venerdì 25 febbraio 2011

Phishing 'assortito' ai danni di banche IT. Ritorna anche phishing ai danni di Cassa di Risparmio di Ferrara (CARIFE) (agg.25 febbraio)

Attualmente, sul noto sito con whois brasiliano, che attraverso una interfaccia di file manager accessibile da remoto, viene utilizzato dai phishers

abbiamo la presenza di un nuovo codice di redirect

che sfruttando sito creato su servizio free di hosting Altervista, propone un clone ai danni di Cassa di Risparmio di Ferrara

Da notare come, contrariamente a quanto visto in casi recenti QUI e QUI, pur avendo la pagina iniziale di login al servizio di Home Banking il form ospitato in frame , la reale pagina della banca proponga tutte le evidenze di una connessione HTTPS compreso l'icona del lucchetto, come anche indicato dal testo ( pure presente sulla pagina di phishing)

Questo perche' non solo il form di login risiede su connessione protetta ma tutto il sito di CARIFE utilizza il formato HTTPS, cosa che aumenta le possibilita' di contrasto al phishing fornendo un supporto, anche visivo, sull'autenticita' o meno del sito

Tra l'altro a maggio 2010 in questo post su un phishing CARIFE, compariva un dettaglio sulla possibilita' di avere un sito clone ingannevole poiche' la pagina di login NON aveva una protezione sui dati digitati (il consueto lucchetto che indica una connessione sicura) ma una connessione protetta solo per il form di login (ospitato in frame),
Come risulta dal nuovo layout del sito Cassa di Risparmio di Ferrara questo problema e' ora risolto.

Altre azioni di phishing ai danni di CARIFE si sono sviluppate dalla meta' dello scorso anno e in maniera insistente, come risulta dai diversi post sul blog e molti di questi casi sono riferibili sempre al medesimo gruppo di phishers che ormai da mesi sta attaccando banche IT a diffusione prevalentemente regionale.

La conferma che si tratta, quantomeno di source di phishing simile a quello usato in passato, la abbiamo analizzando il codice della pagina clone odierna

dove notiamo che la stessa e' stata acquisita dall'originale presente sul sito della banca attraverso HTTrack cosi' come come il source analizzato in precedenza

e come indicato chiaramente su questo post.

Da quanto attualmente proposto sul sito di redirect .br visto prima,

oltre al phishing CARIFE abbiamo altri redirect a cloni attualmente attivi gia' da ieri ed hostati sempre su sito vietnamita gia' analizzato e che propongono sia phishing Valsabbina (2 redirects) che Banca del Piemonte (1 redirect).

Edgar

Nessun commento: