Ecco la mail ricevuta
che propone, ricalcando il tema del bonus in denaro visto sulle mails ai danni di PosteIT, un premio che ci verra' accreditato accedendo al nostro account di CartaSi.
Esaminiamo piu' in dettaglio il sorgente della mail
Abbiamo sia il link all'immagine costituente il messaggio di CartaSi (in giallo) che il link al sito di phishing vero e proprio.(in rosso)
La caratteristica di ospitare l'immagine che compone il messaggio mail su differente server, come in questo caso, e' cosa molto praticata da chi crea siti di phishing.
Ed ecco come si presenta il contenuto del sito compromesso che ospita appunto l'immagine che simula il testo del messaggio in mail.
Si notano subito, ordinando il contenuto per data, diversi recentissimi files (data di ieri)
Abbiamo oltre al file jpg che ritroviamo come testo della mail,
anche
che potrebbero essere eventuali alternative al phishing CartaSi gia usate in passato.
A completare il contenuto del folder c'e' pero' un'altra interessante novita'; si tratta di 6 files compressi che al loro interno presentano un file di testo di una decina di mega, ognuno dei quali contiene circa 10.000 indirizzi mails di utenti internet italiani di hotmail.
Ecco un dettaglio di uno dei files
i cui indirizzi mail sono appunto una delle probabili sorgenti dell'invio di mails di phishing.
Inoltre alcuni files php presenti sono in realta codici della shell r57
per la gestione dei contenuti inseriti nel sito compromesso.
Il sito di phishing vero e proprio, che viene raggiunto tramite un redirect passando per questo sito
si trova invece su sito compromesso con whois
Ed ecco un dettaglio del contenuto
con la consueta pagina di falso login a CartaSi.
Edgar
1 commento:
Ciao, leggo sempre i tuoi post, ti faccio i complimenti :)
Posta un commento