La nuova mail di phishing ai danni di poste it e' abbastanza semplice come contenuti; il layout non presenta nessun logo di Poste It ma solo un testo che ripropone il solito bonus.
L'unica particolarita' di rilievo per questa mail sta' nei contenuti dei server su cui viene ospitata o che sono utilizzati per linkare il sito fasullo di Poste It
Seguendo infatti il link presente nel messaggio di mail si viene dapprima indirizzati su un sito USA
di cui vediamo la homepage.
Questo sito presenta un folder i cui contenuti presentano evidenti segni di attacco da parte di hackers
Se si esamina il folder dove e' contenuto il link al sito tedesco di phishing Poste IT, ottenuto tramite un file denominato red.htm, di cui vediamo il contenuto
si nota anche la presenza di altri interessanti files.
Uno di questi riproduce esattamente il login a Yahoo Mail
ed il secondo forse ancora piu interessante riproduce una conferma di avvenuta ricezione dati dal sito della Unicredit Banca di Roma e presenta data recente e quindi probabilmente collegato ad attuale phishing.
Probabilmente questo server Usa, suo malgrado, e' stato od e' utilizzato per ospitare differenti pagine di supporto a vari tentativi di phishing
Proseguendo nel link a Poste It tramite il file red.htm si viene reindirizzati ad un server tedesco dove viene hostato il sito di phishing.
Anche in questo caso, tra i vari files, oltre al falso sito Poste IT e' presente anche un file che riproduce il login a Yahoo Mail
Siamo, come si vede, di fronte all'ennesimo utilizzo di siti compromessi che involontariamente, servono da host a siti e files utilizzati nei tentativi di phishing.
Aggiornamento 17/03
Altra mail di phishing ai danni di Poste IT
Questa volta il layout e' piu' curato con la presenza del logo di Poste IT
Il testo ricalca la mail precedente ed anche il sistema usato per linkare al sito tramite un file denominato red.html.
Si viene infatti trasferiti dal sito hxxp://siggy.be/phpsite/red.html, whois che punta a server in Belgio, ad un altro sito belga, stesso IP del precedente, che contiene il sito di phishing.
Il sito siggy.be presenta questo messaggio all'interno del folder phpsite
Edgar
Nessun commento:
Posta un commento