Ricevute ieri (12/7) dopo pochi giorni dal precedente attacco, nuovamente mails ai danni di Banca IFIS:
Il link presente in mails non e' stato comunque attivo gia' dal momento della ricezione dei messaggi forse per una tempestiva bonifica dei siti interessati.
La modalita' dell'attacco e gli headers delle mails ricevute:
presentano comunque un range IP di probabile source dei messaggi, sempre uguale ai precedenti gia' analizzati in phishing ai danni di banche IT a diffusione prevalentemente regionale, e fanno quindi pensare che si tratti anche questa volta degli stessi phishers noti da tempo.
La novita' odierna e' invece questo phishing che torna a colpire Banca Popolare di Bari.
Analizzando infatti il DB dei post pubblicati su questo blog,
gli attacchi alla banca appaiono risalire a piu' di un anno fa (aprile 2010), e non ne risultano di recenti, almeno relativamente alle mail di spam di phishing ricevute dal sottoscritto.
Da notare come, gia' ai tempi, ci fosse l'uso di Innova Studio A.M., cosa che insieme ad altri dettagli fa sempre pensare ai medesimi phishers degli odierni attacchi.
Il phishing odierno vede infatti l'utilizzo di sito con IP
che utilizza sempre Innova Studio A.M. raggiungibile senza restrizioni da remoto
sfruttato per gestire i redirects (2 codici presenti) al clone Banca Pop. di Bari, ospitato sul 'solito' dominio creato in data odierna e su hosting USA
Il sito di phishing con struttura
vede una pagina di login
seguita da richiesta di ulteriore codice
per poi redirigere sul reale sito della banca
Da notare come i phishers abbiano clonato il login reale ai servizi Corporate Banknig per creare le pagine fasulle e non abbiano invece 'copiato' il layout del login al servizio di Home Banking di Banca Popolare di Bari.
Tra l'altro nella pagina reale di login all' Home Banking viene presentato il servizio di accesso tramite chiave token e si ricorda anche che ' ... E’ POSSIBILE EFFETTUARE OPERAZIONI DISPOSITIVE ESCLUSIVAMENTE CON IL TOKEN........” cosa che dovrebbe garantire una buona affidabilita' delle operazioni eseguite via Internet di accesso al conto online.
Come altra particolarita' sul sito UK con Innova Studio che gestisce i redirects troviamo anche un source di pagina clone di login CARIPARMA - Credit Agricole
con il relativo codice PHP
e che parrebbero essere perfettamente funzionanti.
Edgar
Il link presente in mails non e' stato comunque attivo gia' dal momento della ricezione dei messaggi forse per una tempestiva bonifica dei siti interessati.La modalita' dell'attacco e gli headers delle mails ricevute:
presentano comunque un range IP di probabile source dei messaggi, sempre uguale ai precedenti gia' analizzati in phishing ai danni di banche IT a diffusione prevalentemente regionale, e fanno quindi pensare che si tratti anche questa volta degli stessi phishers noti da tempo.La novita' odierna e' invece questo phishing che torna a colpire Banca Popolare di Bari.
Analizzando infatti il DB dei post pubblicati su questo blog,
gli attacchi alla banca appaiono risalire a piu' di un anno fa (aprile 2010), e non ne risultano di recenti, almeno relativamente alle mail di spam di phishing ricevute dal sottoscritto.Da notare come, gia' ai tempi, ci fosse l'uso di Innova Studio A.M., cosa che insieme ad altri dettagli fa sempre pensare ai medesimi phishers degli odierni attacchi.
Il phishing odierno vede infatti l'utilizzo di sito con IP
che utilizza sempre Innova Studio A.M. raggiungibile senza restrizioni da remoto
sfruttato per gestire i redirects (2 codici presenti) al clone Banca Pop. di Bari, ospitato sul 'solito' dominio creato in data odierna e su hosting USA
Il sito di phishing con struttura
vede una pagina di login
seguita da richiesta di ulteriore codice
per poi redirigere sul reale sito della banca
Da notare come i phishers abbiano clonato il login reale ai servizi Corporate Banknig per creare le pagine fasulle e non abbiano invece 'copiato' il layout del login al servizio di Home Banking di Banca Popolare di Bari.
Tra l'altro nella pagina reale di login all' Home Banking viene presentato il servizio di accesso tramite chiave token e si ricorda anche che ' ... E’ POSSIBILE EFFETTUARE OPERAZIONI DISPOSITIVE ESCLUSIVAMENTE CON IL TOKEN........” cosa che dovrebbe garantire una buona affidabilita' delle operazioni eseguite via Internet di accesso al conto online.Come altra particolarita' sul sito UK con Innova Studio che gestisce i redirects troviamo anche un source di pagina clone di login CARIPARMA - Credit Agricole
con il relativo codice PHP
e che parrebbero essere perfettamente funzionanti.Edgar
Nessun commento:
Posta un commento