Nel precedente post avevamo visto la struttura di un phishing ai danni di Banca Mediolanum e nei dettagli come venga utilizzato un sito clone che tramite la richiesta del secondo codice segreto (come aggiornamento dello stesso) , propone un sistema altamente ingannevole.
Il phishing veniva attuato praticamente con un redirect da sito compromesso francese a sito USA probabilmente messo online appositamente per ospitare il phishing, sito che oggi risulta OFFline.
Il fatto che il sito di phishing sia ora OFFline non significa comunque che il tentativo di acquisire i dati personali di chi e' cliente Mediolanum sia pero' finito.
Dato infatti che l'accesso al phishing era eseguito tramite un redirect da sito francese compromesso e' bastato al phisher modificare l'indirizzo presente nel codice di redir che ora punta ad altro sito francese, a sua volta compromesso, e che ospita lo stesso sito clone Mediolanum identico a quello visto in precedenza.
Ecco alcuni dettagli
Questo il nuovo indirizzo incluso nel sito gia' visto di redir
che ora punta a sito compromesso, sempre francese, e di cui vediamo la homepage
ed un whois
Il sito utilizza Wordpress ed appunto in un folder del noto CMS abbiamo la presenza di questo subfolder
che propone una struttura
che punta alla fine a questi contenuti di phishing
tra cui notiamo nuovamente (e probabilmente proprio perche' siamo in presenza del medesimo kit di phishing usato in precedenza) alcuni file testo dalle date attuali e contenenti i dati di login di chi e' caduto nel phishing.
Anche questa volta appare nel log un IP romeno che potrebbe essere legato a chi gestisce il phishing.
E' quindi sempre ben evidente come l'utilizzo di redirect consenta ai phishers di avere la possibilita' di mantenere piu' a lungo online i propri siti clone in quanto se non viene messo offline il contenuto di redir, un suo aggiornamento del codice garantisce che le mails inviate, anche a distanza di giorni, puntino sempre a pagine di phishing online ed attive.
Edgar
Il phishing veniva attuato praticamente con un redirect da sito compromesso francese a sito USA probabilmente messo online appositamente per ospitare il phishing, sito che oggi risulta OFFline.Il fatto che il sito di phishing sia ora OFFline non significa comunque che il tentativo di acquisire i dati personali di chi e' cliente Mediolanum sia pero' finito.
Dato infatti che l'accesso al phishing era eseguito tramite un redirect da sito francese compromesso e' bastato al phisher modificare l'indirizzo presente nel codice di redir che ora punta ad altro sito francese, a sua volta compromesso, e che ospita lo stesso sito clone Mediolanum identico a quello visto in precedenza.
Ecco alcuni dettagli
Questo il nuovo indirizzo incluso nel sito gia' visto di redir
che ora punta a sito compromesso, sempre francese, e di cui vediamo la homepage
ed un whois
Il sito utilizza Wordpress ed appunto in un folder del noto CMS abbiamo la presenza di questo subfolder
che propone una struttura
che punta alla fine a questi contenuti di phishing
tra cui notiamo nuovamente (e probabilmente proprio perche' siamo in presenza del medesimo kit di phishing usato in precedenza) alcuni file testo dalle date attuali e contenenti i dati di login di chi e' caduto nel phishing.Anche questa volta appare nel log un IP romeno che potrebbe essere legato a chi gestisce il phishing.
E' quindi sempre ben evidente come l'utilizzo di redirect consenta ai phishers di avere la possibilita' di mantenere piu' a lungo online i propri siti clone in quanto se non viene messo offline il contenuto di redir, un suo aggiornamento del codice garantisce che le mails inviate, anche a distanza di giorni, puntino sempre a pagine di phishing online ed attive.Edgar
Nessun commento:
Posta un commento