Si tratta di azione di phishing che tenta di sottrarre credenziali relative a carta di credito tramite form fake.
Sono comunque presenti sullo stesso sito di phishing, come vedremo , diverse pagine clone Unicredit Banca piu' o meno complesse come struttura (una pagina con frames), ma i phishers sembrano aver optato per proporne una dal layout piu' semplificato.
Vediamo alcuni dettagli:
Il link di phishing punta redirect su sito compromesso con whois
e che presenta in un folder WordPress
questo codice
che redirige sul sito con whois USA che ospita le pagine clone Unicredit Banca.
Abbiamo questo folder
che ospita la pagina clone di richiesta dati relativi a carta di credito
In effetti sono anche presenti queste due pagine
da cui
con differente layout (richiamate in sequenza) e che mostrano una struttura certamente piu' complessa (pagina con frames) ma che, almeno in questo phishing non parrebbero essere utilizzate.
Interessante notare come una analisi approfondita dei contenuti del sito permetta di rilevare un file di codici credenziali sottratte dal phishing e che vede come primo IP uno di provenienza che non sorprende
Ricordo che e' abbastanza comune trovare come primo IP in un log di connessioni proprio quello del phisher che testa il corretto funzionamento della pagina fraudolenta e del relativo php di acquisizione dati .
Sempre sul sito, in diverso folder, troviamo un altro file di credenziali sottratte non legato al phishing Unicredit Banca ma ad altra azione di phishing.
Da notare come, anche in questo caso, il primo IP sia uguale a quello gia' visto prima e come una ricerca in rete trovi dei riferimenti esempio a phishing Paypal che ha utilizzato questo sito come hosting del relativo clone di login Paypal.
Edgar
Sono comunque presenti sullo stesso sito di phishing, come vedremo , diverse pagine clone Unicredit Banca piu' o meno complesse come struttura (una pagina con frames), ma i phishers sembrano aver optato per proporne una dal layout piu' semplificato.
Vediamo alcuni dettagli:
Il link di phishing punta redirect su sito compromesso con whois
e che presenta in un folder WordPress
questo codice
che redirige sul sito con whois USA che ospita le pagine clone Unicredit Banca.Abbiamo questo folder
che ospita la pagina clone di richiesta dati relativi a carta di credito
In effetti sono anche presenti queste due pagine
da cui
con differente layout (richiamate in sequenza) e che mostrano una struttura certamente piu' complessa (pagina con frames) ma che, almeno in questo phishing non parrebbero essere utilizzate.Interessante notare come una analisi approfondita dei contenuti del sito permetta di rilevare un file di codici credenziali sottratte dal phishing e che vede come primo IP uno di provenienza che non sorprende
Ricordo che e' abbastanza comune trovare come primo IP in un log di connessioni proprio quello del phisher che testa il corretto funzionamento della pagina fraudolenta e del relativo php di acquisizione dati .Sempre sul sito, in diverso folder, troviamo un altro file di credenziali sottratte non legato al phishing Unicredit Banca ma ad altra azione di phishing.
Da notare come, anche in questo caso, il primo IP sia uguale a quello gia' visto prima e come una ricerca in rete trovi dei riferimenti esempio a phishing Paypal che ha utilizzato questo sito come hosting del relativo clone di login Paypal.
Edgar
Nessun commento:
Posta un commento