Ricevuta una mail di phishing ai danni della Cassa di Risparmio di Ferrara
Si tratta di mail il cui messaggio presenta sia testo (in italiano abbastanza corretto) ma anche un elemento grafico (immagine jpg)
Un esame del source della mail rivela alcuni interessanti particolari, che dimostrano come l'origine del layout della mail in questione, risalga ad alcuni mesi fa e probabilmente derivi da un phishing ai danni della Cassa di Risparmio di Parma
Possiamo infatti notare sia l'immagine jpg linkata dal sito della CR di Parma ma inoltre la presenza di un link a sito che, ricercando sul servizio di elenchi di phishing online phishtank.com dimostra essere stato utilizzato per
E' inoltre presente un link a pagina di “note legali” sempre sul sito Cariparma.
Il link in mail, se eseguito, punta a sito Usa compromesso probabilmente attraverso l'uso di assetmanager della piattaforma di sviluppo Innovastudio, presente sul sito e disponibile online
che potrebbe poi avrebbe permesso l'upload di shell comandi php che troviamo sempre sul sito
Il codice di redirect presente (tra l'altro modificato dal phisher gia' 2 volte durante l'analisi del sito)
provvede a reindirizzare la navigazione su sito di phishing CR Ferrara
ancora una volta hostato su servers Yahoo e con registrazione
Per ulteriori dettagli al riguardo ad azioni di phishing che, come questa, coinvolgono MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE come registrar del dominio utilizzato ed InnovaStudio come piattaforma utilizzata, rimando al blog http://www.denisfrati.it/ dove potrete trovare ampia documentazione al riguardo.
Ritorno invece un attimo su quanto evidenziato dall'amico Denis sempre su http://www.denisfrati.it/?p=2197 al riguardo di alcune perplessita' sulla gestione dell'accesso ai conti on-line per privati ed imprese, tramite il sito web della CR di Ferrara
A parte il buon numero di click necessari all'accesso partendo dalla homepage della banca (bisogna cliccare piu' volte su banner animati per arrivare alla pagina di login; si poteva forse mettere direttamente i campi di login sulla home come succede in quai tutti i casi) e' interessante notare come la pagina che propone il login appare come non avere una protezione sui dati digitati (il consueto lucchetto che indica una connessione sicura).
In effetti viene indicato , tra i vari avvisi presenti sulla pagina di login, che la connessione protetta ssl e' presente solo per il form di login (ospitato in frame), come vediamo in dettaglio, estrapolando lo stesso dal contesto della pagina
ma questa particolarita' potrebbe rendere piu' facile al phisher far apparire una pagina fasulla come un originale.
Infatti, sia sulla pagina di phishing che su quella legittima della banca non appariranno, con questa configurazione del sito CR di Ferrara, avvisi di sorta relativi alla connessione sicura (il simbolo del lucchetto) cosa che agevolera' sicuramente il phisher nel creare una copia fasulla del sito.
In altre parole, chi gestisce il phishing non dovra' preoccuparsi di simulare in qualche modo una connessione SSL, visto che anche la pagina della banca non la propone nel layout originale ma solo per il form di login.
Edgar
Si tratta di mail il cui messaggio presenta sia testo (in italiano abbastanza corretto) ma anche un elemento grafico (immagine jpg)
Un esame del source della mail rivela alcuni interessanti particolari, che dimostrano come l'origine del layout della mail in questione, risalga ad alcuni mesi fa e probabilmente derivi da un phishing ai danni della Cassa di Risparmio di Parma
Possiamo infatti notare sia l'immagine jpg linkata dal sito della CR di Parma ma inoltre la presenza di un link a sito che, ricercando sul servizio di elenchi di phishing online phishtank.com dimostra essere stato utilizzato per
E' inoltre presente un link a pagina di “note legali” sempre sul sito Cariparma.
Il link in mail, se eseguito, punta a sito Usa compromesso probabilmente attraverso l'uso di assetmanager della piattaforma di sviluppo Innovastudio, presente sul sito e disponibile online
che potrebbe poi avrebbe permesso l'upload di shell comandi php che troviamo sempre sul sito
Il codice di redirect presente (tra l'altro modificato dal phisher gia' 2 volte durante l'analisi del sito)
provvede a reindirizzare la navigazione su sito di phishing CR Ferrara
ancora una volta hostato su servers Yahoo e con registrazione
Per ulteriori dettagli al riguardo ad azioni di phishing che, come questa, coinvolgono MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE come registrar del dominio utilizzato ed InnovaStudio come piattaforma utilizzata, rimando al blog http://www.denisfrati.it/ dove potrete trovare ampia documentazione al riguardo.
Ritorno invece un attimo su quanto evidenziato dall'amico Denis sempre su http://www.denisfrati.it/?p=2197 al riguardo di alcune perplessita' sulla gestione dell'accesso ai conti on-line per privati ed imprese, tramite il sito web della CR di Ferrara
A parte il buon numero di click necessari all'accesso partendo dalla homepage della banca (bisogna cliccare piu' volte su banner animati per arrivare alla pagina di login; si poteva forse mettere direttamente i campi di login sulla home come succede in quai tutti i casi) e' interessante notare come la pagina che propone il login appare come non avere una protezione sui dati digitati (il consueto lucchetto che indica una connessione sicura).
In effetti viene indicato , tra i vari avvisi presenti sulla pagina di login, che la connessione protetta ssl e' presente solo per il form di login (ospitato in frame), come vediamo in dettaglio, estrapolando lo stesso dal contesto della pagina
ma questa particolarita' potrebbe rendere piu' facile al phisher far apparire una pagina fasulla come un originale.
Infatti, sia sulla pagina di phishing che su quella legittima della banca non appariranno, con questa configurazione del sito CR di Ferrara, avvisi di sorta relativi alla connessione sicura (il simbolo del lucchetto) cosa che agevolera' sicuramente il phisher nel creare una copia fasulla del sito.
In altre parole, chi gestisce il phishing non dovra' preoccuparsi di simulare in qualche modo una connessione SSL, visto che anche la pagina della banca non la propone nel layout originale ma solo per il form di login.
Edgar
Nessun commento:
Posta un commento