domenica 7 dicembre 2008

Phishing BPM con doppio script offuscato

Ricevuta mail di phishing ai danni della Banca Popolare di Milano (che diventa Malano nella url del sito di phishing)


Come si nota, il testo del messaggio appare scritto in un italiano molto approssimativo, cosa che dovrebbe mettere sull'avviso chi ricevesse questa mail e fosse cliente BPM

Una volta cliccato su uno dei links proposti si apre questa pagina

che dopo il login presenta questa maschera di input di codici di sicurezza


da cui poi si viene reindirizzati sul sito originale della banca

Interessante notare che ci troviamo di fronte al medesimo IP della precedente mail di phishing ai danni di PosteIT

e che, come la volta scorsa, e' stato offuscato il codice html della pagina di phishing, utilizzando in piu' due passaggi di script offuscato, probabilmente per mascherare meglio il tentativo di phishing.

Infatti il link in mail punta a questo codice javascript offuscato

che deoffuscato punta a quest'altro che contiene il sorgente della homepage di phishing.


Sembrerebbe anche che anche altre pagine di phishing ai danni di banche italiane siano connesse al medesimo dominio.


Edgar

Nessun commento: