venerdì 21 maggio 2010

Phishing CartaSI Questa volta 3 in 1

Questa segnalazione di Filoutage propone un attuale ed interessante phishing ai danni di CartaSI che evidenzia come la notifica dei dati acquisiti attraverso i falsi login (perche' questa volta sono addirittura 3 per la medesima mail e sito di phishing) proceda in tre fasi successive, cosa che non succede frequentemente.

Vediamo alcuni dettagli:

Il phishing e' ospitato su IP appartenente a range assegnato ad universita' malese (Istituto di Tecnologia)

Questa la struttura del folder che ospita, come vediamo, oltre che al phishing

anche il KIT utilizzato per costruire il sito fasullo di CartaSi

Una analisi dei contenuti evidenzia la consueta presenza dei codici php che eseguono l'invio dei dati personali acquisiti con il phishing.

Questa la sequenza del phishing che vale la pena di vedere in dettaglio in quanto, contrariamente a quanto succede di solito, vengono acquisiti codici personali, password ecc per ben 3 volte


Si inizia con la prima pagina CartaSI che popone un login costituito solo da username e password

e che utilizza questo codice php per inviare attraverso un indirizzo gmail i dati al phisher
Notate come venga anche inviato l'IP di provenienza.

Si passa poi a questa seconda schermata che propone una serie piu' dettagliata di codici di accesso

con la relativa parte di codice che provvede all'invio dei dati acquisiti al phisher.

Una volta acquisiti i dati, viene proposta una ulteriore pagina di login che chiede il codice del servizio Verified By Visa

e questo e' il source che si occupa di inviare il dato acquisito.

In questo caso pare evidente che l'IP acquisito possa anche essere utilizzato per mettere in relazione la password digitata con gli altri dati sensibili catturati precedentemente negli altri login.

Una volta confermato l'invio dell'ultima password si viene, come si vede sul source, rediretti al reale sito CartaSI.

Edgar

Nessun commento: