Questa volta il sito di phishing e' raggiungibile attraverso un redirect su sito compromesso canadese
come si nota dal relativo whois
Questo il log del redirect
che mostra la presenza di un file denominato iace.html
che punta al sito di phishing hostato su Yahoo su nuovo dominio creato di recente.
( e sempre con Melbourne come registrar gia' visto molto in passato)
Ancora una volta l'uso di redirect tramite sito compromesso e' la base per questo phishing che possiamo analizzare piu' in dettaglio attraverso l'uso di pagine di statistica raggiungibili, attraverso una opportuna ricerca sul sito compromesso, e che sono disponibili online.
Ecco la prima videata relativa al mese di giungo degli accessi al sito
Come si puo' notare la provenienza Italiana dei visitatori e' la piu' alta se comparata con altre provenienze Si tratta chiaramente di viste dall'Italia involontarie visto che si giunge sul sito canadese tramite link in mail di phishing.
La conferma dell'impennata degli accessi al sito di redirect l'abbiamo anche in questa tabella che mette a confronto le visite mensili
Molto interessante si rivela il log delle pagine di ingresso ed uscita dal sito , che dimostra la presenza di differenti codici di redirect es. bug.html fog.html ecc....
Si tratta di nomi di file gia' visti molte volte in passato.
Una ulteriore conferma della provenienza italiana di chi, suo malgrado, e portato su questo sito aprendo il link in mail di phishing, la troviamo poi sul log dei referer dove notiamo un assortimento di indirizzi web di pagine di gestione di posta elettronica appartenenti a providers italiani
Sempre sul sito compromesso possiamo notare la presenza di una interfaccia di amministrazione del sito relativamente ai contenuti che e' raggiungibile senza nessun login e che appare essere quella presente su siti gestiti con Innovastudio
(tra l'altro anche altri phishing CARIFE visti in passato presentavano siti sviluppati con Innovastudio e compromessi per ospitare i codici di redirect al phishing))
Per quanto si riferisce al sito di phishing ne vediamo la struttura in queste due schermate
dove abbiamo date abbastanza recenti per i files presenti.
Una volta effettuato il login di phishing e dopo la videata che acquisisce i codici di accesso si viene rediretti come succede quasi sempre sul reale sito della banca colpita.
In questo caso pero', una volta tanto, la reale pagina visualizzata propone un avviso dove siamo avvertiti del possibile phishing in cui siamo caduti.( non ho verificato se si tratti di una analisi del referer di provenienza ma potrebbe anche trattarsi semplicemente una pagina che essendo stata individuata come quella a cui puntano i phishing Carife in uscita, presenta aggiunto l'avviso).
La lacuna che invece rimane, relativamente a Carife, e di cui scriveva anche l'amico denis sul suo blog http://www.denisfrati.it/?p=2197 , e' che l'accesso al reale login della banca e' sempre su normale pagina html senza l'uso di SSL che viene utilizzato esclusivamente al momento del login come e' scritto anche nelle istruzioni presenti “Non compare il lucchetto di protezione della pagina in quanto SOLO il form di immissioni dati e' protetto, e non tutta la pagina. …....”
Edgar
Altro post phishing Carife http://edetools.blogspot.com/2010/05/phishing-cassa-risparmio-di-ferrara-6-5.html
Nessun commento:
Posta un commento