martedì 1 marzo 2011

Phishing PosteIT 'Hijacked subdomains of legitimate websites'. Aggiornamento

Sempre molto attivo in rete l'utilizzo di sottodomini di siti legittimi per puntare a phishing, come nel caso che vedremo adesso e che riguarda cloni di PosteIT

ospitati su server francese con whois

dove notiamo anche la presenza di 2 siti (evidenziati da reverse IP) con dominio poste.xx dove xx e' il country code top-level domain di nazioni asiatiche (domini evidentemente scelti tra quelli disponibili) con registrazione fatta, tra l'altro, a nome di persona italiana ed in data recente

Di solito i phishers cercano, per gli indirizzi di phishing, country code top-level domain che possano essere ingannevoli ad una lettura superficiale della url come ad esempio quello visto la volta scorsa che, altamente ingannevole per una utenza italiana, era poste.lt (LT non IT) sfruttando country code appartenete alla Lituania.

Ritornando al caso online ieri (28 febbraio) ma che attualmente parrebbe essere OFF-line, il dominio preso di mira e di cui si utilizzano sottodomini creati a supporto del phishing, apparteneva a sito di comune italiano

anche se forse si tratta solo un mirror del sito ufficiale considerato che una ricerca in rete trova, quest'altra url


Numerosi i sottodomini attivi ieri, derivati dal dominio del sito comunale, sottodomini a cui si accedeva solo tramite IP italiano, come gia' evidenziato in passato, e di cui vediamo alcuni dettagli

ma anche

ed

ecc...

Questo il codice presente che effettuava la verifica del browser usato

Come si vede, si tratta sicuramente di azioni di phishing piu' evolute gia' viste recentemente e che risultano gestite in maniera piu' complessa rispetto a semplici redirects a cloni di phishing tramite i soliti files manager, asset managers ecc.... che siamo abituati a vedere in rete quasi ogni giorno.

Edgar

Nessun commento: