giovedì 21 novembre 2013

Phishing PosteIT. Dal DB segnalazioni del blog (21 novembre)

Segnalato da un lettore, che ringrazio, (utilizzando il DB segnalazioni di questo blog ) un phishing ai danni di PosteIT che mostra qualche interessante particolarita'.

Questa la segnalazione:


nella quale, chi ha ricevuto la mail, evidenzia come il codice php che gestisce  il clone PosteIT, presenti nome variabile per differenti mails ricevute.

Purtroppo il link in questione non e' piu' attivo per cui mi limitero' a quanto disponibile in rete nelle segnalazioni su questo phishing.

Altra cosa interessante e' che, una volta tanto, i phishers non utilizzano i soliti messaggi ingannevoli che informano di 'bonus' o di “account” da riattivare perche' bloccati a causa di azioni di accesso non autorizzato al conto.

Ecco infatti come poteva apparire la mail di phishing (layout ricostruito partendo dal codice postato dal lettore) 


dove si informa che “....Il tuo conto postepay e' stato infettato da un trojan! Si prega di rimuovere ….........
Messaggio sicuramente ingannevole che potrebbe portare chi ricevesse la mail a loggarsi al fake sito PosteIT cadendo nel phishing.

L'header mail mostra 


Per quanto si riferisce ai codici php usati troviamo su PhishTank queste segnalazioni


ed anche


che evidenziano alcuni diversi nomi di file php ed il tipico layout di phishing PosteIT.

L'utilizzo di differente nome per il codice di phishing si spiega con il fatto che i phishers usando nomi diversi possono piu' facilmente evitare che il link in mail venga individuato dai filtri antiphishing o antispam.

Ricordo che per chi volesse segnalare casi di phishing, distribuzione malware, siti dai contenuti dubbi ed hacking e' sempre disponibile il form del blog cliccando QUI.
Nel limite del tempo a disposizione  i casi piu' interessanti saranno oggetto di un post di analisi pubblicato sul blog.

Edgar

Nessun commento: