Vediamo alcuni casi odierni che presentano non solo phishing ai danni di utenti italiani ma anche uso di siti IT compromessi per ospitare i siti clone.
La particolarita' e' che si tratta di siti con whois appartenente al medesimo range IT
e che presentano medesima struttura del sito clone con la sola differenza della mail di invio dei dati acquisiti (sempre stesso dominio francese ma diverso nominativo).Ecco un sito di ristorante IT che presenta questa struttura nella parte relativa al sito clone PayPal
Si puo' notare un kit di phishing con data recente che analizzato mostra il consueto codice php aggiornato
che in dettaglio, dopo aver acquisito i numerosi dati richiesti attraverso alcuni form, li invia tramite mail con dominio FR
Da notare come i nomi delle variabili dei campi di input siano in lingua francese, cosa che si conferma anche per alcune parti di testo delle pagine di phishing non tradotte
ed anche per i numerosi messaggi a fronte della verifica dei dati immessi nel falso form
A conferma di questo anche il fatto che dopo aver acquisito i dati il sito clone redirige su reale sito Paypal in lingua francese.
Altro sito IT, sempre compromesso, ospita l'identico phishing Paypal di cui vediamo la struttura simile alla precedente.
Da notare come in questo kit siano presenti due mails di invio dei dati raccolti, di cui una su stesso dominio FR ma diverso nominativo.
Edgar
Nessun commento:
Posta un commento