A parte i classici phishing PosteIT si puo' affermare che, attualmente, il top degli attacchi coinvolga pesantemente CartaSi considerato anche che passano poche ore di intervallo tra la ricezione di nuove mails fake ai danni della nota azienda, ed anche le segnalazioni in rete sono parecchie.
Si tratta di azioni di phishing che variano tra la presenza di allegati form in mail sino a link a pagine clone che sfruttano le piu' diverse vulnerabilita' per venir proposte online.
Un'altra distinzione la possiamo fare relativamente al layout dei cloni, specialmente la copia fake della homepage CartaSi, che propone a volte pagine 'datate' come questa di recente attacco
(si notano date e riferimenti anche al 2010 !!), sino a layout attuali con pagine che riproducono fedelmente il sito CartaSi
Quello che vedremo ora e' un nuovo clone attualmente online che raggiunge uno dei massimi gradi di corrispondenza tra sito fake e sito reale CartaSi attraverso l'utilizzo di frame di login incluso in un reale layout CartaSi.
Ecco un confronto tra il clone on-line
e il reale sito
ed ancora questo ulteriore screenshot del clone
ed il corrispondente reale
Come si vede una corrispondenza dei contenuti quasi perfetta.
Il sistema utilizzato per riprodurre con il massimo dettaglio la homepage CartaSi e' molto semplice e viene attuato attraverso questo piccolo codice
La parte evidenziata in verde richiama il reale sito CartasSi mentre in giallo vediamo un codice di fake form di login (dettaglio nello screenshot)
form che, semplificando la spiegazione, e' per cosi' dire sovrapposto a quello reale CartaSi.
Notate anche come il piccolo form di login di phishing necessiti del pulsante ENTRA che viene 'recuperato' da un noto sito di host di immagini (Tinypic)
In questo modo chi aprisse il link al clone CartaSi si trovera' di fronte ad un pagina quasi indistinguibile dall'originale se non fosse che per l'indirizzo url che naturalmente non e' quello di CartaSi ma di un sito compromesso tedesco.
In dettaglio si tratta di sito di eCommerce con whois
e pesantemente compromesso presentando numerosi codici relativi a shells remote ed a mailer
e dove possiamo trovare tracce di precedenti utilizzi al riguardo di cloni CartaSi come questi kits tuttora presenti
Questa la struttura del clone
con i relativi codici php di invio al phisher delle credenziali eventualmente sottratte
e
a chi fosse caduto nel tranello del falso sito CartaSi.
Edgar
Si tratta di azioni di phishing che variano tra la presenza di allegati form in mail sino a link a pagine clone che sfruttano le piu' diverse vulnerabilita' per venir proposte online.
Un'altra distinzione la possiamo fare relativamente al layout dei cloni, specialmente la copia fake della homepage CartaSi, che propone a volte pagine 'datate' come questa di recente attacco
(si notano date e riferimenti anche al 2010 !!), sino a layout attuali con pagine che riproducono fedelmente il sito CartaSi
Quello che vedremo ora e' un nuovo clone attualmente online che raggiunge uno dei massimi gradi di corrispondenza tra sito fake e sito reale CartaSi attraverso l'utilizzo di frame di login incluso in un reale layout CartaSi.Ecco un confronto tra il clone on-line
e il reale sito
ed ancora questo ulteriore screenshot del clone
ed il corrispondente reale
Come si vede una corrispondenza dei contenuti quasi perfetta.Il sistema utilizzato per riprodurre con il massimo dettaglio la homepage CartaSi e' molto semplice e viene attuato attraverso questo piccolo codice
La parte evidenziata in verde richiama il reale sito CartasSi mentre in giallo vediamo un codice di fake form di login (dettaglio nello screenshot)
form che, semplificando la spiegazione, e' per cosi' dire sovrapposto a quello reale CartaSi.Notate anche come il piccolo form di login di phishing necessiti del pulsante ENTRA che viene 'recuperato' da un noto sito di host di immagini (Tinypic)
In questo modo chi aprisse il link al clone CartaSi si trovera' di fronte ad un pagina quasi indistinguibile dall'originale se non fosse che per l'indirizzo url che naturalmente non e' quello di CartaSi ma di un sito compromesso tedesco.In dettaglio si tratta di sito di eCommerce con whois
e pesantemente compromesso presentando numerosi codici relativi a shells remote ed a mailer
e dove possiamo trovare tracce di precedenti utilizzi al riguardo di cloni CartaSi come questi kits tuttora presenti
Questa la struttura del clone
con i relativi codici php di invio al phisher delle credenziali eventualmente sottratte
e
a chi fosse caduto nel tranello del falso sito CartaSi.Edgar
Nessun commento:
Posta un commento