Sempre molto attivo in rete l'utilizzo di sottodomini di siti legittimi per puntare a phishing, come nel caso che vedremo adesso e che riguarda cloni di PosteIT
ospitati su server francese con whois
dove notiamo anche la presenza di 2 siti (evidenziati da reverse IP) con dominio poste.xx dove xx e' il country code top-level domain di nazioni asiatiche (domini evidentemente scelti tra quelli disponibili) con registrazione fatta, tra l'altro, a nome di persona italiana ed in data recente
Di solito i phishers cercano, per gli indirizzi di phishing, country code top-level domain che possano essere ingannevoli ad una lettura superficiale della url come ad esempio quello visto la volta scorsa che, altamente ingannevole per una utenza italiana, era poste.lt (LT non IT) sfruttando country code appartenete alla Lituania.
Ritornando al caso online ieri (28 febbraio) ma che attualmente parrebbe essere OFF-line, il dominio preso di mira e di cui si utilizzano sottodomini creati a supporto del phishing, apparteneva a sito di comune italiano
anche se forse si tratta solo un mirror del sito ufficiale considerato che una ricerca in rete trova, quest'altra url
Numerosi i sottodomini attivi ieri, derivati dal dominio del sito comunale, sottodomini a cui si accedeva solo tramite IP italiano, come gia' evidenziato in passato, e di cui vediamo alcuni dettagli
ma anche
ed
ecc...
Questo il codice presente che effettuava la verifica del browser usato
Come si vede, si tratta sicuramente di azioni di phishing piu' evolute gia' viste recentemente e che risultano gestite in maniera piu' complessa rispetto a semplici redirects a cloni di phishing tramite i soliti files manager, asset managers ecc.... che siamo abituati a vedere in rete quasi ogni giorno.
Edgar
ospitati su server francese con whois
dove notiamo anche la presenza di 2 siti (evidenziati da reverse IP) con dominio poste.xx dove xx e' il country code top-level domain di nazioni asiatiche (domini evidentemente scelti tra quelli disponibili) con registrazione fatta, tra l'altro, a nome di persona italiana ed in data recente
Di solito i phishers cercano, per gli indirizzi di phishing, country code top-level domain che possano essere ingannevoli ad una lettura superficiale della url come ad esempio quello visto la volta scorsa che, altamente ingannevole per una utenza italiana, era poste.lt (LT non IT) sfruttando country code appartenete alla Lituania.Ritornando al caso online ieri (28 febbraio) ma che attualmente parrebbe essere OFF-line, il dominio preso di mira e di cui si utilizzano sottodomini creati a supporto del phishing, apparteneva a sito di comune italiano
anche se forse si tratta solo un mirror del sito ufficiale considerato che una ricerca in rete trova, quest'altra url
Numerosi i sottodomini attivi ieri, derivati dal dominio del sito comunale, sottodomini a cui si accedeva solo tramite IP italiano, come gia' evidenziato in passato, e di cui vediamo alcuni dettagli
ma anche
ed
ecc...Questo il codice presente che effettuava la verifica del browser usato
Come si vede, si tratta sicuramente di azioni di phishing piu' evolute gia' viste recentemente e che risultano gestite in maniera piu' complessa rispetto a semplici redirects a cloni di phishing tramite i soliti files manager, asset managers ecc.... che siamo abituati a vedere in rete quasi ogni giorno.Edgar
Nessun commento:
Posta un commento