Vediamo alcuni casi di phishing sia su segnalazione Filoutage ma anche proposti da mails ricevute ultimamente.
Per iniziare ecco ancora una volta alcuni siti ai danni della Banca Popolare di Vicenza (molto colpita in queste settimane) che dimostrano l'utilizzo di indirizzi web creati appositamente per ingannare meglio chi ricevesse la mail fasullla.
Il primo vicenzabancait.com
con registrant
mentre il secondo popolarevicenza.it sito a cui si accede con questa mail
e che presenta, tramite redirect da sito .KR (Corea) , questa homepage
Anche in questo caso l'indirizzo web e' creato apposta per ingannare chi ricevesse la mail di phishing e creato recentemente (24 agosto) con registrant
Entrambi i phishing presentano whois finale su server in UK
Vediamo invece questo coinvolgimento di hoster italiano
che ad esempio ospita su un sito apparentemente non attivo o comunque non ancora utilizzato e di cui vediamo la home
questo phishing ai danni di CartaSI
Sempre lo stesso hoster ospita anche, su differenti URL un phishing multiplo che vediamo in dettaglio:
Si tratta di sito 3 differenti azioni di phishing attuate con
1) un sito fasullo di Paypal in lingua francese
di cui possiamo anche visionare il completo KIT di phishing e di cui vediamo la struttura , creata scompattando file
Si nota in particolare un file, che contiene tutto il codice necessario per inviare a ben 4 mails differenti, le password ed altri dati catturati dal phishing.
2)un redirect su sito THAI sempre a phishing Paypal in lingua francese
con whois
3)un sito di phishing ai danni della banca inglese Leicester
Sempre par quanto si riferisce a PayPal ma questa volti in italiano abbiamo un sito
hostato su server USA
che anche questa volta mette a disposizione un KIT di phishing sotto forma di file zip che contiene questa struttura di folders
tra cui un subfolder con files di personalizzazione dei testi in diferenti lingue tra cui l'italiano
e che in particolare vede presente anche un file denominato Install.php che potrebbe essere il codice utile ad installare il phishing.
Una sua esecuzione mostra questa videata
mentre tutti i contenuti dei files php del KIT sono offuscati con l'uso di questo codice
Edgar
Per iniziare ecco ancora una volta alcuni siti ai danni della Banca Popolare di Vicenza (molto colpita in queste settimane) che dimostrano l'utilizzo di indirizzi web creati appositamente per ingannare meglio chi ricevesse la mail fasullla.
Il primo vicenzabancait.com
con registrant
mentre il secondo popolarevicenza.it sito a cui si accede con questa mail
e che presenta, tramite redirect da sito .KR (Corea) , questa homepage
Anche in questo caso l'indirizzo web e' creato apposta per ingannare chi ricevesse la mail di phishing e creato recentemente (24 agosto) con registrant
Entrambi i phishing presentano whois finale su server in UK
Vediamo invece questo coinvolgimento di hoster italiano
che ad esempio ospita su un sito apparentemente non attivo o comunque non ancora utilizzato e di cui vediamo la home
questo phishing ai danni di CartaSI
Sempre lo stesso hoster ospita anche, su differenti URL un phishing multiplo che vediamo in dettaglio:
Si tratta di sito 3 differenti azioni di phishing attuate con
1) un sito fasullo di Paypal in lingua francese
di cui possiamo anche visionare il completo KIT di phishing e di cui vediamo la struttura , creata scompattando file
Si nota in particolare un file, che contiene tutto il codice necessario per inviare a ben 4 mails differenti, le password ed altri dati catturati dal phishing.
2)un redirect su sito THAI sempre a phishing Paypal in lingua francese
con whois
3)un sito di phishing ai danni della banca inglese Leicester
Sempre par quanto si riferisce a PayPal ma questa volti in italiano abbiamo un sito
hostato su server USA
che anche questa volta mette a disposizione un KIT di phishing sotto forma di file zip che contiene questa struttura di folders
tra cui un subfolder con files di personalizzazione dei testi in diferenti lingue tra cui l'italiano
e che in particolare vede presente anche un file denominato Install.php che potrebbe essere il codice utile ad installare il phishing.
Una sua esecuzione mostra questa videata
mentre tutti i contenuti dei files php del KIT sono offuscati con l'uso di questo codice
Edgar
2 commenti:
stanno ricominciando i commenti spam sul blog il commento usa caratteri orientali presumo cinesi e c'è questo link
http://deai.redefrlation.net/
E' un sito giapponese, probabilmente si vogliono fare pubblicita' utilizzando i commenti di blogger.
Al momento non mi risulta che ci siano problemi di malware sul sito Japan, al massimo leggendo Site Advisor parlano di Spam collegato a questo sito giapponese, stessa cosa anche per Norton Safe Web e Wepawet , nessun problema.
Ecvidentemente c'e' solo lo SPAM di commenti .....
Saluti
Edgar
Posta un commento