lunedì 4 aprile 2011

Phishing (aggiornamento 3-4 aprile)

Alcuni aggiornamenti riferiti ad azioni di phishing ai danni di banche IT

Si tratta di alcuni phishing rilevati sia dal sottoscritto che da Denis Frati e che in parte sono la consueta 'evoluzione' di azioni di phishing gia' attive nelle scorse ore e che, come succede spesso, vedono la modifica degli indirizzi del redirect e/o di quello finale al phishing.

E il caso ad esempio di un phishing ai danni di Banca Popolare dell'Emilia Romagna (BPER) segnalato il 2 Aprile, che vede passare il sito clone su nuovo indirizzo ma sempre sul medesimo server e sfruttando la presenza dei tools utili al phisher gia' attivi dal precedente attacco.
Denis frati mi informa di aver segnalato al gestore dell'hosting il caso e attualmente i siti interessati parrebbero essere stati messi Off-line

Altro caso attualmente ancora attivo e' questo ai danni di Mediolanum e di cui vediamo la relativa mail (logo sul messaggio mail acquisito direttamente dal reale sito Mediolanum)

Il clone e' incluso su sito che appare utilizzare una versione di Free PBX (centralino telefonico privato)

come gia' visto alcune volte in passato su siti compromessi allo scopo di includere codici di redirect o siti clone.

Questa la pagina di phishing Mediolanum che si presta ad alcune considerazioni.

Di solito che crea cloni di phishing cerca di riprodurre nel modo piu' fedele possibile all'originale il layout della reale pagina della banca colpita.
Chiaramente si cerca anche di evitare che chi cade nel tranello della falsa mail possa avere sentore di non trovarsi davanti ad un 'originale' per cui ecco che la pagina clone confrontata con l'originale presenta alcune differenze interessanti:

Questo il clone

mentre come vediamo sulla reale pagina di login

appare un avviso specifico al riguardo del 'secondo codice segreto' , avviso che e' scomparso dalla pagina copia.
Da notare come solo la riga di testo relativa a : "Ricordati di NON inserire MAI il tuo secondo codice segreto per intero." sia quella cancellata.
Come si vede sul clone e' anche mantenuto il layout del tastierino numerico virtuale come sull'originale ma in piu' e inserito il campo di richiesta del secondo codice segreto cercando comunque di mantenere la rappresentazione della pagina il piu' simile possibile all'originale di Banca Mediolanum.

Denis Frati mi segnala anche questo clone Cariparma

ospitato su servizio hosting USA e con dominio creato in data di ieri

a cui si viene rediretti attraverso un sito con whois olandese che presenta la nota interfaccia Innova Studio che ha consentito l'upload del codice di redirect e che farebbe pensare ad un ritorno attivo dei phishers di r-team, poco visti negli ultimi tempi.


Per terminare con una nota divertente, ecco il contenuto di un kit poste IT, la cui analisi del source di uno dei files presenti, mostra questo particolare filtro di redirect solo per alcuni IP tra cui uno italiano

Si tratta probabilmente, come scrive anche Denis Frati, di uno 'redirect' selettivo rivolto a persone forse conosciute dal phisher, e che carica, da server romeno (non c'e' da meravigliarsi) questa divertente foto


Edgar

Nessun commento: