martedì 10 agosto 2010

Ancora un lungo redirect di phishing PosteIT (10 agosto)

Ecco un altro lungo redirect di attuale phishing ai danni di Poste Italiane.
Visto come e' strutturato e' molto probabile che la fonte sia la medesima di quello illustrato su questo recente post.

La lunga sequenza di re-indirizzamenti prima di giungere al phishing e' la seguente

dove si notano anche in questo caso sia l'utilizzo di siti di short url o free hosting ma anche un sito su server USA creato appositamente al supporto del phishing e registrato in data di ieri

Il primo redir che sfrutta il servizio di fly2.ws punta quindi al sito creato appositamente sia per supportare i codici che effettuano l'ulteriore reindirizzamento ma, in questo caso, anche il sito finale di phishing.
Dal contenuto di questo folder si vede che in effetti sono due i codici di redirect presenti


che nel dettaglio mostrano diverso indirizzo del servizio di short url tinyurl

a cui corrisponde differente sito creato, come la volta scorsa, utilizzando il servizio di free hosting Mediadots.


Nel precedente post avevamo visto come un iframe all'interno della pagina creata su Mediadots contenesse il link a pagina di phishing su server USA.

Anche questa volta e' presente un iframe ed il sito linkato e' il medesimo visto sopra per hostare i codici di redirect.

Un caso particolare e' la presenza nella pagina Mediadots di un link alla 'favicon' (icona personalizzata PosteIT che appare nella barra degli indirizzi del browser), link che vediamo in dettaglio

in quanto oltre alla favicon PosteIT abbiamo anche una icona CartaSi (ricordo che una url creata a nome di cartaSi era gia' presente la volta scorsa su Mediadots) e in altro folder anche una favicon di banca Uk presa spesso di mira dal phishing e precisamente HSBC

Verificando su Mediadots la presenza di un dominio HSBC , sara' un caso, ma appare che qualcuno a gia' registrato proprio una url come

Edgar

Nessun commento: