Nelle ultime settimane il numero di mails di phishing ricevute, se si esclude quelle ai danni di Cariparma, e' stato veramente basso, cosa che potrebbe far pensare che i phishers considerano il periodo estivo non favorevole alle loro attivita'.(minore utilizzo dei PC, ferie ....)
Vedremo se a partire da Settembre, ci sara' nuovamente un incremento del phishing o se ci troviamo fortunatamente di fronte, almeno per le mails riferite a banche italiane, ad una tendenziale riduzione del problema.
Queste comunque le due mails giunte oggi, di cui vediamo alcuni dettagli.
La prima riguarda BCC
![](http://3.bp.blogspot.com/_-6waw8mcpyI/THx2D8v15TI/AAAAAAAAays/A6znH4IM5SQ/s320/mail+ph+bcc.jpg)
![](http://1.bp.blogspot.com/_-6waw8mcpyI/THx2DN7OteI/AAAAAAAAayc/CruUjGm_Bb4/s320/form+layout.jpg)
Il form sfrutta per acquisire i dati di login un codice php
![](http://3.bp.blogspot.com/_-6waw8mcpyI/THx2DiECKQI/AAAAAAAAayk/nKQj1BIEFTk/s320/obf+form.jpg)
La cosa interessante e' che mentre la homepage del sito non dimostra l'esistenza di contenuti web
![](http://4.bp.blogspot.com/_-6waw8mcpyI/THx2KyueYYI/AAAAAAAAay8/Wo-q0dKPkR0/s320/obf+home+redir.jpg)
una analisi approfondita porta a scoprire al suo interno un sito di piattaforma di E-learning e precisamente Atutor (Open Source Web-based Learning Content Management System - LCMS.)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/THx2C2O-bSI/AAAAAAAAayU/F34-HSyR-Ro/s320/atutor+into+site+redir.jpg)
L'ip di provenienza della mail risulta tra quelli presenti in Spamhaus e conferma precedenti mails sul medesimo IP ai danni proprio di BCC .
![](http://3.bp.blogspot.com/_-6waw8mcpyI/THx2EXfH-cI/AAAAAAAAay0/AD8LZ59JtHM/s320/spamhaus.jpg)
Altra mail di phishing invece questa ai danni di Cariparma
![](http://3.bp.blogspot.com/_-6waw8mcpyI/THx27VgPU-I/AAAAAAAAazE/HbwgAdgpUCg/s320/mail.jpg)
![](http://2.bp.blogspot.com/_-6waw8mcpyI/THx28LKPmXI/AAAAAAAAazU/7dvltN0xmGo/s320/wh+redir.jpg)
![](http://4.bp.blogspot.com/_-6waw8mcpyI/THx27kqD6uI/AAAAAAAAazM/X6TH-cyfswI/s320/haked+redir+site.jpg)
Anche in questo caso l'IP da cui proviene la mail risulta gia' utilizzato in passato specialmente per invio di spam di pharmacy e di 'repliche' di orologi, borse ecc........
![](http://3.bp.blogspot.com/_-6waw8mcpyI/THx47xBtDiI/AAAAAAAAazc/3QpJk1llFLY/s320/ip.jpg)
Nessun commento:
Posta un commento