Da qualche giorno si nota in rete una notevole presenza di phishing ai danni di TIM e SNAI con origine da stesso IP anche se hostati su differenti domini.
Questa caratteristica fa pensare a phishing gestito similmente a tipica azione di hacking che si sviluppa includendo pagine (in questo caso di phishing) su siti ospitati tutti sul medesimo server e che sono compromessi in massa.
Vediamo i dettagli:
Questo come appare un messaggio mail (o allegato) che propone il phishing TIM
mentre qui un esempio di messaggio di phishing SNAI
In entrambi i casi i link parrebbero puntare a siti tutti hostati su
Queste le pagine clone:
ecco quella TIM
mentre questa la SNAI (Ulteriori dettagli sul phishing SNAI si possono trovare QUI.)
Tramite reverse IP possiamo ottenere un elenco dei siti hostati sul server FR e passando detta lista a tool Autoit scaricare i sources presenti relativamente ai due indirizzi di phishing.
Come c'era da aspettarsi una analisi dei sources scaricati conferma l'elevata presenza di cloni sia TIM
che SNAI
Possiamo ulteriormente filtrare i dati ottenuti che vedono:
nel caso di phishing TIM
e catturando i singoli screenshots per ogni url rilevata come di phishing
Nel caso di phishing SNAI
che mostra anche Response Header come
e che riferito ai singoli cloni SNAI
conferma per tutti stessa data di creazione.
Questa una gallery degli screenshots dei cloni SNAI
In conclusione abbiamo conferma come, in analogia con i numerosi casi di hacking che vediamo quotidianamente, i phishers possano sfruttare vulnerabilita' presenti su siti o server, per creare inclusioni in massa di cloni di phishing.
La spiegazione delle inclusioni in elevato numero su differenti siti legittimi e quella di ottenere sempre nuovi indirizzi per le fake pagine che quindi saranno meno soggette ad essere messe in black list e bloccate.
Edgar
Nessun commento:
Posta un commento