Arrivata nuova mail di phishing ai danni di Poste It
Questo il source del messaggio
che sembra molto simile ad alcuni gia' ricevuti come il testo all'inizio del messaggio "...da fare...." e l'immagine del logo Poste che viene anche questa volta caricata da server italiano.
Inoltre si usa sempre un link intermedio tramite il file red.htm (su sito .ru) che forse questa volta ha rivelato uno dei suoi possibili utilizzi.
Questo perche' dal sito .ru che si vede nel source , ad una prima analisi sono stato reindirizzato sui sito www.isoleverginiusa.it, hostato su server italiano di cui vedete il whois
Il sito di phishing si presentava OFFLINE e la home del sito Isoleverginiusa presenta tuttora testo "Sito web in manutenzione".
Dopo qualche minuto, ripetendo una seconda volta il check del link presente sulla mail di pishing, con sorpresa il falso sito Poste It ha iniziato a funzionare ed esaminando l'url questa risultava diversa dalla precedente.
Ora ,con l'ausilio di red.htm che evidentemente e' stato modificato, il server del sito di phishing Poste It ha whois in USA.
Da tutto questo si potrebbe dedurre che lo scopo di avere un passaggio attraverso il file red.htm e' anche quello di poter commutare tra piu' server che hostano il sito di phishing senza dover cambiare le mails che rimangono quindi sempre attive.
Infatti basta cambiare il link nel codice di red.htm per reindirizzare sul sito di phishing al momento ONLINE ed evitare cosi che lo stop di un server magari perche' scoperto compromesso, blocchi tutta l'operazione. Inoltre si eludono meglio eventuali controlli sull'indirizzo di phishing.
Edgar
Questo il source del messaggio
che sembra molto simile ad alcuni gia' ricevuti come il testo all'inizio del messaggio "...da fare...." e l'immagine del logo Poste che viene anche questa volta caricata da server italiano.
Inoltre si usa sempre un link intermedio tramite il file red.htm (su sito .ru) che forse questa volta ha rivelato uno dei suoi possibili utilizzi.
Questo perche' dal sito .ru che si vede nel source , ad una prima analisi sono stato reindirizzato sui sito www.isoleverginiusa.it, hostato su server italiano di cui vedete il whois
Il sito di phishing si presentava OFFLINE e la home del sito Isoleverginiusa presenta tuttora testo "Sito web in manutenzione".
Dopo qualche minuto, ripetendo una seconda volta il check del link presente sulla mail di pishing, con sorpresa il falso sito Poste It ha iniziato a funzionare ed esaminando l'url questa risultava diversa dalla precedente.
Ora ,con l'ausilio di red.htm che evidentemente e' stato modificato, il server del sito di phishing Poste It ha whois in USA.
Da tutto questo si potrebbe dedurre che lo scopo di avere un passaggio attraverso il file red.htm e' anche quello di poter commutare tra piu' server che hostano il sito di phishing senza dover cambiare le mails che rimangono quindi sempre attive.
Infatti basta cambiare il link nel codice di red.htm per reindirizzare sul sito di phishing al momento ONLINE ed evitare cosi che lo stop di un server magari perche' scoperto compromesso, blocchi tutta l'operazione. Inoltre si eludono meglio eventuali controlli sull'indirizzo di phishing.
Per confermare questo, sarebbe interessante verificare se http://selner.ru//img/upl/pp/red.htm
continuera' a reindirizzare in futuro su server USA o magari commutera' ad altro server quando ci fossero problemi.
continuera' a reindirizzare in futuro su server USA o magari commutera' ad altro server quando ci fossero problemi.
Edgar
2 commenti:
prova a lanciare il link red.htm e a stoppare immediatamente, Firefox segnala la contraffazione mentre questo non avviene con il sito finale a cui si arriva con la redirezione.
http://www.capital-strategy.be
Si, perche il sito 'base' dove e' hostato red.htm ormai e' conosciuto. Io per vedere i siti intermedi di solito uso wget o il mio tools wgetgui dato che wget, non segue il redirect e ti mostra la prima pagina caricata.
Comunque con questo sistema chi ha creato il sito di phishing puo saltare da uno all'altro senza modificare la mail iniziale e quindi cercare di fregare piu' gente possibile dato che utilizza sempre nuovi server per hostare il sito poste it che al momento non sono riconosciuti come pericolosi
Posta un commento