Raramente e' capitato di vedere in azioni di phishing una situazione come quella attuale con un istituto bancario che rimane nelle attenzioni di phishers in modo continuativo per cosi' tanto tempo.
E' infatti ormai da parecchi giorni che , almeno per quanto riguarda phishing che sfrutta alternativamente files managers come Innova Studio e Easy Content, banca C.R. Di Volterra continua ad essere il bersaglio preferito.
Nella giornata di ieri (pomeriggio (ora thai) del 29 dicembre) abbiamo avuto il ritorno dell'uso di Easy Content file manager
con codice di redir
con whois
e diverso dominio rispetto a quello dei giorni precedenti.
Questa mattina (30 dicembre) notiamo come i files di redirect siano diventati due
ma si sia anche tornati ad utilizzare un vecchio sito (sempre con whois turco ed Easy Content f.m.) gia' molto usato in passato.
I siti finali di phishing sono sempre hostati su servizio USA e il dominio viene spesso cambiato creandone di nuovi praticamente ogni giorno (quello nello screenshot e' attualmente in uso – notare data odierna)
cosi come in maniera piu' frequente, anche il percorso al sito clone della banca, viene modificato per evitare che il sito di phishing sia inserito in blacklist.
Ecco a dimostrazione di questo, un semplice report in data 28-29 dicembre con alcune delle 'varianti' del percorso al sito clone ma sempre su medesimo nome di dominio
Edgar
E' infatti ormai da parecchi giorni che , almeno per quanto riguarda phishing che sfrutta alternativamente files managers come Innova Studio e Easy Content, banca C.R. Di Volterra continua ad essere il bersaglio preferito.
Nella giornata di ieri (pomeriggio (ora thai) del 29 dicembre) abbiamo avuto il ritorno dell'uso di Easy Content file manager
con codice di redir
con whois
e diverso dominio rispetto a quello dei giorni precedenti.
Questa mattina (30 dicembre) notiamo come i files di redirect siano diventati due
ma si sia anche tornati ad utilizzare un vecchio sito (sempre con whois turco ed Easy Content f.m.) gia' molto usato in passato.
I siti finali di phishing sono sempre hostati su servizio USA e il dominio viene spesso cambiato creandone di nuovi praticamente ogni giorno (quello nello screenshot e' attualmente in uso – notare data odierna)
cosi come in maniera piu' frequente, anche il percorso al sito clone della banca, viene modificato per evitare che il sito di phishing sia inserito in blacklist.
Ecco a dimostrazione di questo, un semplice report in data 28-29 dicembre con alcune delle 'varianti' del percorso al sito clone ma sempre su medesimo nome di dominio
Edgar
1 commento:
da quanti giorni (o forse dovremmo dire settimane) è che lo stesso gruppo bastona con la stessa metodica lo stesso ente???
..i vantaggi di essere in outsourcing!!
Posta un commento