Sembra che al momento, almeno sulle mie mailbox di riferimento per il phishing, CARIFE e Mediolanum siano attualmente le banche piu' colpite.
Ecco la nuova mai ricevuta
Ecco la nuova mai ricevuta
che questa volta passa per un messaggio di avviso proprio su quello che e' invece il suo scopo finale, e cioe' far cadere chi la riceve nella trappola di un falso sito CARIFE.
Piu' interessante il lato tecnico di questo phishing che, differentemente dagli ultimi visti ai danni di CARIFE usa un diverso sito di redirect hostato su
Piu' interessante il lato tecnico di questo phishing che, differentemente dagli ultimi visti ai danni di CARIFE usa un diverso sito di redirect hostato su
Si tratta di sito compromesso, che a riprova dell'attacco subito mostra come contenuti nel subfolder che a sua volta ospita il sito di phishing , questa pagina
che non lascia dubbi sull'attacco subito.
Da notare che, anche se con sito di redirect diverso dall'ormai noto sito canadese. Abbiamo sempre il medesimo file di redirect (fol.html) che punta sempre a serve USA come nei precedenti casi di phishing CARIFE
Inoltre i contenuti del file di redirect vengono modificati molto spesso, visto che a distanza di un decina di ore si e' passati da
a
pur rimanendo sempre lo stesso nome di file fol.html
Il sito clone di CARIFE mostra inoltre medesimi contenuti dei precedenti ed anche la prova dello stesso codice html scaricato dal sito originale della banca attraverso HTTRACK
I logs sul sito che ospita il phishing confermano la provenienza in buona parte italiana dei visitatori del sito di phishing come si vede da un parziale report filtrato per IP italiani
Edgar
Nessun commento:
Posta un commento