3 mails ai danni di BCC ricevute nell'arco di 24 ore, rappresentano, in questi periodi di calma nella ricezione di messaggi di phishing, sicuramente un fatto interessante.
Per di piu' tutte le 3 mails ricevute usano un allegato, dalla struttura piu' o meno complessa, per proporre il form di login BCC.Vediamo alcun dettagli:
Questa la mail
che come si nota,ha un allegato in formato HTML , che una volta caricato nel browser mostra il consueto form di login:
Il form utilizza un codice php per gestire l'acquisizione dei dati personali digitati, e per redirigere sul reale sito della banca
Anche questa volta, come gia' successo in passato, viene utilizzato un sito compromesso, probabilmente attraverso l'utilizzo di vulnerabilita' ZeroBoard
che permettono l'inclusione di shells di diverso genere,
utilizzate poi per gestire il phishing.Il codice php incluso nel sito, dopo aver inviato i dati raccolti ad un indirizzo @gmail gia' visto in passato, provvede a redirigere sul reale sito BCC
La seconda mail ricevuta e' questa
del tutto simile per contenuti allegati, alla precedente, tranne che per la presenza di un ulteriore campo di input relativo al codice della provincia
In questo caso, il codice nel form, provvede a redirigere su sito sviluppato in Joomla e residente su server tedesco, dove e' incluso il codice accesso.php che a sua volta punta al reale sito della banca
la terza mail, sempre ai danni di BCC
risulta proporre un allegato sicuramente piu' complesso, rispetto ai semplici form visti prima.
Questa volta viene usato un formato .MHT (maggiori dettagli su .mht qui) che propone un clone del reale sito Relaxbanking di BCC.Interessante notare come la struttura della pagina proposta dall'allegato sia costituita da due frame che sono presenti anche nell'originale sito BCC
Il codice del form connette a sito USA
che contiene anche copia, solo per alcuni contenuti, del sito reale BCC.Particolare il fatto che il dominio appartenga a
, azienda che dovrebbe occuparsi anche di sicurezza dati in rete, ma che trova il proprio sito compromesso dall'inclusione di un intero clone di phishing.Le fasi di login attraverso il sito fasullo BCC comprendono un primo messaggio di ERRORE Password,
seguito da login accettati per qualunque password di fantasia digitata e le relative richieste di dati personali,
E probabile che il messaggio di errore sia simulato per meglio ingannare chi cadesse nel phishing visto che la struttura del sito clone comprende proprio una sequenza di login costituita da codici php dai nomi login...login2...login3
con login3 che propone il redirect finale al sito reale BCC
L'ulteriore conferma della sequenza cronologica con cui i vari codici di login fasullo vengono usati, l'abbiamo analizzando un trace della connessione al sito clone
dove ritroviamo la corretta sequenza di nomi (login...login2 login3 ...)In pratica quindi, un tentativo di far passare la connessione fasulla come reale, simulando anche un errore di digitazione della password
Per quanto si riferisce agli Ip presenti nell'header mail, come curiosita',
si puo' notare la presenza di un IP italiano
che tra l'altro risulta gia' visibile in passato su header di mail di phishing BCC
Edgar
Nessun commento:
Posta un commento