Come si puo' notare dallo screenshot, analizzando il codice della pagina, esiste una particolarita' che fa sorgere piu' di qualche dubbio sulla reale provenienza del sito di phishing.
Se infatti andiamo ad analizzare l'URL vediamo che mentre un whois ci dice che la pagina e' hostata su server nelle Filippine
esiste comunque un altro indirizzo che ospita il phishing, tra l'altro su IP italiano
e che corrisponde a questa homepage di sito 'in costruzione' ma creato forse solo per usarlo come supporto al phishing:
Occorre quindi approfondire la ricerca:
Esaminando meglio i contenuti del dominio .PL (Polonia, anche se hostato su server delle Filippine) che parrebbe hostare il sito di phishing in contrasto con il doppio indirizzo web rilevato di PosteIT ecco i risultati:
Si tratta di un sito polacco (su IP delle Filippine) che permette di creare alias per indirizzi web.
Viste le molte possibilita' che offre in fatto di reports e statistiche , questo sito, permette di visionare un vero e proprio archivio di indirizzi web di phishing ai danni sia di Poste IT ma anche di Paypal, Ebay ecc..... hostati sia su server esteri che su servers IT
Qui vediamo la home tradotta con l'ausilio di Google, relativamente ad alcuni dettagli
e dove notiamo subito l'elenco degli ultimi alias attivati (non mancano indirizzi web riferiti a PosteIt ma anche a Paypal (in versione sito italiana) Ebay ecc...) e che puntano a pagine di phishing tuttora online
Sono disponibili anche, ricerche per nome, utili per verificare la presenza e quantita' di links a phishing
Risalendo, In maniera abbastanza semplice, al reale indirizzo della pagina web che propone il phishing, abbiamo diverse sorprese al riguardo dell'hosting delle pagine.
Oltre al sito PosteIt visto prima abbiamo, ad esempio questo phishing in italiano ai danni di Paypal
con link reale su
e con sito che lo ospita ( in costruzione ) simile come per il precedente PosteIT e sempre su server IT.
Come si vede attraverso l'uso di un sito di gestione di alias ci sono diversi vantaggi per chi crea pagine e siti di phishing poiche' oltre che a mascherare il reale indirizzo del phishing l'alias puo gestire nomi di url che si adattano meglio al phishing stesso e con estrema facilita' e sicurezza per chi attua questo genere di truffa e furto di dati sensibili personali.
Edgar
Nessun commento:
Posta un commento