Questa una delle mails ricevute oggi
il cui source e' stato anche corretto rispetto al problema dell'assenza di visualizzazione del logo della banca come analizzato qui
Per quanto riguarda gli headers in mail abbiamo ancora una volta l'accoppiata IP francese di origine (uguale ai precedenti) piu' redirect su IP giapponese
simili a quelli presenti in recenti azioni di phishing ed attribuibili ad R-team
e
Come dicevamo, l'odierno phishing, utilizza per il redirect, un codice incluso sempre sullo stesso sito gia' analizzato nei giorni scorsi (1 e 2) ed ospitato su server di noto hoster italiano
e che utilizza un sistema abbastanza semplice e facilmente verificabile di gestione dei codici di redirect.
Detti codici continuano ad essere 'tranquillamente' inclusi sul sito compromesso utilizzando la ben nota interfaccia Easy Content File Manager, dove vediamo oltre ai codici attuali (in giallo), anche quelli piu' datati di precedenti azioni di phishing.
Stessa longevita' la vediamo anche per il dominio, su hosting USA che ospita il clone, che appare essere sempre lo stesso ormai da tempo.
Le uniche differenze sulla url finale di phishing sono una modifica a brevi intervalli di tempo. dei percorsi al clone.
Come succede spesso, per chi cadesse nel tranello della falsa mail, dopo la pagina di falso login, segue quella fake di richiesta codici pin
per poi essere rediretti al reale sito della banca.
Da notare che esiste vicino alla scelta di login sulla pagina del reale sito di Banca Popolare dell'Alto Adige , un avviso cliccabile, che mostra dettagli che parrebbero essere legati proprio a questa azione di phishing.
Edgar
il cui source e' stato anche corretto rispetto al problema dell'assenza di visualizzazione del logo della banca come analizzato qui
Per quanto riguarda gli headers in mail abbiamo ancora una volta l'accoppiata IP francese di origine (uguale ai precedenti) piu' redirect su IP giapponese
simili a quelli presenti in recenti azioni di phishing ed attribuibili ad R-team
e
Come dicevamo, l'odierno phishing, utilizza per il redirect, un codice incluso sempre sullo stesso sito gia' analizzato nei giorni scorsi (1 e 2) ed ospitato su server di noto hoster italiano
e che utilizza un sistema abbastanza semplice e facilmente verificabile di gestione dei codici di redirect.
Detti codici continuano ad essere 'tranquillamente' inclusi sul sito compromesso utilizzando la ben nota interfaccia Easy Content File Manager, dove vediamo oltre ai codici attuali (in giallo), anche quelli piu' datati di precedenti azioni di phishing.
Stessa longevita' la vediamo anche per il dominio, su hosting USA che ospita il clone, che appare essere sempre lo stesso ormai da tempo.
Le uniche differenze sulla url finale di phishing sono una modifica a brevi intervalli di tempo. dei percorsi al clone.
Come succede spesso, per chi cadesse nel tranello della falsa mail, dopo la pagina di falso login, segue quella fake di richiesta codici pin
per poi essere rediretti al reale sito della banca.
Da notare che esiste vicino alla scelta di login sulla pagina del reale sito di Banca Popolare dell'Alto Adige , un avviso cliccabile, che mostra dettagli che parrebbero essere legati proprio a questa azione di phishing.
Edgar
Nessun commento:
Posta un commento