lunedì 6 settembre 2010

Phishing IMEL.EU - Istituto di Moneta Elettronica Europeo S.p.A


Si tratta di un phishing ai danni di una societa' che gestisce moneta elettronica.

In particolare si legge sul sito interessato in cosa consiste questa attivita' “....... emissione di moneta elettronica, mediante trasformazione immediata dei fondi ricevuti nonche', nei limiti stabiliti dalla Banca d’Italia, attivita' connesse e strumentali e servizi di pagamento. Gli Imel non possono concedere crediti sotto alcuna forma. …........”

Se non la prima, e' sicuramente una delle prime volte che si vede in rete un phshing a danni di IMEL-EU ( sempre dal sito IMEL EU ….... si intende come moneta elettronica un dispositivo elettronico, emesso previa ricezione di fondi di valore non inferiore al valore monetario emesso e accettato come mezzo di pagamento da soggetti diversi dall’emittente........).

Questa la homepage di phishing

che e' molto simile all'originale

L'amico Denis Frati sul suo blog, ha esaminato i dettagli del phishing comparandolo con il phishing Lottomaticard di cui scrivo qui, e che parrebbe legato all'odierno phishing IMEL-EU essendo probabilmente gestito dai medesimi personaggi

Essendo disponibili, via browser, i contenuti di phishing (kit in formato .zip ) possiamo esaminare il codice php che si occupa di gestire i dati acquisiti:

dove si nota (evidenziata in colore giallo sul source) la creazione di un file TXT sul quale ad ogni login viene aggiunto il relativo record contenente i dati personali 'catturati'
L'indirizzo mail presente sembra invece essere costituito da nomi (anche questa volta probabilmente romeni) che pero' non corrispondono ad una mail valida.

La cosa strana e' che a fronte della creazione di un file testo contenente le credenziali di chi cadesse nel phishing sia comunque presente anche un indirizzo mail fittizio e non valido considerato anche che tradotto, guarda caso, dal romeno significherebbe @adrian_stupid.(potrebbe trattarsi dell'indirizzo mail di default del KIT di phishing 'da modificare a cura di chi installa ed usa il KIT')

La cosa piu' probabile e' quindi, che i phishers, questa volta, non vogliano utilizzare mail di notifica ma solo acquisire il file testuale con i dati 'raccolti'.

Come primo link di phishing anche questa volta viene utilizzato il medesimo sito visto nel phishing Lottomaticard e dal quale si e' rediretti sul phishing IMEL=EU.

Edgar

1 commento:

denis ha detto...

divertente questa cosa dello "stupid", non avevo provato la traduzione :-)