mercoledì 9 febbraio 2011

Phishing ai danni di banche IT a diffusione regionale. Banca C.R. Asti. Qualche ulteriore dettaglio (agg.9 febbraio)

Mentre continua il phishing ai danni di Banca C.R. Asti vediamo qualche ulteriore dettaglio che possiamo ricavare dai logs, quando disponibili, che rivelano chi si connette al server che ospita il sito clone

A parte l'utilita' dei logs per analizzare le varie corrispondenze tra i tempi di messa online del sito ed IP rilevato, od anche dell'IP di chi accede direttamente al sito clone senza passare da redirect (cosa che presuppone che chi lo visita sia a conoscenza della sua esistenza e quindi possa essere coinvolto nella gestione del phishing) vediamo invece chi ,connettendosi al clone, prosegue nella sua 'visita' attraverso le pagine proposte

Questo puo' evidenziare che si tratta sia di chi gestisce il phishing, oppure di chi esegue una analisi dello stesso ma anche di chi, caduto nel tranello del sito clone, ha proseguito nella 'consultazione' fornendo le proprie credenziali.

Ecco quindi un report relativo a chi ha acceduto alla pagina di richiesta pin codes e password dispositiva che ricordo e' la seconda pagina proposta dal clone C.R. Asti dopo il login fasullo

Come si vede su piu' di 300 IP univoci di utenti internet rilevati nel log, solo una piccola parte ha proseguito la 'visita' al sito clone

ed in particolare, come c'era da aspettarsi si tratta di IP italiani , piu' i due IP romeni che, come sappiamo anche da precedenti posts, potrebbero essere coinvolti nella gestione del phishing.

Come ulteriore curiosita' vediamo di geo-localizzare gli IP per vedere se risultano piu' valori che provengano da zone interessate dalla probabile area di utenza della Banca C.R. Asti.

In effetti, si nota che la maggior parte degli IP risulta geo-localizzata in nord Italia ( a parte i 2 ip romeni) cosa che potrebbe anche fare supporre che alcuni 'clienti' della banca siano caduti nel phishing.

Edgar

Nessun commento: