Questa la mail
che presenta un link diretto al sito di phishing che e' stato 'installato' su sito compromesso USA e piu' precisamente in un subfolder che e' in relazione con il Guestbook del sito stesso
Come vediamo dallo screenshot della struttura, i creatori hanno 'installato' sia un sito di phishing ai danni di PosteIT che uno ai danni di CartaSi.
Inoltre come si vede, sono presenti i relativi files zip
con il contenuto utile all'installazione dei rispettivi siti di phishing.
E' interessante notare ad esempio il contenuto del file dati compresso riferito a PosteIT
Possiamo vedere che si tratta di files datati, 2007 tranne uno, che e' poi quello utilizzato per referenziare l''indirizzo mail a cui inviare il contenuto dei dati acquisiti dal login
Come si vede e' presente una mail che potrebbe anche essere quella realmente utilizzata per trasmettere attualmente a chi ha oraganizzato il phishing i dati acquisiti in maniera fraudolenta
La data del file sender.php infatti risale solamente ad ieri.
Per il resto sia il sito PosteIt fasullo che quello CartaSi sono attivi e perfettamente funzionanti.
Anche se la mail ricevuta riguarda solo phishing PosteIt e' altamente probabile che siano in 'distribuzione' anche mails che puntano al sito di phishing CartaSi presente sul medesimo sito compromesso.
Edgar
Nessun commento:
Posta un commento