venerdì 18 novembre 2011

Phishing CartaSi - NatWest (18 novembre)

Ricevuta mail di phishing CartaSi

che propone un form allegato in formato .ZIP

Esaminando il source del form si nota il link a codice php di acquisizione dati eventualmente sottratti a chi fosse caduto nel tranello della fake mail

Da notare come il sito coinvolto che ospita il PHP, presenti al suo interno anche codice PHP che se eseguito linka alla pagina di login della banca inglese NatWest (NatWest, is the largest retail and commercial bank in the United Kingdom (fonte Wikipedia))

E' probabile che detto PHP sia parte di un phishing destinato a colpire proprio la banca UK.

Per di piu', sempre sullo stesso sito

e' rilevabile un file con , al momento, una sessantina di records relativi ad altrettanti login presumibilmente proprio ad un clone che, da nomi dei campi presenti, potrebbe essere appunto quello relativo a Banca NatWest. Fortunatamente pare che solo una piccola parte di chi ha avuto accesso al phishing abbia provveduto a compilare il form mentre moltissimi records risultano vuoti.

Da notare comunque, come le date presenti siano recenti sia per il primo record

che, a maggior ragione per l'ultimo (data odierna)

Una sommaria analisi degli IP presenti rileva come primo IP, ma non e' una sorpresa, questa provenienza

Come spesso descritto in precedenti post e' abbastanza comune trovare come primo IP in un log di connessioni proprio quello del phisher che testa il corretto funzionamento della pagina fraudolenta e del relativo php di acquisizione dati .

Edgar

Nessun commento: