Solo per uno di questi (al momento comunque risultante OFF-line) appare un tipologia di gestione del phishing che ricorda gli attacchi gestiti da R-team
Si tratta di clone Banca Popolare dell'Alto Adige
che vede utilizzare un redirect ospitato su sito IT
che presenta un layout di homepage gia' visto in passato (anche se con differente dominio) coinvolto in azione ai danni di Cariparma.
Come gia' successo precedentemente sono presenti e raggiungibili on-line sul sito IT
differenti interfacce di gestione contenuti ed editors come ad es.:
che potrebbero essere stati utilizzate per l'upload di codici utili a gestire il redirect.
Il sito clone risulta ospitato ancora una volta su dominio USA creato in data odierna
Questa invece una mail di phishing ricevuta poco fa
che mostra un layout simile a quelli gia' ampiamente utilizzati in passato per phishing Cariparma
Il link in mail, dopo redirect, punta a sito compromesso, con whois tedesco
che ospita il 'solito' clone Cariparma.
Ecco invece un attuale phishing BPER (Banca Popolare dell'Emilia Romagna)
che sfrutta questa volta un redirect ospitato su server Sud Africano
per puntare poi al clone finale ospitato su server USA e di cui vediamo un particolare del folder di phishing incluso con data attuale
C'e' da evidenziare che tranne il primo caso di sito di redirect su whois IT con contenuti facilmente esplorabili e sito finale di phishing su dominio USA creato allo scopo ( che fa pensare all'ennesimo phishing R-team), gli altri due casi mostrano tecniche di gestione sia dei redirects che dei cloni differenti e per certi versi sicuramente piu' complesse.
Questo non permette un libero accesso ai contenuti di phishing ed agli eventuali software usati dai phishers per gestire i codici del sito clone e comporta spesso anche una difficolta' maggiore nella segnalazione del phishing al gestore dei domini e dei siti interessati, allo scopo di una messa off-line o di bonifica degli stessi delle pagine clone.
Edgar
Nessun commento:
Posta un commento