Visto come e' strutturato e' molto probabile che la fonte sia la medesima di quello illustrato su questo recente post.
La lunga sequenza di re-indirizzamenti prima di giungere al phishing e' la seguente
dove si notano anche in questo caso sia l'utilizzo di siti di short url o free hosting ma anche un sito su server USA creato appositamente al supporto del phishing e registrato in data di ieri
Il primo redir che sfrutta il servizio di fly2.ws punta quindi al sito creato appositamente sia per supportare i codici che effettuano l'ulteriore reindirizzamento ma, in questo caso, anche il sito finale di phishing.
Dal contenuto di questo folder si vede che in effetti sono due i codici di redirect presenti
che nel dettaglio mostrano diverso indirizzo del servizio di short url tinyurl
a cui corrisponde differente sito creato, come la volta scorsa, utilizzando il servizio di free hosting Mediadots.
Nel precedente post avevamo visto come un iframe all'interno della pagina creata su Mediadots contenesse il link a pagina di phishing su server USA.
Anche questa volta e' presente un iframe ed il sito linkato e' il medesimo visto sopra per hostare i codici di redirect.
Un caso particolare e' la presenza nella pagina Mediadots di un link alla 'favicon' (icona personalizzata PosteIT che appare nella barra degli indirizzi del browser), link che vediamo in dettaglio
in quanto oltre alla favicon PosteIT abbiamo anche una icona CartaSi (ricordo che una url creata a nome di cartaSi era gia' presente la volta scorsa su Mediadots) e in altro folder anche una favicon di banca Uk presa spesso di mira dal phishing e precisamente HSBC
Verificando su Mediadots la presenza di un dominio HSBC , sara' un caso, ma appare che qualcuno a gia' registrato proprio una url come
Edgar
La lunga sequenza di re-indirizzamenti prima di giungere al phishing e' la seguente
dove si notano anche in questo caso sia l'utilizzo di siti di short url o free hosting ma anche un sito su server USA creato appositamente al supporto del phishing e registrato in data di ieri
Il primo redir che sfrutta il servizio di fly2.ws punta quindi al sito creato appositamente sia per supportare i codici che effettuano l'ulteriore reindirizzamento ma, in questo caso, anche il sito finale di phishing.Dal contenuto di questo folder si vede che in effetti sono due i codici di redirect presenti
che nel dettaglio mostrano diverso indirizzo del servizio di short url tinyurl
a cui corrisponde differente sito creato, come la volta scorsa, utilizzando il servizio di free hosting Mediadots.
Nel precedente post avevamo visto come un iframe all'interno della pagina creata su Mediadots contenesse il link a pagina di phishing su server USA.
Anche questa volta e' presente un iframe ed il sito linkato e' il medesimo visto sopra per hostare i codici di redirect.
Un caso particolare e' la presenza nella pagina Mediadots di un link alla 'favicon' (icona personalizzata PosteIT che appare nella barra degli indirizzi del browser), link che vediamo in dettaglio
in quanto oltre alla favicon PosteIT abbiamo anche una icona CartaSi (ricordo che una url creata a nome di cartaSi era gia' presente la volta scorsa su Mediadots) e in altro folder anche una favicon di banca Uk presa spesso di mira dal phishing e precisamente HSBC
Verificando su Mediadots la presenza di un dominio HSBC , sara' un caso, ma appare che qualcuno a gia' registrato proprio una url come
Edgar
Nessun commento:
Posta un commento