venerdì 8 luglio 2011

Aggiornamento phishing BPER. (Banca Popolare dell'Emilia Romagna) (7-8 luglio)

Un breve aggiornamento sullo stato del phishing ai danni di BPER. (Banca Popolare dell'Emilia Romagna)
Come era facilmente prevedibile, considerato il fatto che il clone analizzato ieri pomeriggio era stato messo OFF-line a seguito di probabile bonifica dei contenuti, i phishers hanno provveduto ad attivare un nuovo indirizzo per il clone BPER.

Per ospitare il phishing si e' quindi utilizzato nella serata di ieri (ora thai) una altro sito, sempre con whois USA, che ospitava ancora una volta, una interfaccia Innova Studio Asset Manager


che come sempre permette di gestire l'upload di tutto quanto necessario alla creazione del falso sito della banca.

Questo un dettaglio dei contenuti con evidenziato il folder BPER creato in data 7/7 e che ospitava il phishing:

Successivamente si e' passati ad hostare il clone BPER su dominio creato allo scopo su noto hoster USA.

Questo un whois che mostra data attuale di registrazione:

E quindi evidente come l'uso di uno o piu' codici di redirect (nel caso attuale BPER il sito spagnolo visito nel precedente post) permettano ai phishers di ovviare alla messa off-line del clone della banca, rendendo piu' 'longevo' il link presente in mail.
Chiaramente se venissero bonificati dai codici il o i siti che ospitano i re-indirizzamenti al clone, il link in mail cesserebbe di funzionare, ma di solito i codici di redir sono meno 'visibili' (pochi KB) di una intera struttura di clone di phishing e quindi meno facilmente identificabili.
Inoltre, di solito, le segnalazioni di phishing sono piu' specificatamente orientate ad indicare l URL finale di phishing che non gli indirizzi dei siti intermedi coinvolti.

Edgar

Nessun commento: