Ricevuta ancora una mail di phishing ai danni della Cassa di Risparmio di Ferrara
Il link in mail sfrutta sempre il medesimo sito di redirect canadese visto nel precedente post ed anche il sito finale di phishing risulta essere hostato sempre su server Yahoo ma su diverso indirizzo web.
Questo un dettaglio del pannelo di controllo InnovaStudio presente sul sito canadese che permette l'upload dei files di redirect (ne vedete con differenti nomi anche se attualmente viene utilizzato il file iace.html)
Questo il source del codice che redirige su
Consultando il file di log presente sul dominio di phishing utilizzato oggi, e comparandolo con i precedenti logs relativi ai phishing Carife (ma non solo), vediamo come appaia costantemente un indirizzo IP
che potrebbe anche essere riconducibile ad uno dei phisher che gestiscono l' invio delle false email.
Questo un whois dell'IP in questione
che dimostrerebbe, ancora una volta, una provenienza EstEuropea nella gestione del phishing.
Ricordo che esistono comunque diversi modi abbastanza semplici, per nascondere il reale indirizzo IP di provenienza, ad esempio utilizzando server proxy, e che quindi per accertare senza ombra di dubbio l'IP del phisher bisognerebbe attuare attivita' investigative ben piu' approfonidite e complesse che l'uso di un semplice whois.
Edgar
Il link in mail sfrutta sempre il medesimo sito di redirect canadese visto nel precedente post ed anche il sito finale di phishing risulta essere hostato sempre su server Yahoo ma su diverso indirizzo web.
Questo un dettaglio del pannelo di controllo InnovaStudio presente sul sito canadese che permette l'upload dei files di redirect (ne vedete con differenti nomi anche se attualmente viene utilizzato il file iace.html)
Questo il source del codice che redirige su
Consultando il file di log presente sul dominio di phishing utilizzato oggi, e comparandolo con i precedenti logs relativi ai phishing Carife (ma non solo), vediamo come appaia costantemente un indirizzo IP
che potrebbe anche essere riconducibile ad uno dei phisher che gestiscono l' invio delle false email.Questo un whois dell'IP in questione
che dimostrerebbe, ancora una volta, una provenienza EstEuropea nella gestione del phishing.
Ricordo che esistono comunque diversi modi abbastanza semplici, per nascondere il reale indirizzo IP di provenienza, ad esempio utilizzando server proxy, e che quindi per accertare senza ombra di dubbio l'IP del phisher bisognerebbe attuare attivita' investigative ben piu' approfonidite e complesse che l'uso di un semplice whois.
Edgar
Nessun commento:
Posta un commento