Ancora phishing ai danni di PosteIT, come mi segnala il Blog Alta Gradazione.
Si tratta di un sito di phishing online ormai da molte ore
che presenta, rispetto ai normali phishing PosteIT un elevato numero di pagine, come vediamo dalla sua struttura
Per quanto si riferisce alle pagine di login sembrano comunque datate (probabile vecchio kit di phishing)
Merita invece una analisi piu' approfondita la provenienza del sito di phishing
Mentre il dominio si presenta come KR, (Korea) in realta' un whois ci dice invece che l'indirizzo IP corrisponde a
Robotex conferma l'IP come appartenente a repubblica Ceca ed inoltre evidenzia un diverso nome di dominio KR coinvolto.
Se proviamo ad esaminare l'IP visto ora scopriamo anche che questo, nel mese di dicembre , corrispondeva ad altro sito di phishing PosteIT come si vede da questo screenshot
dove si nota l'utilizzo di dominio .IT nella url del sito di phishing.
Queste invece due mails quasi identiche nei contenuti tranne che per la Banca colpita (CartaSi e Banca Unicredit)
In entrambe i casi, viene utilizzata la presenza di un attachment costituito da codice che proporra' la pagina di login.
Come ci si potrebbe comunque aspettare, visto il contenuto delle mails, la parte del sito di phishing che 'recupera' i dati immessi nel falso login, risiede sul medesimo server con IP
La registrazione dei due siti e' attuale:
UniCredit
CartaSI
Edgar
Si tratta di un sito di phishing online ormai da molte ore
che presenta, rispetto ai normali phishing PosteIT un elevato numero di pagine, come vediamo dalla sua struttura
Per quanto si riferisce alle pagine di login sembrano comunque datate (probabile vecchio kit di phishing)
Merita invece una analisi piu' approfondita la provenienza del sito di phishingMentre il dominio si presenta come KR, (Korea) in realta' un whois ci dice invece che l'indirizzo IP corrisponde a
Robotex conferma l'IP come appartenente a repubblica Ceca ed inoltre evidenzia un diverso nome di dominio KR coinvolto.
Se proviamo ad esaminare l'IP visto ora scopriamo anche che questo, nel mese di dicembre , corrispondeva ad altro sito di phishing PosteIT come si vede da questo screenshot
dove si nota l'utilizzo di dominio .IT nella url del sito di phishing.Queste invece due mails quasi identiche nei contenuti tranne che per la Banca colpita (CartaSi e Banca Unicredit)
In entrambe i casi, viene utilizzata la presenza di un attachment costituito da codice che proporra' la pagina di login.
Come ci si potrebbe comunque aspettare, visto il contenuto delle mails, la parte del sito di phishing che 'recupera' i dati immessi nel falso login, risiede sul medesimo server con IP
La registrazione dei due siti e' attuale:UniCredit
CartaSI
Edgar
Nessun commento:
Posta un commento