Attualmente attivi
alcuni phishing ai danni di banche IT a diffusione essenzialmente regionale.Solo per
uno di questi (al momento comunque
risultante OFF-line) appare un tipologia di gestione del phishing
che ricorda gli attacchi gestiti da R-teamSi tratta di clone
Banca Popolare dell'Alto Adige![](//1.bp.blogspot.com/-DJuSDrWx_M8/TaxMlj4AmYI/AAAAAAAAiRE/GH08phtSGfQ/s320/ob3.jpg)
che vede
utilizzare un redirect ospitato su sito IT![](//4.bp.blogspot.com/-V62AD_6j7LA/TaxMmR1cIII/AAAAAAAAiRU/hNAbgphcot4/s320/wh%2Bit.jpg)
che presenta
un layout di homepage gia' visto in passato (anche se con differente dominio) coinvolto in azione ai danni di
Cariparma.Come gia' successo precedentemente
sono presenti e raggiungibili on-line sul sito IT![](//2.bp.blogspot.com/-Dmm5njwLg9I/TaxMlaPWTkI/AAAAAAAAiQ8/L986HNcACvg/s320/ob2.jpg)
differenti
interfacce di gestione contenuti ed editors come ad es.:![](//1.bp.blogspot.com/-R7XihHDIDNc/TaxMk_r_7xI/AAAAAAAAiQ0/zCpmWKA2F-k/s320/ob1.jpg)
che potrebbero essere stati utilizzate per l'upload di codici utili a gestire il redirect.
Il sito clone risulta ospitato ancora una volta su
dominio USA creato in data odierna
Questa invece una mail di phishing ricevuta poco fa![](//3.bp.blogspot.com/-00eth8YVv-U/TaxNNTVb82I/AAAAAAAAiRc/CLtHHMQjgzE/s320/mail.jpg)
che mostra
un layout simile a quelli gia' ampiamente utilizzati in passato per phishing Cariparma
Il link in mail, dopo redirect, punta a
sito compromesso, con whois tedesco![](//3.bp.blogspot.com/-SgrR_DJcUos/TaxNN9uBfUI/AAAAAAAAiRk/ChitdO82mzw/s320/wh%2Bfinale%2Bph.jpg)
che ospita il 'solito' clone
Cariparma.Ecco invece un attuale
phishing BPER (Banca Popolare dell'Emilia Romagna)
![](//3.bp.blogspot.com/-KOABuNAEqMo/TaxNs3zp-PI/AAAAAAAAiRs/0lwOuYqYFpI/s320/ph%2Bsite.jpg)
che sfrutta questa volta un redirect ospitato
su server Sud Africano![](//2.bp.blogspot.com/-7HTbXqvbnxU/TaxNts5FErI/AAAAAAAAiR8/QxXEzIQZHQg/s320/whois%2Bredirect%2B2011-04-18_210858.jpg)
per puntare
poi al clone finale ospitato su server USA e di cui vediamo un particolare del folder di phishing incluso con data attuale
![](//4.bp.blogspot.com/-0M5tlgwNL9c/TaxNtAclnzI/AAAAAAAAiR0/PNpnGSxRv-Q/s320/struct%2Bdata%2Bieri.jpg)
C'e' da evidenziare
che tranne il primo caso di sito di redirect su whois IT con contenuti facilmente esplorabili e sito finale di phishing su dominio USA creato allo scopo ( che fa pensare all'ennesimo phishing R-team),
gli altri due casi mostrano tecniche di gestione sia dei redirects che dei cloni differenti e per certi versi sicuramente piu' complesse.
Questo non permette un libero accesso ai contenuti di phishing ed agli eventuali software usati dai phishers per gestire i codici del sito clone e comporta spesso anche una difficolta' maggiore nella segnalazione del phishing al gestore dei domini e dei siti interessati, allo scopo di una messa off-line o di bonifica degli stessi delle pagine clone.
Edgar
Nessun commento:
Posta un commento