venerdì 28 marzo 2008

Aggiornamento phishing Poste.IT Conferma utilizzo indirizzo server phishing 'variabile'

Riesaminando il link presente nella recentissima mail di phishing Poste IT c'e' la conferma che si sta utilizzando la periodica variazione del link del server che hosta il sito di phishing.
Si tratta indubbiamente di una novita' rispetto a precedenti messaggi di phishing che di solito utilizzavano un unico link a server e che rimanevano ONLINE a volte solo poche ore prima di venire messi OFFLINE.

La novita' e' che adesso seguendo il link presente nel messaggio della mail di phishing, http://selner.ru//img/upl/pp/red.htm il file red.htm reindirizza su un diverso sito con whois USA rispetto a questa mattina e precisamente http://www.capital-strategy.be//generator/files/sss/login.html.

Evidentemente si sta utilizzando la possibilita' di modificare periodicamente il codice del file red.htm per servirsi di piu' server, probabilmente compromessi, su cui viene caricato il sito di phishing.

Questa operazione rende molto piu' lunga la 'vita' della mail di phishing in quanto appena un server viene bonificato dal codice di phishing si procede attivando un link ad un'altro con la sola semplice modifica al codice red.htm.

Inoltre viene ridotta la probabilita' che venga segnalato il pericolo phishing poiche' ci troviamo di fronte ad una continua variazione del dominio che hosta il sito fasullo di Poste IT.

Aggiornamento 29/3 ore 16.30 (10.30 it)

Adesso cliccando sul link presente in mail si viene reindirizzati sulla homepage del sito che al momento era utilizzato per hostare il sito di phishing.

Probabilmente i gestori del sito hanno preso provvedimenti bloccando la pagina di phishing in quanto anche se red.htm continua a rediriger su /files/sss/login.html (login page del falso sito Poste IT) in realta il link non funziona piu' e si viene reindirizzati sulla home page di http://www.capital-strategy.be.

Vedremo se chi 'gestisce' il phishing ai danni di Poste.IT cambiera' nuovamente link in red.htm e relativo server.

Aggiornamento 29/3 ore 19.00 (13.00 it)

Come previsto adesso red.htm redirige su un altro server, sempre whois USA, che ora ospita il sito di phishing Poste IT ONLINE e precisamente:
http://www.myinternettutor.com/website-design/admin/assets/sss/login.html

Il subfolder usato e' sempre il solito /sss/login.html come nel precedente sito di phishing.

Continua, come si vede, il 'botta e risposta' tra chi linka il sito di phishing e chi lo mette offline.

Fino a che il link principale (whois .ru) presente in mail di phishing continuera' ad essere attivo ed hostare red.htm penso che assisteremo ancora ad altri cambi di indirizzo server.

Aggiornamento 30/3 ore 08.00 (03.00 IT (con ora legale in IT -5 ore al thai time ))

Il file red.htm hostato su http://selner.ru//img/upl/pp/red.htm e' OFFLINE.
A meno che non venga riattivato il link a red.htm il phishing derivante da questa mail si puo' considerare concluso.

Sara' interessante vedere se, in futuro, questa tecnica di utilizzare link variabili per gestire links a siti di phishing verra' nuovamente adottata.

Edgar

3 commenti:

Sbronzo di Riace ha detto...

adesso mi pare che venga visualizzata l'homepage del sito e non quello delle poste

infatti il file red.htm reindirizza alla falsa pagina di login poste.it ma la pagina di login reindirizza alla homepage

http://www.capital-strategy.be

evidentemente c'è stata un ulteriore modifica

Sbronzo di Riace ha detto...

sono le 16 e 30 in thailandia? :-)

Edgar Bangkok ha detto...

6 ore in piu' rispetto all'Italia ma da domani con l'ora legale in Europa solo 5 ore di differenza visto che qui l'ora legale non esiste.
Qui in Thailandia praticamente tutto l'anno il sole sorge alle 6.30 e tramonta all 18.30 e quindi l'ora legale non viene usata (non avrebbe senso)