Nuovamente colpita da azione di phishing la Banca popolare dell'Emilia Romagna (BPER)
Si tratta di banca gia' all'attenzione dei phishers parecchie volte nel corso del 2010
Il caso odierno vede il sito clone, cosa non molto comune, ospitato su server IT
Da notare evidenti differenze tra tra il form di login fasullo ed il reale login sul sito della banca
Come succede spesso, vengono sfruttate vulnerabilita' presenti su uno dei siti ospitati sul server, per includere il clone e relativi files accessori (kit di phishing, shell comandi ecc....) all'interno di uno dei siti presenti che non necessariamente e' quello che presenta le vulnerabilita' utilizzate per l'attacco.
Questo un dettaglio del kit di phishing che mostra date non recenti riguardo ai sorgenti del clone BPER
mentre una analisi del codice php di invio credenziali eventualmente sottratte e successivo redirect al reale sito della banca mostra
Si tratta del medesimo indirizzo mail gia' visto pochi giorni fa (31 marzo) per questo phishing Cariparma - Credit Agricole
cosa che rende molto probabile la stessa provenienza dei due attacchi.
Al momento del redirect al reale sito BPER si viene linkati non alla homepage della banca ma ad un sito che illustra un servizio di conto corrente offerto sempre da Banca popolare dell'Emilia Romagna
In questo caso non viene utilizzata la modalita' https, cosi' come la homepage BPER, cosa che potrebbe rendere ulteriormente ingannevole l'azione di phishing.
Edgar
Si tratta di banca gia' all'attenzione dei phishers parecchie volte nel corso del 2010Il caso odierno vede il sito clone, cosa non molto comune, ospitato su server IT
Da notare evidenti differenze tra tra il form di login fasullo ed il reale login sul sito della banca
Come succede spesso, vengono sfruttate vulnerabilita' presenti su uno dei siti ospitati sul server, per includere il clone e relativi files accessori (kit di phishing, shell comandi ecc....) all'interno di uno dei siti presenti che non necessariamente e' quello che presenta le vulnerabilita' utilizzate per l'attacco.Questo un dettaglio del kit di phishing che mostra date non recenti riguardo ai sorgenti del clone BPER
mentre una analisi del codice php di invio credenziali eventualmente sottratte e successivo redirect al reale sito della banca mostra
Si tratta del medesimo indirizzo mail gia' visto pochi giorni fa (31 marzo) per questo phishing Cariparma - Credit Agricole
cosa che rende molto probabile la stessa provenienza dei due attacchi.Al momento del redirect al reale sito BPER si viene linkati non alla homepage della banca ma ad un sito che illustra un servizio di conto corrente offerto sempre da Banca popolare dell'Emilia Romagna
In questo caso non viene utilizzata la modalita' https, cosi' come la homepage BPER, cosa che potrebbe rendere ulteriormente ingannevole l'azione di phishing.Edgar
Nessun commento:
Posta un commento