lunedì 18 aprile 2011

Phishing ai danni di banche a diffusione regionale (Agg. 18 aprile)

Attualmente attivi alcuni phishing ai danni di banche IT a diffusione essenzialmente regionale.

Solo per uno di questi (al momento comunque risultante OFF-line) appare un tipologia di gestione del phishing che ricorda gli attacchi gestiti da R-team

Si tratta di clone Banca Popolare dell'Alto Adige

che vede utilizzare un redirect ospitato su sito IT

che presenta un layout di homepage gia' visto in passato (anche se con differente dominio) coinvolto in azione ai danni di Cariparma.
Come gia' successo precedentemente sono presenti e raggiungibili on-line sul sito IT

differenti interfacce di gestione contenuti ed editors come ad es.:

che potrebbero essere stati utilizzate per l'upload di codici utili a gestire il redirect.

Il sito clone risulta ospitato ancora una volta su dominio USA creato in data odierna

Questa invece una mail di phishing ricevuta poco fa

che mostra un layout simile a quelli gia' ampiamente utilizzati in passato per phishing Cariparma
Il link in mail, dopo redirect, punta a sito compromesso, con whois tedesco

che ospita il 'solito' clone Cariparma.

Ecco invece un attuale phishing BPER (Banca Popolare dell'Emilia Romagna)

che sfrutta questa volta un redirect ospitato su server Sud Africano

per puntare poi al clone finale ospitato su server USA e di cui vediamo un particolare del folder di phishing incluso con data attuale

C'e' da evidenziare che tranne il primo caso di sito di redirect su whois IT con contenuti facilmente esplorabili e sito finale di phishing su dominio USA creato allo scopo ( che fa pensare all'ennesimo phishing R-team), gli altri due casi mostrano tecniche di gestione sia dei redirects che dei cloni differenti e per certi versi sicuramente piu' complesse.

Questo non permette un libero accesso ai contenuti di phishing ed agli eventuali software usati dai phishers per gestire i codici del sito clone e comporta spesso anche una difficolta' maggiore nella segnalazione del phishing al gestore dei domini e dei siti interessati, allo scopo di una messa off-line o di bonifica degli stessi delle pagine clone.

Edgar

Nessun commento: