sabato 11 settembre 2010

Phishing CARIGE (11 settembre)

Ricevuta mail di phishing banche Gruppo CARIGE


che punta, come vedremo, a sito clone CARIGE con layout gia' ampiamente visto in primavera 2010

Il sito compromesso che ospita il phishing presenta su whois USA.

Questa una parziale visione della struttura del sito

Da notare che, come in precedenza il sito clone fa ampio uso di frame per cui una volta effettuato il login si viene rediretti sul reale sito CARIGE ma solo relativamente al frame centrale della pagina.

Possiamo infatti notare come Firefox veda sempre l'originario IP del sito di phishing mentre l'opzione di login sulla parte centrale della pagina punti adesso a reale login delle banche del gruppo CARIGE.

Questa la struttura della pagina dove si notano bene i tre frame a sito compromesso e solo uno al reale Carige.

Sempre come a maggio, anche ora un login ad uno dei siti presenti nella pagina iniziale, se si e' gia' acceduto una volta al falso sito, redirige su reale sito di banca IT ma stranamente non di Carige ma di Intesa San Paolo.

Edgar

1 commento:

Giuseppe Gottardi ha detto...

Salve,
anzitutto complimenti per l'ottimo blog che seguo spesso. Il motivo per cui questi siti redirigono al sito di Intesa Sanpaolo è spiegato dal file "ipcheck.php" incluso nel kit che in alcuni casi è possibile analizzare:

---
error_reporting(0);
/*----- Verificare IP -----*/
$fisier = fopen($numefisier, 'a');
fclose($fisier);

$numefisier = 'ipcheck.txt' ;
$resetare_ip = 500000 ;
$accesari = 1 ;

$contor = 0 ;

$ip = $_SERVER["REMOTE_ADDR"];

$ip2 = $ip."";

$linii = file($numefisier);
foreach ($linii as $linie_num => $linie) {
if ( $linie == $ip2 ) {
$contor++ ;
};
if ( $contor == $accesari ) {
header("Location: http://www.intesasanpaolo.com") ;
exit;
}
if ( $linie_num == $resetare_ip ) {
$resetFile = fopen($numefisier, 'w');
fclose($resetFile);
}
}

$fisier = fopen($numefisier, 'a');
fwrite($fisier, $ip2);
fclose($fisier);
---

Come si può notare gli accessi al sito sono tracciati nel file "ipcheck.txt" e nel caso in cui uno stesso IP si ripresenti per più di una volta viene effettuata la redirezione. Il motivo per cui abbiano messo Intesa al posto di Carige rimane comunque un mistero :-)

Saluti