Ricevo da 'Filoutage' (visitatore del blog che si interessa di phishing) , un indirizzo web che punta a sito di phishing ai danni di Poste IT.
Ecco la pagina di login proposta dal sito di phishing
hostato su sito turco probabilmente compromesso.
Vediamo nei dettagli la struttura di questo nuovo sito di phishing:
Ecco il folder ONline che contiene sia il sito ai danni di PosteIT che un file compresso tgz con il 'KIT' di distribuzione del phishing e che, dal nome, sembrerebbe indicare una nuova versione
Il contenuto del file TGZ mostra, a conferma di questo, date recenti ed alcuni files TXT che ritroveremo in seguito anche sul sito ONline di phishing
Questa e' invece la struttura del sito Online
e della quale possiamo osservare alcuni dettagli
Come si vede risaltano subito, ad una analisi dei contenuti, alcuni files TXT, dai nomi che vediamo in questo report
e che in dettaglio contengono sia gli indirizzi IP di chi accede al sito
che i nominativi inseriti nella pagina del falso login.
Una geo-localizzazione degli IP presenti nel file mostra, come c'era da aspettarsi, la prevalenza di IP italiani
mentre una analisi degli utenti che compaiono nella lista del login
indica che forse alcuni di questi potrebbero essere caduti nel tranello della mal di phishing in quanto alcuni nominativi inseriti sembrano reali e non nomi di fantasia, come succede spesso in questi casi, quando chi riceve la mail, e' consapevole del tentativo di phishing.
Edgar
Ecco la pagina di login proposta dal sito di phishing
hostato su sito turco probabilmente compromesso.
Vediamo nei dettagli la struttura di questo nuovo sito di phishing:Ecco il folder ONline che contiene sia il sito ai danni di PosteIT che un file compresso tgz con il 'KIT' di distribuzione del phishing e che, dal nome, sembrerebbe indicare una nuova versione
Il contenuto del file TGZ mostra, a conferma di questo, date recenti ed alcuni files TXT che ritroveremo in seguito anche sul sito ONline di phishing
Questa e' invece la struttura del sito Online
e della quale possiamo osservare alcuni dettagli
Come si vede risaltano subito, ad una analisi dei contenuti, alcuni files TXT, dai nomi che vediamo in questo report
e che in dettaglio contengono sia gli indirizzi IP di chi accede al sito
che i nominativi inseriti nella pagina del falso login.Una geo-localizzazione degli IP presenti nel file mostra, come c'era da aspettarsi, la prevalenza di IP italiani
mentre una analisi degli utenti che compaiono nella lista del login
indica che forse alcuni di questi potrebbero essere caduti nel tranello della mal di phishing in quanto alcuni nominativi inseriti sembrano reali e non nomi di fantasia, come succede spesso in questi casi, quando chi riceve la mail, e' consapevole del tentativo di phishing.Edgar
Nessun commento:
Posta un commento