martedì 16 novembre 2010

Aggiornamento phishing (15 – 16 novembre)

Attualmente attive in rete, tra le varie presenti, queste 2 azioni di phishing di cui vediamo qualche dettaglio:
Phishing Banca del Piemonte

Si tratta di un phishing che torna ad utilizzare siti compromessi sviluppati in Zeroboard come gia' accaduto spesso in passato.

Visto che ZeroBoard e' sviluppata in Korea e sono molti i siti koreani che la utilizzano capita quasi sempre che ad ospitare il phishing siano proprio siti koreani come nel caso odierno.

Qui vediamo presente anche la pagina di login all'amministrazione di Zeroboard

Analizzando il phishing si scopre anche un clone BCC come si nota dalla presenza di questi KITS di phishing disponibili sia per Banca del Piemonte che BCC

Questa la pagina clone di login a Banca del Piemonte


e questa la pagina clone BCC

In entrambi i casi si utilizza il consueto sistema di invio delle credenziali di accesso eventualmente catturate , ad indirizzi e-mail creati allo scopo:

con mail su yahoo.it per Banca Piemonte

e nel kit di phishing mail sempre su dominio IT anche se fastwebmail.it

mentre questa la mail nel phishing BCC


Phishing Banca Valsabbina

Si tratta del phishing che ormai da tempo colpisce in preferenza istituti bancari a diffusione essenzialmente regionale e che ha visto passare gli attacchi da Banca Monte Parma poi a CR Bolzano e ancora a CR Volterra per ripassare poi a Cariparma ecc......
In tutti questi casi recenti, che sono l'evoluzione di precedenti phishing molto ben documentati dall'amico Denis Frati ( gruppo definito come R-Team), si e' passati all'uso di Easy Content file manager come mezzo di gestione dei files di redirects.
In pratica i phishers sfruttano siti che utilizzano il file manager Easy Content che e' raggiungibile senza autenticazione, da remoto e che permette di uploadare il codice di redirect al clone di phishing di solito ospitato su servizio di hosting USA.

Ecco attualmente due codici di redirect a clone Banca Valsabbina

che in dettaglio mostrano

e

Il redirect punta a questa pagina clone

e successive pagine di login e richiesta codici PIN.

Come sempre dopo le pagine fasulle di phishing si viene rediretti sul reale sito Valsabbina.

Edgar

Nessun commento: