martedì 12 aprile 2011

Phishing Banco Azzoaglio (12 aprile)

Ritorna il phishing ai danni di Banco Azzoaglio (banca locata in Ceva (provincia di Cuneo), con un area di influenza che si estende fino alle province di Imperia e Savona ) attraverso 2 mail ricevute questa mattina.

Come si vede, si tratta ancora una volta di attacchi di phishing ai danni di banche italiane a diffusione regionale che vedono, come probabile fonte, sempre lo stesso gruppo di phishers che opera ormai da diverso tempo. (R-team)

Questa una delle mails di phishing ricevute:

con link a redirect su sito con whois USA che presenta online una interfaccia Easy Content File Manager

che ha permesso da remoto l'inclusione di questo codice

Il redirect punta a dominio USA creato allo scopo di ospitare il clone Banco Azzoaglio

che (solo con un link un link presente in alto nella pagina) carica la consueta sequenza di screens di fake login

pin codes e password dispositiva , per redirigere poi al reale sito della banca.

Una analisi, non approfondita degli headers delle due mail ricevute, merita comunque un commento relativamente alla presenza sempre del medesimo IP francese origine della mail.

Come anche analizzato anche da Denis Frati qui appare evidente che le ultime mail di phishing probabilmente legate ad R-team, e quindi non solo quelle ai danni di Banco Azzoaglio, presentano negli headers un IP su range francese.

Ecco appunto due dettagli degli IP presenti negli headers

e

In entrambi le mail di phishing notiamo sempre lo stesso IP che andiamo a ricercare su uno dei siti di segnalazione e black-listing di spam ottenendo

-------------------------------------------------------------
88.184.221.28/32 is listed on the Spamhaus Block List (SBL)
Since 05 december 2010 to at least 30 march 2011, criminal groups based in Eastern Europe have been able to use this machine as an anonymising proxy - thanks to malware installed on it - to inject extremely massive amounts of phish spam into abused (via password stealing) SMTP servers.
-------------------------------------------------------------

Per quanto si riferisce al dominio USA e 'getta' che ospita il clone, questa la data attuale di registrazione dello stesso:

Edgar

Nessun commento: