Ricevuta una nuova mail di phishing ai danni di PosteIT che presenta entrambi i links in mail (link a redirect e sito finale) con probabile uso della tecnica FastFlux per nascondere la reale provenienza del phishing.
Evidentemente si utilizza (anche solo in parte) una delle tante botnet presenti in rete, per creare un phishing difficile da mettere OFFline in quanto non esiste un riferimento preciso al server che ospita il sito di phishing.
Ecco la mail, tra l'altro scritta in buon italiano,
che presenta come primo link questo grumpix(dot)com che redirige su mzkta(dot)com anch'esso con l'utilizzo di IP variabili
Ecco il log della conenssione
mentre questi i report riferiti alla provenienza degli IP per grumpix(dot)com
e per mzkta(dot)com
Altre due mail ricevute, riguardano sempre PosteIT ma utilizzano il consueto sistema di siti compromessi per distribuire il sito di phishing.
Ecco una delle mail (l'altra ricevuta e' simile a questa)
ed ecco i whois dei siti che ospitano il phishing
Edgar
Nessun commento:
Posta un commento