Segnalato in rete un nuovo phishing ai danni di Lottomatica che, da come e' strutturato, fa pensare ancora ad una azione dei phishers R-team.
Gia' ieri con il caso di phishing Cariparma erano evidenti le caratteristiche tipiche del noto gruppo di phishers (nome dei redirects sempre uguale ai precedenti, uso di Innova Studio Asset Manager per gestire gli upload dei codici di phishing, uso di hosting su siti compromessi ma anche molte volte su servizi free web come Altervista....ecc...)
Il phishing in data odierna ai danni di Lottomatica sfrutta infatti Innova Studio Asset Manager
che ha permesso ai phishers di scaricare sul sito con whois
il file di redirect vag.htm al clone Lottomatica.
Da notare come, ma non succede spesso, il menu' dell'interfaccia Innova Studio mostri un nome di folder degli upload non esatto in quanto se si esamina il codice della stessa si vede come il reale percorso ai files sia, sempre nel sito, ma differente (uploads e non upload come indicato)
Il file manager Innova permette quindi di uploadare i contenuti all'interno di un folder del sito che tra l'altro risulta, come percorso, incluso in una area protetta da password
Anche se parrebbe che i files eseguibili (php, asp ecc...) uploadati all'interno del sito nei folder protetti da password risultino non eseguibili (Safe mode ON) non ci sono problemi per eseguire files di tipo htm di redirect e precisamente vag.htm.
Il redirect punta, come successo in parecchi casi R-team, a servizio di free web hosting Altervista (whois IT)
e propone le seguenti pagine clone Lottomatica che tentano di acquisire dati personali di accesso
da cui
Una volta confermato il fake login ed i dati richiesti si viene rediretti al reale sito Lottomatica su questa pagina che informa di un ulteriore, ma questa volta ufficiale, redirect al nuovo sito
cosa che potrebbe essere ulteriormente ingannevole dando una parvenza di 'ufficialita'' alle fake pagine di login e richiesta dati viste prima.
Edgar
Gia' ieri con il caso di phishing Cariparma erano evidenti le caratteristiche tipiche del noto gruppo di phishers (nome dei redirects sempre uguale ai precedenti, uso di Innova Studio Asset Manager per gestire gli upload dei codici di phishing, uso di hosting su siti compromessi ma anche molte volte su servizi free web come Altervista....ecc...)
Il phishing in data odierna ai danni di Lottomatica sfrutta infatti Innova Studio Asset Manager
che ha permesso ai phishers di scaricare sul sito con whois
il file di redirect vag.htm al clone Lottomatica.Da notare come, ma non succede spesso, il menu' dell'interfaccia Innova Studio mostri un nome di folder degli upload non esatto in quanto se si esamina il codice della stessa si vede come il reale percorso ai files sia, sempre nel sito, ma differente (uploads e non upload come indicato)
Il file manager Innova permette quindi di uploadare i contenuti all'interno di un folder del sito che tra l'altro risulta, come percorso, incluso in una area protetta da password
Anche se parrebbe che i files eseguibili (php, asp ecc...) uploadati all'interno del sito nei folder protetti da password risultino non eseguibili (Safe mode ON) non ci sono problemi per eseguire files di tipo htm di redirect e precisamente vag.htm.Il redirect punta, come successo in parecchi casi R-team, a servizio di free web hosting Altervista (whois IT)
e propone le seguenti pagine clone Lottomatica che tentano di acquisire dati personali di accesso
da cui
Una volta confermato il fake login ed i dati richiesti si viene rediretti al reale sito Lottomatica su questa pagina che informa di un ulteriore, ma questa volta ufficiale, redirect al nuovo sito
cosa che potrebbe essere ulteriormente ingannevole dando una parvenza di 'ufficialita'' alle fake pagine di login e richiesta dati viste prima.Edgar
Nessun commento:
Posta un commento