Gli attacchi a Banco Desio vedono nelle ultime 24 ore un notevole impegno da parte dei phishers.
Di poche ore fa due analisi (link 1 e link 2) di phishing che vedevano una intensa attivita' di messa online di siti clone della banca.
Quello che risulta evidente in questo nuov caso e':
una cura maggiore rispetto al passato (probabile altro gruppo di phishers ?) del layout della pagina e della acquisizione dei dati da sottrarre con la verifica della presenza dei codici nel form di richiesta ( come il caso visto poche ore fa),
presenza di icone ingannevoli (favicon) per le pagine clone
ma anche differenti nomi ingannevoli di files usati (es. areaprivati.php rispetto all'usuale index.html)
Come si vede da questo screenshot il sito compromesso che ora ospita il fake login e' quello di un blog
con whois
che include questi 2 folders di phishing
da cui rileviamo sia azione ai danni di Banco Desio ma anche di Bank of America.
Ecco il relativo phishing B.of America (stessa cura nel layout al riguardo delle icone del logo B.of America)
Attualmente ( quando in Italia sono le 2 di notte del 25 gennaio – le 8 AM in Bangkok) i due phishing sono attivi.
C'e' da considerare che trovandomi in Bangkok c'e' il vantaggio di analizzare per cosi dire in 'anteprima' (avendo 6 ore di differenza tra qui e l'Italia) questo nuovo percorso di phishing che probabilmente e' ancora poco o niente visitato da eventuali utenti italiani che avessero ricevuto la mail di phishing con il nuovo link.
Questo il subfolder del phishing
mentre come si vede, la pagina presenta il layout piu' curato rispetto es. ad un precedente phishing (nel precedente abbiamo diverso nome del file html ed anche nessuna icona (favicon) personalizzata con logo B.di Desio.
Ecco infatti sull'attuale phisihing , come gia' detto, anche l'icona a fianco dell'url che riproduce il logo della banca.
Questa invece la struttura totale del sito clone dove notiamo i due phisihng (B.Desio e B of America)
Vedremo nelle prossime ore se continuera' questa attivita' di phishing e, se e come verranno modificati i relativi redirects.
Al momento il phisihng visto ora e' comunque linkato attraverso precedente sito compromesso che presenta Innova Studio Asset Manager attivo, cosa che farebbe comunque pensare a vecchio gruppo di phishers anche se le caratteristiche del layout del sito sembrano indicare altra provenienza.
Edgar
Di poche ore fa due analisi (link 1 e link 2) di phishing che vedevano una intensa attivita' di messa online di siti clone della banca.
Quello che risulta evidente in questo nuov caso e':
una cura maggiore rispetto al passato (probabile altro gruppo di phishers ?) del layout della pagina e della acquisizione dei dati da sottrarre con la verifica della presenza dei codici nel form di richiesta ( come il caso visto poche ore fa),
presenza di icone ingannevoli (favicon) per le pagine clone
ma anche differenti nomi ingannevoli di files usati (es. areaprivati.php rispetto all'usuale index.html)
Come si vede da questo screenshot il sito compromesso che ora ospita il fake login e' quello di un blog
con whois
che include questi 2 folders di phishing
da cui rileviamo sia azione ai danni di Banco Desio ma anche di Bank of America.
Ecco il relativo phishing B.of America (stessa cura nel layout al riguardo delle icone del logo B.of America)
Attualmente ( quando in Italia sono le 2 di notte del 25 gennaio – le 8 AM in Bangkok) i due phishing sono attivi.
C'e' da considerare che trovandomi in Bangkok c'e' il vantaggio di analizzare per cosi dire in 'anteprima' (avendo 6 ore di differenza tra qui e l'Italia) questo nuovo percorso di phishing che probabilmente e' ancora poco o niente visitato da eventuali utenti italiani che avessero ricevuto la mail di phishing con il nuovo link.
Questo il subfolder del phishing
mentre come si vede, la pagina presenta il layout piu' curato rispetto es. ad un precedente phishing (nel precedente abbiamo diverso nome del file html ed anche nessuna icona (favicon) personalizzata con logo B.di Desio.
Ecco infatti sull'attuale phisihing , come gia' detto, anche l'icona a fianco dell'url che riproduce il logo della banca.
Questa invece la struttura totale del sito clone dove notiamo i due phisihng (B.Desio e B of America)
Vedremo nelle prossime ore se continuera' questa attivita' di phishing e, se e come verranno modificati i relativi redirects.
Al momento il phisihng visto ora e' comunque linkato attraverso precedente sito compromesso che presenta Innova Studio Asset Manager attivo, cosa che farebbe comunque pensare a vecchio gruppo di phishers anche se le caratteristiche del layout del sito sembrano indicare altra provenienza.
Edgar
Nessun commento:
Posta un commento