lunedì 8 giugno 2009

Phishing ai danni di banche italiane e PosteIT. Molte conferme

E ' da circa 2 settimane che il phishing ai danni di banche italiane e di PosteIT ha subito un notevole incremento.

Quasi tutti i giorni scrivo sul blog di mails di phishing ricevute ai danni in particolare di Intesa San Paolo, CartaSI e , ma questo forse e' piu' nella norma, PosteIT.

Ecco alcune mail ricevute da poco, e che coprono tutte le tipologie di phishing viste in questi giorni con parecchie conferme sui metodi adottati da chi gestisce il phishing ed anche i servers utilizzati.

Due delle mails riguardano phishing ai danni di Intesa San Paolo e presentano la medesima pagina fasulla di login alla verifica del conto

La prima mail

con link diretto su sito romeno compromesso (dovrebbe trattarsi di sito scritto in Joomla (ancora una vulnerablita' Joomla sfruttata ??? )
e riferito ad azienda (traduzione Google) che crea e gestisce siti web)


e che presenta ancora una volta il probabile utilizzo di Httrack,

adoperato per l'acquisizione del codice del reale sito Banca Intesa San Paolo da utilizzare poi per la pagina di phishing

La seconda mail e' piu' interessante

in quanto, ancora una volta, dimostra il coinvolgimento di questo IP italiano


come hosting della pagina di phishing


Gia' altre volte coinvolto, in questi ultimi giorni , sia per il caso del typosquatting ai danni di Banca Generali che per una mail di phishing ai danni di CartaSI.

Tra l'altro sembra che i siti di typosquatting ai danni di Banca Generali siano ancora attivi sul server IT, e linkino sempre al sito di phishing dimostrando una notevolissima 'longevita'' per questo genere di pagine. (di solito dopo qualche ora le pagine di redirect risultano messe OFFLine)

La terza mail presenta invece una serie di conferme al riguardo della stretta relazione tra siti con problemi di hacking(es l'inserimento pagine nascoste con vari proclami ) e phishing.

Questa la mail fasulla di PosteIt, che propone il ritorno del noto “bonus'

ed ecco il primo redirect

su sito israeliano

che al suo interno presenta anche

questa pagina di hacking che non lascia dubbi sulla compromissione del sito

Ma c'e' di piu':

infatti seguendo il redirect arriviamo alla pagina di phishing PosteIT,

su sito USA compromesso,

pagina che presenta data non recente ad indicare (come la mail) forse un uso di KIT di phishing parecchio datato, ma scopriamo anche che il sito che ospita la falsa pagina PosteIT presenta sia questa pagina,

di evidente hacking.

Ad un livello piu' alto nella struttura del sito USA compromesso notiamo invece un file denominato red.htm

Se ne esaminiamo il codice

scopriamo un ulteriore redirect a nuovo sito di phishing ai danni di CartaSI

ospitata su questo sito compromesso con whois USA.
Edgar

Nessun commento: