Ricevuta ancora una mail di phishing ai danni di Banca Monte Parma
Si tratta di un messaggio molto breve che presenta un link a sito di redirect con whois
e che utilizzando un file manager probabilmente mal configurato e senza quindi l'uso di accesso allo stesso attraverso login, permette a chiunque di utilizzare la stessa piattaforma (Easy content file manager) per uploadare sul sito un semplice codice di redirect.
Questo un particolare del file di redirect incluso come si vede dal file manager
e che e' costituito da questo semplice codice
che punta a sito appositamente creato su server USA dove risiede il clone della Banca Monte Parma.
Interessante notare che una analisi degli headers della mail di phishing ricevuta
evidenzia la presenza di un Ip segnalato da Spamhaus come provenire da, interpreto dal testo in inglese
'….. probabile macchina che ospita trojan, utilizzato dai criminali come proxy anonimizzante per iniettare spam di phishing in servers SMTP …..... Sulla stessa macchina e' in funzione anche un server SMTP, ma lo spam e unicamente gestito attraverso il software trojan e non passa per il server SMTP presente.......'
Da notare che Spamhaus mostra anche nello stesso report un messaggio mail di phishing relativo sempre ad altra Banca Italiana a cui faceva riferimento l'Ip analizzato e presente nella black list, e che, tra l'altro, e' un altro istituto di credito parmense
Edgar
Si tratta di un messaggio molto breve che presenta un link a sito di redirect con whois
e che utilizzando un file manager probabilmente mal configurato e senza quindi l'uso di accesso allo stesso attraverso login, permette a chiunque di utilizzare la stessa piattaforma (Easy content file manager) per uploadare sul sito un semplice codice di redirect.
Questo un particolare del file di redirect incluso come si vede dal file manager
e che e' costituito da questo semplice codice
che punta a sito appositamente creato su server USA dove risiede il clone della Banca Monte Parma.
Interessante notare che una analisi degli headers della mail di phishing ricevuta
evidenzia la presenza di un Ip segnalato da Spamhaus come provenire da, interpreto dal testo in inglese'….. probabile macchina che ospita trojan, utilizzato dai criminali come proxy anonimizzante per iniettare spam di phishing in servers SMTP …..... Sulla stessa macchina e' in funzione anche un server SMTP, ma lo spam e unicamente gestito attraverso il software trojan e non passa per il server SMTP presente.......'
Da notare che Spamhaus mostra anche nello stesso report un messaggio mail di phishing relativo sempre ad altra Banca Italiana a cui faceva riferimento l'Ip analizzato e presente nella black list, e che, tra l'altro, e' un altro istituto di credito parmense
Edgar
Nessun commento:
Posta un commento