venerdì 4 giugno 2010

Nuovamente online phishing con lista utenti in chiaro (agg. 4 giugno)

Ancora un caso di phishing ai danni di Banca italiana che questa volta propone in chiaro all'interno della struttura del folder di phishing, la lista dei dati personali acquisiti,cosa che sicuramente ne aumenta la pericolosita', rendendo pubblici gli eventuali dati catturati.

Vediamo alcuni dettagli, considerato che non capita molto spesso di trovare la lista in chiaro dei login,poiche', di solito, il phisher preferisce inviare ad una propria mail creata allo scopo i dati acquisiti.

Nei dettagli verra' omesso il nome della banca per ragioni di sicurezza essendo il phishing ancora attivo.

Questa la struttura del sito phishing hostato su server estero

dove possiamo notare un file TXT che esaminato propone una lista dei login effettuati (notare data e ora aggiornata)

Fortunatamente la quasi totalita' dei codici rivela, senza ogni ombra di dubbio, che chi ha ricevuto la mail di phishing era a conoscenza del problema.

Piu' interessante notare come il primo login presente in lista sia forse l'indizio della provenienza dell'azione di phishing

Come vedete l'user code e il codice sono composti dalla parola TEST e se verifichiamo l'IP abbiamo
cosa che vorrebbe significare che la prima mail o comunque il primo login avrebbe poco a che fare con Banca Italiana ma forse molto con una possibile localizzazione di chi ha testato il sito di phishing.

L'analisi dell'IP mostra che appartiene a RCS&RDS ( RCS&RDS is the largest Romanian cable and internet provider,[1] offering nation wide satellite television, cable television, cable internet, VOIP, and 3G services. The company, which is based in Bucharest, Romania – fonte Wikipedia)

Che la lista dei codici generata sia comunque attiva lo si puo' verificare effettuando un login fasullo e verificando che la lista e' immediatamente aggiornata (anche con data e ora relative)

Una analisi degli IP presenti nel file di log dimostra che si tratta per la quasi totalita' di IP italiani , cosa normale visto che comunque si tratta di phishing con mail ai danni di banca italiana.

Ancora una volta quindi un caso di phishing che mette online la lista dei codici personali acquisiti ma che fortunatamente dimostra anche che la maggior parte degli utenti che hanno ricevuto la mail sia consapevole delle azioni di phishing ai danni di banche italiane e non cada nel tranello della falsa mail.

Edgar

1 commento:

denis ha detto...

abbiamo trattato lo steso caso.....
siamo telepa(te)tici :-)