Anche se sicuramente meno diffuso che altri phishing a banche e Poste Italiane quello ai danni di Lottomatica e' da molto tempo attivo in rete. (vedi mio post del luglio 2009 e successivi)
Ecco un nuovo ed attuale phishing Lottomaticard che si distingue per alcuni interessanti particolari:
Il sito compromesso che lo ospita, anche se riferito ad associazione canadese, risulta hostato su





Il malcapitato utente potrebbe quindi pensare di aver commesso qualche errore nell'input dei dati o, al limite, ad un problema di rete o uno specifico problema sul sito Lottomatica, e quindi cliccando sulla opzione “indietro e riprovare” ritrovarsi in una pagina di login ma questa volta autentica.
Cio' renderebbe l'utente Lottomaticard rassicurato, visto che ora si trova sul sito ufficiale e probabilmente non terrebbe in considerazione il pericolo derivato dai vari login eseguiti in precedenza, sul sito clone.
Vediamo ora alcuni dettagli piu' tecnici:
La possibilita' di esplorare da browser i contenuti del folder utilizzato da phisher mostra diversi contenuti interessanti:


Interessante pure il nome assegnato ad alcune variabili facenti parte del form di login: ad esempio questa una variabile che Google translator identifica essere in lingua romena.

Sempre nel folder esaminato, abbiamo naturalmente l'ulteriore folder con i contenuti di phishing che rispetta la path vista nel kit ed inoltre due codici di shell

Si tratta di shell usate probabilmente a supporto del phishing e che, in ogni caso, evidenziano lo stato di elevata compromissione del sito.
Edgar
Nessun commento:
Posta un commento