AVVISO ! Ricordo che anche se i links sono lasciati in chiaro , evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Ad esempio tra quelli indicati nel report URIBL potrebbero esserci anche alcuni siti pericolosi.
Ancora una mail di phishing ai danni di PosteIT
tra l'altro scritta in buon italiano, che vede coinvolti alcuni siti che presentano un IP variabile.
Il sito in mail che provvede al redirect compare in un report URIBL insieme ad altri
Infatti nella blacklist compare sia il sito linkato in mail che effettua il relativo redirect, ma anche altri due indirizzi web coinvolti nel phishing visto ora.
Questi gli indirizzi e i relativi redirect (notare anche nel report un phishing Paypal)
Una analisi eseguita con whois ciclico sul link in mail porta a questi risultati
confermando la presenza di un TTL molto basso quando si esegue un NSLOOKUP del sito in questione
ma anche del sito finale di phishing
Questa la pagina di phishing proposta
Mentre un whois dei name servers coinvolti nel phishing
mostra
la provenienza cinese degli stessi.
Come succede spesso in queste tipologie di phishing (ip variabli e name severs cinesi) non sara' facile poter mettere offline i relativi siti di phishing che probabilmente rimarranno attivi per diversi giorni.
Edgar
Ancora una mail di phishing ai danni di PosteIT
tra l'altro scritta in buon italiano, che vede coinvolti alcuni siti che presentano un IP variabile.Il sito in mail che provvede al redirect compare in un report URIBL insieme ad altri
Infatti nella blacklist compare sia il sito linkato in mail che effettua il relativo redirect, ma anche altri due indirizzi web coinvolti nel phishing visto ora.
Questi gli indirizzi e i relativi redirect (notare anche nel report un phishing Paypal)
Una analisi eseguita con whois ciclico sul link in mail porta a questi risultati
confermando la presenza di un TTL molto basso quando si esegue un NSLOOKUP del sito in questione
ma anche del sito finale di phishing
Questa la pagina di phishing proposta
Mentre un whois dei name servers coinvolti nel phishing
mostra
la provenienza cinese degli stessi.Come succede spesso in queste tipologie di phishing (ip variabli e name severs cinesi) non sara' facile poter mettere offline i relativi siti di phishing che probabilmente rimarranno attivi per diversi giorni.
Edgar
Nessun commento:
Posta un commento