Come mi segnala l'amico Denis Frati e come si puo' rilevare da una ricerca in rete continua il phishing ai danni di Banco di Desio e della Brianza.
La particolarita' odierna e' l'abbandono, almeno per il momento, di siti che utilizzavano Easy Content file manager (su whois turco) per gestire il redirect, mentre e' sempre presente l'uso di dominio creato allo scopo di ospitare il clone attraverso servizio di hosting USA.
A questo phishing si aggiunge anche un sito clone su sito compromesso con medesimo layout di quelli gia' visti ma che potrebbe essere legato differenti phishers..
Alcuni dettagli:
Questo il dominio creato allo scopo di ospitare il sito copia della banca
a cui si vene rediretti dal solito codice gestito su sito
con Innova Studio
e che vediamo in dettaglio, dopo l'ennesimo aggiornamento del percorso di phishing
Nel caso invece del clone ospitato su sito compromesso abbiamo questa struttura di folders
dove si evidenzia la presenza oltre che del sito anche di statistiche consultabili online.
Ci sono alcune particolarita' che potrebbero far pensare a differenti personaggi che gestiscono questo sito clone rispetto a quello visto in precedenza e precisamente:
Possibile geo-localizzazione dell'IP del visitatore: infatti se si tenta di accedere al sito con IP thai si ottiene. (c0sa comune in casi di phishing piu' sofisticati)
Verifica dei contenuti dei campi di input relativi al form dei codici PIN: se i campi dei codici rimango vuoti appare una messaggio di avviso;
cosa che non accade nel phishing visto prima ed in molti dei precedenti casi Banco di Desio.(normalmente viene accettata una pagina di richiesta PIN codes con i campi di input anche vuoti).
Questo, oltre al fatto che si utilizza sito compromesso senza la presenza dei vari files manager visti in precedenti phishing ma forse tecniche forse piu' complesse, potrebbe appunto indicare differenti phishers in azione.
Edgar
La particolarita' odierna e' l'abbandono, almeno per il momento, di siti che utilizzavano Easy Content file manager (su whois turco) per gestire il redirect, mentre e' sempre presente l'uso di dominio creato allo scopo di ospitare il clone attraverso servizio di hosting USA.
A questo phishing si aggiunge anche un sito clone su sito compromesso con medesimo layout di quelli gia' visti ma che potrebbe essere legato differenti phishers..
Alcuni dettagli:
Questo il dominio creato allo scopo di ospitare il sito copia della banca
a cui si vene rediretti dal solito codice gestito su sito
con Innova Studio
e che vediamo in dettaglio, dopo l'ennesimo aggiornamento del percorso di phishing
Nel caso invece del clone ospitato su sito compromesso abbiamo questa struttura di folders
dove si evidenzia la presenza oltre che del sito anche di statistiche consultabili online.
Ci sono alcune particolarita' che potrebbero far pensare a differenti personaggi che gestiscono questo sito clone rispetto a quello visto in precedenza e precisamente:
Possibile geo-localizzazione dell'IP del visitatore: infatti se si tenta di accedere al sito con IP thai si ottiene. (c0sa comune in casi di phishing piu' sofisticati)
Verifica dei contenuti dei campi di input relativi al form dei codici PIN: se i campi dei codici rimango vuoti appare una messaggio di avviso;
cosa che non accade nel phishing visto prima ed in molti dei precedenti casi Banco di Desio.(normalmente viene accettata una pagina di richiesta PIN codes con i campi di input anche vuoti).
Questo, oltre al fatto che si utilizza sito compromesso senza la presenza dei vari files manager visti in precedenti phishing ma forse tecniche forse piu' complesse, potrebbe appunto indicare differenti phishers in azione.
Edgar
Nessun commento:
Posta un commento