E ' da circa 2 settimane che il phishing ai danni di banche italiane e di PosteIT ha subito un notevole incremento.
Quasi tutti i giorni scrivo sul blog di mails di phishing ricevute ai danni in particolare di Intesa San Paolo, CartaSI e , ma questo forse e' piu' nella norma, PosteIT.
Ecco alcune mail ricevute da poco, e che coprono tutte le tipologie di phishing viste in questi giorni con parecchie conferme sui metodi adottati da chi gestisce il phishing ed anche i servers utilizzati.
Due delle mails riguardano phishing ai danni di Intesa San Paolo e presentano la medesima pagina fasulla di login alla verifica del conto
La prima mail
con link diretto su sito romeno compromesso (dovrebbe trattarsi di sito scritto in Joomla (ancora una vulnerablita' Joomla sfruttata ??? )
e riferito ad azienda (traduzione Google) che crea e gestisce siti web)
e che presenta ancora una volta il probabile utilizzo di Httrack,
adoperato per l'acquisizione del codice del reale sito Banca Intesa San Paolo da utilizzare poi per la pagina di phishing
La seconda mail e' piu' interessante
in quanto, ancora una volta, dimostra il coinvolgimento di questo IP italiano
come hosting della pagina di phishing
Gia' altre volte coinvolto, in questi ultimi giorni , sia per il caso del typosquatting ai danni di Banca Generali che per una mail di phishing ai danni di CartaSI.
Tra l'altro sembra che i siti di typosquatting ai danni di Banca Generali siano ancora attivi sul server IT, e linkino sempre al sito di phishing dimostrando una notevolissima 'longevita'' per questo genere di pagine. (di solito dopo qualche ora le pagine di redirect risultano messe OFFLine)
La terza mail presenta invece una serie di conferme al riguardo della stretta relazione tra siti con problemi di hacking(es l'inserimento pagine nascoste con vari proclami ) e phishing.
Questa la mail fasulla di PosteIt, che propone il ritorno del noto “bonus'
ed ecco il primo redirect
su sito israeliano
che al suo interno presenta anche
questa pagina di hacking che non lascia dubbi sulla compromissione del sito
Ma c'e' di piu':
infatti seguendo il redirect arriviamo alla pagina di phishing PosteIT,
su sito USA compromesso,
pagina che presenta data non recente ad indicare (come la mail) forse un uso di KIT di phishing parecchio datato, ma scopriamo anche che il sito che ospita la falsa pagina PosteIT presenta sia questa pagina,
di evidente hacking.
Ad un livello piu' alto nella struttura del sito USA compromesso notiamo invece un file denominato red.htm
Se ne esaminiamo il codice
scopriamo un ulteriore redirect a nuovo sito di phishing ai danni di CartaSI
ospitata su questo sito compromesso con whois USA.
Edgar
Quasi tutti i giorni scrivo sul blog di mails di phishing ricevute ai danni in particolare di Intesa San Paolo, CartaSI e , ma questo forse e' piu' nella norma, PosteIT.
Ecco alcune mail ricevute da poco, e che coprono tutte le tipologie di phishing viste in questi giorni con parecchie conferme sui metodi adottati da chi gestisce il phishing ed anche i servers utilizzati.
Due delle mails riguardano phishing ai danni di Intesa San Paolo e presentano la medesima pagina fasulla di login alla verifica del conto
La prima mail
con link diretto su sito romeno compromesso (dovrebbe trattarsi di sito scritto in Joomla (ancora una vulnerablita' Joomla sfruttata ??? )
e riferito ad azienda (traduzione Google) che crea e gestisce siti web)
e che presenta ancora una volta il probabile utilizzo di Httrack,
adoperato per l'acquisizione del codice del reale sito Banca Intesa San Paolo da utilizzare poi per la pagina di phishing
La seconda mail e' piu' interessante
in quanto, ancora una volta, dimostra il coinvolgimento di questo IP italiano
come hosting della pagina di phishing
Gia' altre volte coinvolto, in questi ultimi giorni , sia per il caso del typosquatting ai danni di Banca Generali che per una mail di phishing ai danni di CartaSI.
Tra l'altro sembra che i siti di typosquatting ai danni di Banca Generali siano ancora attivi sul server IT, e linkino sempre al sito di phishing dimostrando una notevolissima 'longevita'' per questo genere di pagine. (di solito dopo qualche ora le pagine di redirect risultano messe OFFLine)
La terza mail presenta invece una serie di conferme al riguardo della stretta relazione tra siti con problemi di hacking(es l'inserimento pagine nascoste con vari proclami ) e phishing.
Questa la mail fasulla di PosteIt, che propone il ritorno del noto “bonus'
ed ecco il primo redirect
su sito israeliano
che al suo interno presenta anche
questa pagina di hacking che non lascia dubbi sulla compromissione del sito
Ma c'e' di piu':
infatti seguendo il redirect arriviamo alla pagina di phishing PosteIT,
su sito USA compromesso,
pagina che presenta data non recente ad indicare (come la mail) forse un uso di KIT di phishing parecchio datato, ma scopriamo anche che il sito che ospita la falsa pagina PosteIT presenta sia questa pagina,
di evidente hacking.
Ad un livello piu' alto nella struttura del sito USA compromesso notiamo invece un file denominato red.htm
Se ne esaminiamo il codice
scopriamo un ulteriore redirect a nuovo sito di phishing ai danni di CartaSI
ospitata su questo sito compromesso con whois USA.
Edgar
Nessun commento:
Posta un commento