Riesaminando il link presente nella recentissima mail di phishing Poste IT c'e' la conferma che si sta utilizzando la periodica variazione del link del server che hosta il sito di phishing.
Si tratta indubbiamente di una novita' rispetto a precedenti messaggi di phishing che di solito utilizzavano un unico link a server e che rimanevano ONLINE a volte solo poche ore prima di venire messi OFFLINE.
Evidentemente si sta utilizzando la possibilita' di modificare periodicamente il codice del file red.htm per servirsi di piu' server, probabilmente compromessi, su cui viene caricato il sito di phishing.
Questa operazione rende molto piu' lunga la 'vita' della mail di phishing in quanto appena un server viene bonificato dal codice di phishing si procede attivando un link ad un'altro con la sola semplice modifica al codice red.htm.
Inoltre viene ridotta la probabilita' che venga segnalato il pericolo phishing poiche' ci troviamo di fronte ad una continua variazione del dominio che hosta il sito fasullo di Poste IT.
Aggiornamento 29/3 ore 16.30 (10.30 it)
Adesso cliccando sul link presente in mail si viene reindirizzati sulla homepage del sito che al momento era utilizzato per hostare il sito di phishing.
Probabilmente i gestori del sito hanno preso provvedimenti bloccando la pagina di phishing in quanto anche se red.htm continua a rediriger su /files/sss/login.html (login page del falso sito Poste IT) in realta il link non funziona piu' e si viene reindirizzati sulla home page di http://www.capital-strategy.be.
Vedremo se chi 'gestisce' il phishing ai danni di Poste.IT cambiera' nuovamente link in red.htm e relativo server.
Aggiornamento 29/3 ore 19.00 (13.00 it)
Come previsto adesso red.htm redirige su un altro server, sempre whois USA, che ora ospita il sito di phishing Poste IT ONLINE e precisamente:
http://www.myinternettutor.com/website-design/admin/assets/sss/login.html
Il subfolder usato e' sempre il solito /sss/login.html come nel precedente sito di phishing.
Continua, come si vede, il 'botta e risposta' tra chi linka il sito di phishing e chi lo mette offline.
Fino a che il link principale (whois .ru) presente in mail di phishing continuera' ad essere attivo ed hostare red.htm penso che assisteremo ancora ad altri cambi di indirizzo server.
Aggiornamento 30/3 ore 08.00 (03.00 IT (con ora legale in IT -5 ore al thai time ))
Edgar
Si tratta indubbiamente di una novita' rispetto a precedenti messaggi di phishing che di solito utilizzavano un unico link a server e che rimanevano ONLINE a volte solo poche ore prima di venire messi OFFLINE.
La novita' e' che adesso seguendo il link presente nel messaggio della mail di phishing, http://selner.ru//img/upl/pp/red.htm il file red.htm reindirizza su un diverso sito con whois USA rispetto a questa mattina e precisamente http://www.capital-strategy.be//generator/files/sss/login.html.
Evidentemente si sta utilizzando la possibilita' di modificare periodicamente il codice del file red.htm per servirsi di piu' server, probabilmente compromessi, su cui viene caricato il sito di phishing.
Questa operazione rende molto piu' lunga la 'vita' della mail di phishing in quanto appena un server viene bonificato dal codice di phishing si procede attivando un link ad un'altro con la sola semplice modifica al codice red.htm.
Inoltre viene ridotta la probabilita' che venga segnalato il pericolo phishing poiche' ci troviamo di fronte ad una continua variazione del dominio che hosta il sito fasullo di Poste IT.
Aggiornamento 29/3 ore 16.30 (10.30 it)
Adesso cliccando sul link presente in mail si viene reindirizzati sulla homepage del sito che al momento era utilizzato per hostare il sito di phishing.
Probabilmente i gestori del sito hanno preso provvedimenti bloccando la pagina di phishing in quanto anche se red.htm continua a rediriger su /files/sss/login.html (login page del falso sito Poste IT) in realta il link non funziona piu' e si viene reindirizzati sulla home page di http://www.capital-strategy.be.
Vedremo se chi 'gestisce' il phishing ai danni di Poste.IT cambiera' nuovamente link in red.htm e relativo server.
Aggiornamento 29/3 ore 19.00 (13.00 it)
Come previsto adesso red.htm redirige su un altro server, sempre whois USA, che ora ospita il sito di phishing Poste IT ONLINE e precisamente:
http://www.myinternettutor.com/website-design/admin/assets/sss/login.html
Il subfolder usato e' sempre il solito /sss/login.html come nel precedente sito di phishing.
Continua, come si vede, il 'botta e risposta' tra chi linka il sito di phishing e chi lo mette offline.
Fino a che il link principale (whois .ru) presente in mail di phishing continuera' ad essere attivo ed hostare red.htm penso che assisteremo ancora ad altri cambi di indirizzo server.
Aggiornamento 30/3 ore 08.00 (03.00 IT (con ora legale in IT -5 ore al thai time ))
Il file red.htm hostato su http://selner.ru//img/upl/pp/red.htm e' OFFLINE.
A meno che non venga riattivato il link a red.htm il phishing derivante da questa mail si puo' considerare concluso.
Sara' interessante vedere se, in futuro, questa tecnica di utilizzare link variabili per gestire links a siti di phishing verra' nuovamente adottata.
A meno che non venga riattivato il link a red.htm il phishing derivante da questa mail si puo' considerare concluso.
Sara' interessante vedere se, in futuro, questa tecnica di utilizzare link variabili per gestire links a siti di phishing verra' nuovamente adottata.
Edgar
3 commenti:
adesso mi pare che venga visualizzata l'homepage del sito e non quello delle poste
infatti il file red.htm reindirizza alla falsa pagina di login poste.it ma la pagina di login reindirizza alla homepage
http://www.capital-strategy.be
evidentemente c'è stata un ulteriore modifica
sono le 16 e 30 in thailandia? :-)
6 ore in piu' rispetto all'Italia ma da domani con l'ora legale in Europa solo 5 ore di differenza visto che qui l'ora legale non esiste.
Qui in Thailandia praticamente tutto l'anno il sole sorge alle 6.30 e tramonta all 18.30 e quindi l'ora legale non viene usata (non avrebbe senso)
Posta un commento