sabato 24 dicembre 2011

Dal Db segnalazioni del blog. Un nuovo caso di phishing UniCredit estremamente curato nel layout ed ingannevole. (24 dicembre)

Gli ultimi attacchi di phishing del mese di novembre, ai danni di UniCredit hanno presentato un livello di dettaglio raramente visto in rete.
Si trattava di phishing che sfruttando info tratte da un reale concorso promosso dalla banca, tentava di ingannare chi avesse ricevuto la fake mail, informando di una vincita, naturalmente fasulla (maggiori dettagli al riguardo anche su questo precedente post)

L'odierna segnalazione di un lettore del blog, che ringrazio,

ci presenta un nuovo phishing UniCredit che raggiunge un livello di dettaglio fuori dal comune per phishing ai danni di banche IT.

Per di piu' anche gli indirizzi web sia del redirect che del clone sfruttano ampiamente la tecnica di uso di sottodomini creati a partire da legittimi domini come gia' visto anche nel caso di diversi phishing PosteIT.

Da evidenziare inoltre, che, anche in questo phishing UniCredit, ritornano domini turchi compromessi come accadeva per il precedente phishing UniCredit di novembre.

Dato che non e' disponibile la reale mail, ma il codice presente nella segnalazione, ricostruiamo il layout della mail copiando la parte html del codice in un file testo ed aprendolo in browser.
Ecco come si presenta la mail (ricostruita)


che gia' dal layout evidenzia la cura posta sia nel testo che nella presenza di links al phishing anche attraverso un apposito pulsante di scelta.

Il dominio di redirect appare ad una sommaria analisi come

dove si nota che il reale IP a cui si viene rediretti e' su server polacco.
Ii pratica i phishers hanno creato un sottodominio fake accedendo probabilmente al controllo dei DNS sul sito turco, facendo puntare a sito con whois PL che ospita il redirect al clone UniCredit come:

Anche in questo caso un utilizzo di dominio legittimo con whois turco con attivo un sottodominio che punta al sito clone ospitato su ip sloveno.
Una riprova e' che sostituendo nella URL direttamente l'IP sloveno 'il risultato non cambia'

Altra nota particolare accedendo con IP thai, il sito clone parrebbe essere comunque 'forbidden'

Tornando al phishing, la prima pagina proposta presenta questa finestra sovrapposta alla fake home e che invita a digitare codici di accesso

a seguito dei quali, ed dopo una attesa ,simulata, di connessione al server,

si passa ad una serie finestre tutte curate nei minimi particolari

da cui

ed ancora

sempre con verifica della forma dei dati immessi (codice fiscale, n.carta di credito ecc....)

Cura viene anche posta nella rappresentazione dell'URL nel browser dove ad esempio appare una reale icona UniCredit e ,notate, il nome ingannevole della URL in uso.

Un phishing quindi molto curato e che per questo potrebbe risultare estremamente ingannevole a chi ricevesse la fake mail UniCredit.

Edgar

Nessun commento: