Questa la mail
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SkiMWKr0YGI/AAAAAAAAPjU/5JkBtecww_s/s320/obfu+mail.jpg)
e questo il codice sorgente del messaggio:
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SkiRHvUU1jI/AAAAAAAAPkU/tAsKu5k8fGs/s320/obfu+source.jpg)
Come si nota vengono coinvolti 2 siti italiani per linkare due immagini che compaiono in mail e precisamente:
un sito appartenente alla associazione dei Comuni Italiani
![](http://4.bp.blogspot.com/_-6waw8mcpyI/SkiNl9NiyTI/AAAAAAAAPj8/MBlVXGN5-sY/s320/obfu+comuni.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SkiMW_e_ArI/AAAAAAAAPj0/hAYOd3m-ZOg/s320/obfuwh+comuni.jpg)
Un sito con whois
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SkiOgZfjINI/AAAAAAAAPkE/iFbCCLrnCss/s320/obfu+whois+tg.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/SkiMWyI3zfI/AAAAAAAAPjs/m1VuW0WqflY/s320/obfu+sito+2+numeverde.jpg)
Questa immagine di numero verde viene linkata sul messaggio mail di phishing
Una volta cliccato sul link presente in mail, si viene indirizzati su sito locato in Taiwan che effettua il redirect.
In questo sito e' presente un folder che contiene una notevole quantita di link a codice php
![](http://2.bp.blogspot.com/_-6waw8mcpyI/SkiMWvE5GUI/AAAAAAAAPjk/yC4qKfG1e2c/s320/obfu+molti+php.jpg)
![](http://3.bp.blogspot.com/_-6waw8mcpyI/SkiOgmTSvOI/AAAAAAAAPkM/AbQnajFHsT8/s320/1+phishing+site+con+form.jpg)
La pagina di phishing e' una copia della home banca intesa con l'aggiunta di un form di login per la cattura di dati sensibili di chi cadesse nel tranello.
Per quanto si riferisce al form di immissione dei dati personali non vengono effettuati controlli particolari sui dati inseriti ma una volta cliccato sul pulsante 'confermare' si viene rediretti sul reale sito Banca Intesa San Paolo.
Edgar
Nessun commento:
Posta un commento