martedì 29 giugno 2010

Phishing Banca Popolare di Sondrio (29 giugno)

Ricevuta mail di phishing ai danni di Banca Popolare di Sondrio

Cosa particolare e' che questa volta il contenuto del messaggio, scritto in buon italiano, fa leva proprio sul problema del phishing per indurre chi riceve la mail a finirne vittima.

Per quanto si riferisce ai dettagli dell'azione di phishing anche oggi si tratta di un utilizzo di redirect attraverso sito compromesso su dominio UK ma whois tedesco

che propone online la solita interfaccia di gestione dei contenuti di Innova Studio con evidenziato nello screenshot il codice di redirect fog.html (nome molto utilizzato anche in passato)

Come accade molto spesso l'utilizzo dell'asset manager di InnovaStudio ha probabilmente permesso di caricare sul sito sia codici di shells e gli stessi codici di redirect al sito finale di phishing.

Eecco gli stessi contenuti visualizzati con una delle tante shells disponibili.

Da notare la data del 28 giugno per il file fog.html che esegue il redirect

Inoltre molti dei folders creati da chi ha compromesso il sito contengono riferimenti in data recente ad azione di hacking, come si nota in questo dettaglio dei contenuti , visualizzato tramite altra shell disponibile

e dove troviamo anche pagine complete di hacking come questa

Essendo il 24 giugno la data relativa al file immagine incluso e' possibile che le due cose, cioe' azione di hacking e inclusione di file di redirect al phishing (in data 28 giugno) non siano collegate ma si tratti di azioni differenti, ma non e' neanche da escludere, come mi ricordava l'amico Denis, che ci sia una sorta di collaborazione (magari anche a pagamento) tra chi compromette i siti e chi li utilizza come supporto al phishing.

Il codice di redirect punta poi al sito di phishing Banca Popolare di Sondrio che e' ospitato su altro sito compromesso questa volta dalle mie parti, e cioe' in Thailandia.
Anche in questo caso si sarebbe utilizzata la presenza di asset manager per caricare il codice del sito di phishing.

Edgar

Nessun commento: