Ricevute a breve intervallo di tempo due identiche mails di phishing ai danni della Banca Popolare di Milano.
Il testo appare scritto in un italiano abbastanza approssimativo mentre al contrario tutto il sistema di phishing sembra strutturato con molta cura.
Gia' dal codice source della mail si nota come le immagini gif o jpg allegate al messaggio siano ospitate su diversi siti
Aprendo nel browser il link presente in mail abbiamo una sorpresa
Il codice della pagina, molto semplice, rivela infatti la presenza di un script java offuscato che deoffuscato
punta ad una seconda pagina, sul medesimo server, con contenuto completamente offuscato
che e' in realta' la home del sito di phishing
Una analisi del contenuto dimostra che tutte le immagini gif o jpg presenti sono hostate sul medesimo sito spagnolo compromesso che ospitava gia' le immagini presenti in mail,
Ecco un whois
Ed ecco i files contenuti
con data recente
Analizzando invece l'url del sito di phishing si nota che e' stato utilizzato un servizio free di hosting
locato in Repubblica Ceca
Una volta effettuato il login sul falso sito BPM viene presentata una seconda pagina, ancora con con contenuto source offuscato da script java, e che presenta la maschera di input dei codici di sicurezza.
Da questa pagina, senza ulteriori controlli dell'input sul form, basta confermare per venire rediretti al reale sito della Banca Popolare di Milano
Come ulteriore curiosita', una ricerca in rete, trova il falso sito di phishing della banca anche a poche ore dalla sua creazione, cosa che non avviene frequentemente,
e che da' una ulteriore parvenza di ufficialita' al phishing ai danni di BPM
Interessante notare che in questo caso, per eludere probabili controlli sul contenuto delle pagine, si e' utilizzata ampiamente la tecnica di offuscare il codice, cosa che non vediamo spesso nei siti phishing.
Una mail di phishing simile, sempre ai danni di BPM e sempre con la medesima caratteristica di aver le pagine costituite da codice offuscato era gia' stata ricevuta nel dicembre 2008
Edgar
Il testo appare scritto in un italiano abbastanza approssimativo mentre al contrario tutto il sistema di phishing sembra strutturato con molta cura.
Gia' dal codice source della mail si nota come le immagini gif o jpg allegate al messaggio siano ospitate su diversi siti
Aprendo nel browser il link presente in mail abbiamo una sorpresa
Il codice della pagina, molto semplice, rivela infatti la presenza di un script java offuscato che deoffuscato
punta ad una seconda pagina, sul medesimo server, con contenuto completamente offuscato
che e' in realta' la home del sito di phishing
Una analisi del contenuto dimostra che tutte le immagini gif o jpg presenti sono hostate sul medesimo sito spagnolo compromesso che ospitava gia' le immagini presenti in mail,
Ecco un whois
Ed ecco i files contenuti
con data recente
Analizzando invece l'url del sito di phishing si nota che e' stato utilizzato un servizio free di hosting
locato in Repubblica Ceca
Una volta effettuato il login sul falso sito BPM viene presentata una seconda pagina, ancora con con contenuto source offuscato da script java, e che presenta la maschera di input dei codici di sicurezza.
Da questa pagina, senza ulteriori controlli dell'input sul form, basta confermare per venire rediretti al reale sito della Banca Popolare di Milano
Come ulteriore curiosita', una ricerca in rete, trova il falso sito di phishing della banca anche a poche ore dalla sua creazione, cosa che non avviene frequentemente,
e che da' una ulteriore parvenza di ufficialita' al phishing ai danni di BPM
Interessante notare che in questo caso, per eludere probabili controlli sul contenuto delle pagine, si e' utilizzata ampiamente la tecnica di offuscare il codice, cosa che non vediamo spesso nei siti phishing.
Una mail di phishing simile, sempre ai danni di BPM e sempre con la medesima caratteristica di aver le pagine costituite da codice offuscato era gia' stata ricevuta nel dicembre 2008
Edgar
Nessun commento:
Posta un commento