Segnalato in rete un nuovo phishing CartaSi che dimostra come la nota azienda sia, almeno al momento, tra le piu' colpite da azioni di phishing.
Questa la fake pagina di login
da cui si passa alla richiesta di n.carta di credito
Quello che si nota negli ultimi mesi, almeno dalle mails ricevute, e' la tendenza dei phishers piu' che sul tentativo di acquisire codici di accesso a conti bancari online, a propporre, sempre di piu', pagine clone che tentano di sottrarre credenziali di carta di credito.
Sicuramente la diffusione di dispositivi OTP (password di accesso al conto bancario generate in maniera temporanea) o di conferma operazioni online sul conto bancario tramite telefono hanno ridotto le possibilita' per i phishers di venire in possesso di codici di accesso.
Usando invece siti o pagine clone predisposti per acquisire numeri di carta di credito e relativi dati, i phishers, possono poi utilizzare quanto 'raccolto' per, ed in tempo praticamente reale ,utilizzare siti come quello descritto da Denis Frati in un suo recente post.
Tornando al caso attuale CartaSi il sito compromesso che effettua il redirect, anche se presenta dominio .IN (India) mostra whois di server USA legato ad E-Commerce
Il codice redirige poi a sito con whois australiano sviluppato in WordPress e che mostra i soliti segni di attacco come ad esempio questa pagina di hacking
e diversi files di shell php
e
Sono rilevabili sul sito anche alcuni KITS di phishing
sia in formato zip che tgz ed i cui contenuti sono praticamente identici per i due files (zip e tgz) tranne che per le date dei files inclusi.
Si notano date recenti
per i codici php che effettuano l'acquisizione delle credenziali eventualmente sottratte
con indirizzi mail identici a quelli presenti sui php messi ON-line dal phisher
Anche i files immagine PNG relativi al layout del clone
ed
hanno timestamp recente.
Una analisi del log relativo alle ultime connessioni sul server mostra che gli accessi recenti sono nella maggior parte legati ad ip italiani, cosa normale visto la data attuale dell'azione di phishing
Come gia' detto il clone mostra layout aggiornato con info relative ad eventi recenti
Edgar
Questa la fake pagina di login
da cui si passa alla richiesta di n.carta di credito
Quello che si nota negli ultimi mesi, almeno dalle mails ricevute, e' la tendenza dei phishers piu' che sul tentativo di acquisire codici di accesso a conti bancari online, a propporre, sempre di piu', pagine clone che tentano di sottrarre credenziali di carta di credito.
Sicuramente la diffusione di dispositivi OTP (password di accesso al conto bancario generate in maniera temporanea) o di conferma operazioni online sul conto bancario tramite telefono hanno ridotto le possibilita' per i phishers di venire in possesso di codici di accesso.
Usando invece siti o pagine clone predisposti per acquisire numeri di carta di credito e relativi dati, i phishers, possono poi utilizzare quanto 'raccolto' per, ed in tempo praticamente reale ,utilizzare siti come quello descritto da Denis Frati in un suo recente post.
Tornando al caso attuale CartaSi il sito compromesso che effettua il redirect, anche se presenta dominio .IN (India) mostra whois di server USA legato ad E-Commerce
Il codice redirige poi a sito con whois australiano sviluppato in WordPress e che mostra i soliti segni di attacco come ad esempio questa pagina di hacking
e diversi files di shell php
e
Sono rilevabili sul sito anche alcuni KITS di phishing
sia in formato zip che tgz ed i cui contenuti sono praticamente identici per i due files (zip e tgz) tranne che per le date dei files inclusi.
Si notano date recenti
per i codici php che effettuano l'acquisizione delle credenziali eventualmente sottratte
con indirizzi mail identici a quelli presenti sui php messi ON-line dal phisher
Anche i files immagine PNG relativi al layout del clone
ed
hanno timestamp recente.Una analisi del log relativo alle ultime connessioni sul server mostra che gli accessi recenti sono nella maggior parte legati ad ip italiani, cosa normale visto la data attuale dell'azione di phishing
Come gia' detto il clone mostra layout aggiornato con info relative ad eventi recentiEdgar
Nessun commento:
Posta un commento