E da poche ore coinvolto un nuovo Top Level Domain e precisamente'.BIZ.
Ecco infatti alcune info rilevate in rete a seguito di una segnalazione fattami da D3LAB della presenza del nuovo dominio .BIZ.
Questa la registrazione del nuovo dominio Carrefour come .BIZ che vede
in data
e sempre hosting IT come nei precedenti casi
Il clone Carrefour attuale presenta comunque alcune differenza nella struttura del sito di phishing rispetto agli ultimi cloni Carrefour analizzati
I phishers sono infatti tornati all'uso di frame
con i contenuti di phishing in realta' ospitati su dominio hostato su
con data di creazione anche questa attuale
Il sito .net che ospita il clone presenta home come
e struttura di folders del clone Carrefour come
dove notiamo anche contenuti che riconducono a precedente phishing Carrefour molto datato ed ospitato su web hosting free Altervista ma chiaramente non piu' attivo da tempo
Tornando alla struttura del phishing si nota come la homepage presenti
con response header che conferma data attuale per la creazione
Come detto in realta' i contenuti sono ospitati da (notate diversa URL)
con response header con "last modified" data attuale
Altra differenza dagli ultimi phishing Carrefour e' il ritorno alle pagine di acquisizione credenziali carta di credito senza l'uso di serversicuro.it in HTTPS ma i contenuti sono ospitati su stesso server che ospita la home page clone e seguenti.
Abbiamo quindi
con reali contenuti su
Lo stesso dicasi per Verified by VISA che vista da chi 'consulta' il sito di phishing come
in realta' ha contenuti su
Come gia' detto altre volte l'utilizzo di frame facilita ai phishers la creazione di URL ingannevoli in quanto quella visualizzata e' scelta tra quelle piu' simili all'originale mentre i contenuti possono stare in altro server su dominio dal nome qualsiasi.
Si noti anche che normalmente l'IP visualizzato nel browser sara' quello del server IT che ospita al pagina con frame e quindi piu' ingannevole certamente dell'IP USA dove sono hostati i contenuti.
E' probabile che a fronte del nuovo dominio .BIZ si assistera' nelle prossime ore all'invio da parte dei phishers di nuovi SMS che linkeranno il fake sito Carrefour appena creato.
Edgar
Per ulteriori dettagli sui phisihng Carrefour anche di fine 2013 e sempre con il supporto di SMS fake vedi:
Phishing Carrefour via SMS. Un nuovo dominio attivo dal 16 dicembre. Uso di protocollo HTTPS (18 - 19 dicembre)
ed i posts del gennaio 2014 su presenza di nuovi domini di phishing Carrefour:
Ricordo che per chi volesse segnalare casi di phishing, distribuzione malware, siti dai contenuti dubbi ed hacking e' sempre disponibile il form cliccando QUI.
Nel limite del tempo a disposizione i casi piu' interessanti saranno oggetto di un post di analisi pubblicato sul blog.
Nessun commento:
Posta un commento