error generado por .htaccess y el URL podría ser eliminado de su base de datos, poniendo los usuarios en riesgo porque ellos dependen en la detección basada en la base de datos.
En el futuro, las campañas de phishing que atacan diferente Bancos/Institutos/Servicios en línea pueden limitar su audiencia sobre sus ubicaciones geográficas.
