martedì 11 maggio 2010

Phishing Banca Mediolanum. Importanti differenze dai precedenti layout di phishing

Ricevo da Filoutage due segnalazioni di phishing ai danni di Banca Mediolanum
Mentre la prima, con whois del server che ospita il phishing su

e' in linea con le precedenti segnalazioni, per quanto si riferisce al layout della pagina di phishing (richiesta dei due codici segreti ) la seconda segnalazione presenta alcune particolarita' che potrebbero rendere il phishing maggiormente ingannevole

Ecco il login 'fasullo' di phishing con alcuni particolari interessanti:

1) questa volta il form di login ricalca fedelmente quello reale del sito Mediolanum con l'unica differenza di un campo aggiunto (secondo codice) e questa cosa potrebbe risultare piu' ingannevole per chi accede al sito abitualmente (in pratica non ci sono differenze con il reale form di login tranne che per il campo aggiunto, mentre negli altri phishing il layout del form di accesso era completamente diverso (assenza del tastierino numerico e aggiunta del campo codice 2)

Ecco uno screenshot che confronta il reale form di accesso Mediolanum (al centro) con il precedente form di phishing (a sinistra) e quello piu' recente esaminato ora (a destra)

2) la pagina di login, visto che il sito compromesso utilizza una connessione sicura, presenta questa volta il simbolo del lucchetto evidenziando la connessione come sicura, cosa che potrebbe ulteriormente ingannare chi cadesse nel phishing

3) l'url di phishing utilizzata, riporta il nome della banca , costruendo una url che tenta di apparire come legittima.

In pratica, quindi, una serie di 'dettagli' che dimostrano la cura posta nel tentare di creare una pagina di phishing molto simile all'originale di banca Mediolanum e che potrebbe risultare maggiormente ingannevole per chi cadesse nel phishing.

Per quanto si riferisce al sito compromesso che ospita il phishing relativamente alla sua provenienza, abbiamo questo whois


e la seguente struttura della pagina fasulla con files recenti

come si nota anche dalla data del folder incluso

Una volta immessi i dati nel form di login, il phishing redirige la navigazione sul reale sito Mediolanum,

dove notiamo sia il simbolo del lucchetto (connessione sicura) (questa volta realmente sul sito della banca) ma anche che il browser invia come referer l'url del phishing, cosa che potrebbe forse essere utilizzata, come gia scritto in passato, per identificare la provenienza del visitatore da pagina di phishing , e allertarlo sul probabile furto dei dati di login.

Edgar

Nessun commento: