con header che presenta IP IT gia' trovato altre volte
e medesimi domini compromessi usati in passato dal phisher per il redirect
La differenza e' che il sito compromesso IT
che era utilizzato qui come host del redirect ospita ora un clone CartaSi 
(notare date recenti dei files)Analizzando il codice php di invio credenziali eventualmente sottratte dal phishing si nota come si tratta sempre del medesimo indirizzo mail gia' visto nel precedente caso CartaSi che vedeva coinvolto il sito IT.
Edgar
Nessun commento:
Posta un commento