venerdì 9 dicembre 2011

Ancora phishing CartaSi – seconda parte (9 dicembre)

Altra mail di phishing CartaSi ricevuta da poco, dal testo in un italiano non molto corretto

e che presenta un logo CartaSi linkato da sito di Hotels su IP italiano

Questi invece gli headers della mail

tutti con uguale nazione di provenienza degli IP.

Il link in mail punta ad un redirect hostato su sito compromesso est europeo

cosi come il clone a cui si viene rediretti con whois

Interessante notare come il codice di redirect punti ad un clone (layout datato) con struttura del percorso sul sito che mostra un notevole numero di subfolder coinvolti

Una ricerca approfondita trova pero' sempre sul medesimo sito una struttura di phishing CartaSi simile come pagina clone alla precedente, ma con differente percorso a clone

a dimostrazione della intensa attivita' di phishing che vede coinvolta CartaSi.

E' probabile che i phishers per evitare eventuali blacklisting tengano pronto una altro clone con differente indirizzo da utilizzare in alternativa a quello attuale od anche abbiano comunque predisposto l'invio di mails che sfruttano il differente percorso al clone.

Edgar

Nessun commento: