Questa volta l'ennesima mail di phishing di Cartasi' si e' rivelata ricca di sorprese dal punto di vista della sua analisi.
Non si capisce se quello che ho trovato sia dovuto ad una svista di chi crea questi siti di phishing o piu' probabilmente si tratti di "dilettanti allo sbaraglio" come diceva una nota trasmissione radio di un po di anni fa.
Date una occhiata al folder che contiene sul server il sito di phishing
Sorpresa... Chi ha creato il sito di phishing ha pensato bene di salvare password e numeri di carta in due banali file di testo .txt in chiaro e ben accessibili da chiunque.
A questo punto era necessario un test per vedere se veramente era cosi'
Questo e' il mio login al falso sito cartasi'
e questo e' un estratto del file eh1.txt che riporta la password che avevo inserito precedentemente
Questa e' la pagina che richiede il numero di carta
e questo il file eh.txt con i codici precedentemente inseriti che compaiono nel file.
I dati inseriti quindi corrispondo e sono aggiornati in tempo reale sui due files.
La cosa che piu' colpisce e' che chi a creato il sito non si preoccupa minimamente di occultare i file che contengono password e numeri di carta creando un ulteriore problema a chi cade nel tranello della mail dato che non solo i dati sono in possesso ora dei malintenzionati che gestiscono il phishing ma vengono praticamente resi pubblici.... in rete.
Nella lista delle password anche se un buon numero e' chiaramente fasullo ce ne sono alcune che potrebbero essere reali segno che alcuni potrebbero essere caduti nel tranello della mail di phishing.
E' interessante notare come il file si aggiorni velocemente e contenga un elevato numero di dati segno che di mail in rete ce ne sono un buon numero.
Il whois punta ad un server USA
Work in progress
Edgar
Non si capisce se quello che ho trovato sia dovuto ad una svista di chi crea questi siti di phishing o piu' probabilmente si tratti di "dilettanti allo sbaraglio" come diceva una nota trasmissione radio di un po di anni fa.
Date una occhiata al folder che contiene sul server il sito di phishing
Sorpresa... Chi ha creato il sito di phishing ha pensato bene di salvare password e numeri di carta in due banali file di testo .txt in chiaro e ben accessibili da chiunque.A questo punto era necessario un test per vedere se veramente era cosi'
Questo e' il mio login al falso sito cartasi'
e questo e' un estratto del file eh1.txt che riporta la password che avevo inserito precedentemente
Questa e' la pagina che richiede il numero di carta
e questo il file eh.txt con i codici precedentemente inseriti che compaiono nel file.
I dati inseriti quindi corrispondo e sono aggiornati in tempo reale sui due files.
La cosa che piu' colpisce e' che chi a creato il sito non si preoccupa minimamente di occultare i file che contengono password e numeri di carta creando un ulteriore problema a chi cade nel tranello della mail dato che non solo i dati sono in possesso ora dei malintenzionati che gestiscono il phishing ma vengono praticamente resi pubblici.... in rete.
Nella lista delle password anche se un buon numero e' chiaramente fasullo ce ne sono alcune che potrebbero essere reali segno che alcuni potrebbero essere caduti nel tranello della mail di phishing.
E' interessante notare come il file si aggiorni velocemente e contenga un elevato numero di dati segno che di mail in rete ce ne sono un buon numero.
Il whois punta ad un server USA
Work in progress
Edgar
7 commenti:
edgar ti conviene eliminare la pagina del whois perché si risale facilmente al sito con i codici bancari.
eliminata
c'è ancora nella cache di google ma nel sito mi pare scomparso l'elenco, c'è un file cartasi.zip datato 7 dicembre
I files sono ancora online e aggiornati in continuo, mentre file zip non ce ne sono , probabilmente stai guardando un altro link.
confermo, se guardi la cache o ti basi sull'ip non sei sulla pagina che contiene i files txt ma solo sull'index del server, e ricordo che prima di postare la schermata dell'ip avevo verificato che l'ip non mostrasse la pagina dei files txt
Poi gmg mi ha detto che si risaliva facilmente al sito e ho tolto il vhois.
io mi riferisco all'indirizzo
mail.noahs-ark eccetera eccetera
qui c'è un file zip con data 7 dicembre 4:36 102K
Altre directory io non ne vedo o non mi lascia accedere.
Certo dai dati del Whois si arriva alla index ed eventualmente al sito dedicato agli animali. Ma ai file contenenti i file txt che citi tu io non ci arrivo.
Si, con il whois si arriva solo a mail.noahs-ark eccetera eccetera i files txt sono su altro folder.
Posta un commento