Pare che ci troviamo di fronte ad un massiccio invio di mails come non avveniva piu da tempo.
Si tratta di due mails che arriverebbero dalla stessa 'organizzazione in quanto il link a cui puntano e che hosta il sito phishing e' il medesimo.
Si tratta di un server che appartiene alla Canadian International Development Agency, un ente governativo canadese che si occupa adi un progetto di assistenza allo sviluppo della pubblica amministrazione della Georgia (Est Europeo)
Le due mail hanno contenuti uguali e sono scritte in pessimo italiano, al limite del comico, ' ...... il funzionamento della scheda della scatola ...... "
ma il fatto di averne ricevute due rende interessante l'analisi dell'headers delle due mails
Infatti i mittenti, sono comunque diversi, e da quello che si capisce dagli indirizzi ip una delle 2 maisl sembrerebbe essere collegata a questo sito
Received: from courtanderson.com (207.212.136.64) by mail-mx-3.tiscali.it mentre l'altra da un sito di college USA
cioe' Received: from dreadstar.dickinson.edu (192.102.232.13) by mail-mx-4.tiscali.itPotrebbe essere che si tratti anche in questo caso di server o pc che malgrado loro sono parte di una botnet che invia mails di phishing, sempre che gli indirizzi siano attendibili.
Riguardo al sito di phishing hostato sul server canadese questa volta non contiene in evidenza liste di password ma solo la struttura del sito CARTASI
La spiegazione di questa improvvisa impennata nel numero di siti phishing ai danni di Cartasi' non e' facile da dare in quanto, vedendo anche come procede il sito che rende pubblica la lista dei codici di login, non sembrerebbe esserci una grande quantita' di dati reali disponibili , per chi ha inviato queste mails.
Sembra quasi che in rete ci sia stata un offerta di soluzioni di phishing, magari anche con affitto di botnet, ' chiavi in mano' a bassi costi e disponibili per i malintenzionati che vogliono sperimentare questo tipo di truffa online e che in molti ci stiano provando.
Edgar
Nessun commento:
Posta un commento