Ritorna il phishing Volksbank - Banca Popolare dell'Alto Adige attraverso questa mail
i cui headers sono simili ( nella parte relativa all'IP di origine del messaggio) a quelli gia' visti in passato in casi phishing sempre ai danni di banche IT a diffusione prevalentemente regionale e sempre attribuibili al medesimo gruppo di phishers:
Per il redirect viene utilizzato ancora una volta, il sito con whois cinese (dettagli QUI e QUI) che presenta Innova Studio A.M. Come gestore dei contenuti e che e' ormai attivo da settimane nel proporre codici di redirect a siti clone ospitati in genere sul solito noto servizio USA di hosting.
Questo il file di redir aggiornato ad oggi, ospitato sul sito cinese
( in compagnia dei numerosi precedenti codici di redir relativi ad altre banche IT) e che punta ora a domino
con date attuali.
C'e' anche da rilevare che qualche giorno fa, nel caso di phishing Mediolanum, erano stati rilevati, nei logs del sito clone, riferimenti a folders tipici di struttura clone Banca Popolare dell'Alto Adige, segno che era comunque nelle intenzioni di chi gestisce il phishing di tornare a colpire ancora una volta questa banca.
Questa la pagina di login (fasullo) proposta seguendo il link presente in mail
mentre in questo screenshot una parziale struttura del sito con date dei files recenti
Edgar
i cui headers sono simili ( nella parte relativa all'IP di origine del messaggio) a quelli gia' visti in passato in casi phishing sempre ai danni di banche IT a diffusione prevalentemente regionale e sempre attribuibili al medesimo gruppo di phishers:
Per il redirect viene utilizzato ancora una volta, il sito con whois cinese (dettagli QUI e QUI) che presenta Innova Studio A.M. Come gestore dei contenuti e che e' ormai attivo da settimane nel proporre codici di redirect a siti clone ospitati in genere sul solito noto servizio USA di hosting.
Questo il file di redir aggiornato ad oggi, ospitato sul sito cinese
( in compagnia dei numerosi precedenti codici di redir relativi ad altre banche IT) e che punta ora a domino
con date attuali.
C'e' anche da rilevare che qualche giorno fa, nel caso di phishing Mediolanum, erano stati rilevati, nei logs del sito clone, riferimenti a folders tipici di struttura clone Banca Popolare dell'Alto Adige, segno che era comunque nelle intenzioni di chi gestisce il phishing di tornare a colpire ancora una volta questa banca.
Questa la pagina di login (fasullo) proposta seguendo il link presente in mail
mentre in questo screenshot una parziale struttura del sito con date dei files recenti
Edgar
2 commenti:
Edgar...mi stavo domandando... ma dov'è l'elemento di novità? qual'è l'elemento innovativo grazie a cui questa attacco riesce ad andare a termine? che consente a questo gruppo di criminali di rimanere operativi sulla scena da oltre un anno?
Nel caso non ve ne siano ....cosa significa? 8o
Come sottintendi anche nel tuo commento, trovare un elemento di novita' in questo genere di phishing descritto nel blog (mi riferisco in particolare ad R-team ) credo sia praticamente impossibile.
Sono mesi anzi ormai direi piu' di un anno, che attraverso la stessa metodologia di attacco i phisher continuano a proporre mails e cloni, e per di piu', quasi sempre ai danni delle stesse banche ,ad intervalli piu' o meno lunghi di tempo.
Cosa significa ? Direi che la prima cosa che mi viene da pensare e' che probabilmente il problema phishing e' considerato da alcuni, di impatto poco rilevante in una gestione di Internet Online Banking.
Edgar
Posta un commento