martedì 11 gennaio 2011

Phishing PostePay (11 gennaio)

Ricevuta una mail di phishing ai danni di PostePay:


Si tratta di concorso PosteIT ancora attivo e che viene sfruttato come oggetto della mail di phishing.

Questo il source della mail che mostra un unico file immagine png per propore il testo del messaggio:


Come gia' accaduto in passato si tratta di phishing abbastanza 'sofisticato' al riguardo del sistema utilizzato per redirigere ed hostare la pagina clone.

Siamo certamente ad un livello di complessita' molto piu' elevato dei phishing che osserviamo quotidianamente con l'utilizzo di semplici redirects gestiti da files manager mal configurati presenti in grande numero online. (Innova Studio, Easy Content f.m. ccc....) e che permettono a chiunque l'amministrazione remota dell'upload di files senza richiesta di credenziali di accesso.

Nel caso odierno, come succede da tempo, vengono invece creati dai phishers dei sottodomini su siti (in prevalenza giapponesi, come quello attuale)

ospitati pero' su :

Questo un reverse ip del sottodominio creato e che evidenzia la presenza in realta' non di uno ma di due sottodomini (in giallo) creati a partire da dominio Japan

ed anche un dominio (in rosso) creato appositamente a fine anno , con url ingannevole, di cui a sua volta viene utilizzato un ulteriore sottodominio,come indirizzo finale di phishing:

Da notare che il dominio creato per ospitare il sottodominio finaledi phishing, presenta registrazione recente ed a nome di persona italiana (sicuramente di fantasia ma comunque con dati reali es. via realmente esistente a Scafati)

Inoltre se si tenta di accedere al link in mail con IP non italiano non viene caricata la pagina di phishing ma si riceve messaggio di errore.
Questo fa si che, ad esempio, siti di verifica online di phishing diano messaggi di errore come questo

quando tentano in automatico di verificare la validita' dell'url di phishing, in quanto i medesimi non accedono al sito tramite IP italiano ma estero.

Edgar

Nessun commento: