martedì 19 aprile 2011

Phishing Banca Popolare dell'Alto Adige (Agg. 19 aprile – ore 17 thai time)

Ricevuta una nuova mail di phishing che conferma l'odierno interessamento dei phishers alla Banca Popolare dell'Alto Adige

Si tratta di mail (errore sul caricamento del logo della banca) con link a sito di cui vediamo un dettaglio della struttura con in particolare il file di redirect con data attuale (Da notare anche la presenza di precedente clone Cariparma ma non funzionante.)

Il sito (e quasi sicuramente il phishing) sono gestiti da Innova Studio Asset Manager

di cui vediamo un dettaglio della nota interfaccia con il codice incluso (in giallo) che punta al medesimo dominio su hosting USA visto questa mattina.

L'unica diversita' e' il percorso al clone di phishing che e' stato modificato, come succede spesso in questi casi, per evitare eventuali blacklist.

Un effetto collaterale non voluto, della creazione di un nuovo percorso al clone, e' l'errore di caricamento del logo della Banca sul messaggio mail

e la cui spiegazione troviamo dando una occhiata al source:

Come si vede, non si tratta infatti di un problema di rete, ma proprio del fatto che chi a creato il messaggio di phishing aveva pensato bene di usare per il logo Banca Popolare dell'Alto Adige (da presentare in mail) , il file logo_home.gif attingendo dal sito clone sul percorso denominato …........../alto/...........
Con la variazione di detto percorso a …..../gagos/...... , e' chiaro che il link al file gif presente in mail e non e' piu' funzionante in quanto, di solito, con la creazione di nuovo percorso al phishing vengono cancellati files e folders del clone sulla vecchia path.

Si tratta di un 'errore' dei phishers abbastanza difficile da spigare in quanto legare la visualizzazione del logo in mail 'attingendo' a file .gif su sito raggiungibile da redirects (e che quindi probabilmente restera' attivo on line per poco) significa avere un link al file immagine del logo che smettera' di funzionare in breve tempo.(come e' successo)

Per quanto si riferisce agli header del messaggio mail possiamo nuovamente notare alcune analogie

con i messaggi ricevuti in recenti azioni di phishing ed attribuibili ad R-team

Edgar

Nessun commento: