“Attenzione ! Il tuo account e' stato congelato !” ovvero phishing CartaSI

Particolare mail di phishing CartaSi ricevuta oggi, con testo del messaggio breve ma scritto in buon italiano, cosa che farebbe pensa ad una provenienza italica per questo phishing visto anche che, sia il sito iniziale di redirect che quello finale di phishing sono hostati su servers IT.

Vediamo alcuni dettagli:

Questa la mail

che presenta un link a codice

ospitato su server con IP appartenente a hoster IT

Il successivo redirect punta a server Usa,

su sito compromesso, dove troviamo un ulteriore codice


Dal sito USA si viene rediretti nuovamente su server .IT

dove risiede la pagina di phishing CartaSI

Interessante notare che cliccando sul link in mail , ed utilizzando l'attuale IP Thailandese, della mia connessione , un report Fiddler, conferma l'impossibilita di visualizzare il sito di phishing, proponendo un indirizzo web inesistente

Il sito di phishing viene invece proposto correttamente utilizzando una connessione proxy che simuli IP di provenienza del visitatore della pagina ad esempio dall'Italia.


Inoltre esaminando i dati relativi alla registrazione del dominio su cui e' ospitato il phishing ( parte di una url costruita dal phisher in maniera altamente ingannevole) si scopre che lo stesso parrebbe essere attribuibile ad azienda realmente esistente e non presentare nominativo di fantasia, come succede spesso in casi simili, e questo potrebbe significare che anche il sito finale e' stato compromesso

Edgar