Nel giro di 24 ore dall'ultima e' arrivata un'altra mail di phishing ai danni di Poste Italiane.
Sembra che ci sia una improvviso aumento dell'invio di questo tipo di mails viste anche alcune segnalazioni lette su altri blog che parlano di false mail di Poste It ma che linkano a domini diversi da questo e comunque ci sono alcuni particolari in questa mail che meritano qualche approfondimento.
Circa dieci giorni fa' postavo un commento sul blog exploit ad un articolo riguardante una mail di phishing relativa a Poste It e precisamente:
..........A proposito di phishing, Poste.It, date una occhiata, con tutte le precauzioni del caso, a questo link russo. Non capisco bene di cosa si tratti, se una raccolta di layout di pagine o archivio files in attesa di utilizzo ... oppure... ???
http://poste-it-rebancoposteonl.by.ru/
e anche qui per bancaintesa
http://bancaintesa.by.ru/
ma penso ce ne siano anche altri .......
Come si vede, si trattava di una serie di pagine che avevo trovato, tutte su host con dominio by.ru che contenevano i layout dei siti di bancaintesa e poste it
La mia ipotesi che si trattasse di layout in attesa di utilizzo sembrerebbe ora confermata da questa mail di phishing Poste IT
La mail, questa volta, informa di una vincita di ben 550 euro, ed il testo e' scritto in un italiano accettabile. Come al solito per incassare il bonus bisogna loggarsi sul sito Poste It con la propria password e fornendo i numeri di conto.
Una volta cliccato sul link inizia la solita sequenza di login seguita dalla richiesta dei codici personali e che presumibilmente procede come visto altre volte per questo tipo di phishing
Se visualizziamo il folder http://posteitx.by.ru/bpol/cartepre/ presente sul server
possiamo vedere che esiste tutta la serie delle pagine del sito di phishing di Poste IT mentre il folder che le contiene e' denominato bpol/cartepre/ sul sito http://posteitx.by.ru/
Se andiamo ad eseguire una ricerca con Google sul dominio by.ru troviamo anche un completo assortimento di pagine con layout del sito di Poste Italiane
poste-it-rebancoposteonl.by.ru/
poste.by.ru
bancoposteit.by.ru/
banco.by.ru
posteitsign.by.ru
postelogin.by.ru
bancposteitsecuritylogin.by.ru
questo e' uno screen di esempio ad una pagina
e questi sono i contenuti del folder
Inoltre su uno di questi link e' anche presente un javascript offuscato con contenuti probabilmente malevoli
Sullo stesso dominio by.ru abbiamo anche presente un sito intesa.by.ru (potrebbe riferisi al sito di Bancaintesa) che pero' al momento sembra non contenere layout di pagine. phishing
In pratica, come avevo gia rilevato un po di tempo fa, il dominio by.ru ospita parecchie pagine che sono una copia del sito di Poste it ma probabilmente contiene anche layout di altri siti da utilizzare in phishing e che al momento forse non sono attivi ma che comunque sembrano essere disponibili ad essere utilizzati
Inoltre sempre su by.ru sono comunque presenti decine di siti dai dubbi contenuti tra cui sicuramente malware.
In queste ultime settimane il numero di mails di phishing ai danni di Poste Italiane che circola in rete ha subito una impennata, riportandoci in una situazione simile a qualche tempo fa quando il sito italiano era bersagliato in continuazione da questo pericoloso spam.
Resta da vedere se si continuera' con questi numeri anche perche' pare strano che il phishing in questione riesca ancora a garantire grossi guadagni a chi lo pratica, visto che ormai e' abbastanza diffusa in rete la conoscenza di questo tipo di truffa online.
Edgar
Sembra che ci sia una improvviso aumento dell'invio di questo tipo di mails viste anche alcune segnalazioni lette su altri blog che parlano di false mail di Poste It ma che linkano a domini diversi da questo e comunque ci sono alcuni particolari in questa mail che meritano qualche approfondimento.
Circa dieci giorni fa' postavo un commento sul blog exploit ad un articolo riguardante una mail di phishing relativa a Poste It e precisamente:
..........A proposito di phishing, Poste.It, date una occhiata, con tutte le precauzioni del caso, a questo link russo. Non capisco bene di cosa si tratti, se una raccolta di layout di pagine o archivio files in attesa di utilizzo ... oppure... ???
http://poste-it-rebancoposteonl.by.ru/
e anche qui per bancaintesa
http://bancaintesa.by.ru/
ma penso ce ne siano anche altri .......
Come si vede, si trattava di una serie di pagine che avevo trovato, tutte su host con dominio by.ru che contenevano i layout dei siti di bancaintesa e poste it
La mia ipotesi che si trattasse di layout in attesa di utilizzo sembrerebbe ora confermata da questa mail di phishing Poste IT
La mail, questa volta, informa di una vincita di ben 550 euro, ed il testo e' scritto in un italiano accettabile. Come al solito per incassare il bonus bisogna loggarsi sul sito Poste It con la propria password e fornendo i numeri di conto.
Nel messaggio sono presenti due link che puntano alla pagina http://posteitx.by.ru/bpol/cartepre/login-privati.html che come si vede e' hostata su by.ru
Una volta cliccato sul link inizia la solita sequenza di login seguita dalla richiesta dei codici personali e che presumibilmente procede come visto altre volte per questo tipo di phishing
Se visualizziamo il folder http://posteitx.by.ru/bpol/cartepre/ presente sul server
possiamo vedere che esiste tutta la serie delle pagine del sito di phishing di Poste IT mentre il folder che le contiene e' denominato bpol/cartepre/ sul sito http://posteitx.by.ru/
Se andiamo ad eseguire una ricerca con Google sul dominio by.ru troviamo anche un completo assortimento di pagine con layout del sito di Poste Italiane
poste-it-rebancoposteonl.by.ru/
poste.by.ru
bancoposteit.by.ru/
banco.by.ru
posteitsign.by.ru
postelogin.by.ru
bancposteitsecuritylogin.by.ru
questo e' uno screen di esempio ad una pagina
e questi sono i contenuti del folder
Inoltre su uno di questi link e' anche presente un javascript offuscato con contenuti probabilmente malevoli
Sullo stesso dominio by.ru abbiamo anche presente un sito intesa.by.ru (potrebbe riferisi al sito di Bancaintesa) che pero' al momento sembra non contenere layout di pagine. phishing
In pratica, come avevo gia rilevato un po di tempo fa, il dominio by.ru ospita parecchie pagine che sono una copia del sito di Poste it ma probabilmente contiene anche layout di altri siti da utilizzare in phishing e che al momento forse non sono attivi ma che comunque sembrano essere disponibili ad essere utilizzati
Inoltre sempre su by.ru sono comunque presenti decine di siti dai dubbi contenuti tra cui sicuramente malware.
In queste ultime settimane il numero di mails di phishing ai danni di Poste Italiane che circola in rete ha subito una impennata, riportandoci in una situazione simile a qualche tempo fa quando il sito italiano era bersagliato in continuazione da questo pericoloso spam.
Resta da vedere se si continuera' con questi numeri anche perche' pare strano che il phishing in questione riesca ancora a garantire grossi guadagni a chi lo pratica, visto che ormai e' abbastanza diffusa in rete la conoscenza di questo tipo di truffa online.
Edgar
Nessun commento:
Posta un commento