lunedì 1 giugno 2009

Interessante sito di phishing ai danni di PosteIT

Ricevo da 'Filoutage' (visitatore del blog che si interessa di phishing) , un indirizzo web che punta a sito di phishing ai danni di Poste IT.

Ecco la pagina di login proposta dal sito di phishing

hostato su sito turco probabilmente compromesso.

Vediamo nei dettagli la struttura di questo nuovo sito di phishing:

Ecco il folder ONline che contiene sia il sito ai danni di PosteIT che un file compresso tgz con il 'KIT' di distribuzione del phishing e che, dal nome, sembrerebbe indicare una nuova versione


Il contenuto del file TGZ mostra, a conferma di questo, date recenti ed alcuni files TXT che ritroveremo in seguito anche sul sito ONline di phishing

Questa e' invece la struttura del sito Online

e della quale possiamo osservare alcuni dettagli

Come si vede risaltano subito, ad una analisi dei contenuti, alcuni files TXT, dai nomi che vediamo in questo report


e che in dettaglio contengono sia gli indirizzi IP di chi accede al sito

che i nominativi inseriti nella pagina del falso login.

Una geo-localizzazione degli IP presenti nel file mostra, come c'era da aspettarsi, la prevalenza di IP italiani

mentre una analisi degli utenti che compaiono nella lista del login

indica che forse alcuni di questi potrebbero essere caduti nel tranello della mal di phishing in quanto alcuni nominativi inseriti sembrano reali e non nomi di fantasia, come succede spesso in questi casi, quando chi riceve la mail, e' consapevole del tentativo di phishing.

Edgar

Nessun commento: