Ricevo da parte di un lettore del Blog, che ringrazio, questa segnalazione di phishing Lottomatica.
Come si vede da quanto segnalato, si tratta della 'solita' mail con form allegato, e con codice PHP di acquisizione delle credenziali eventualmente sottratte, presente su sito con whois
e di cui vediamo la homepage.
Trovandomi per la giornata odierna non nella mia abitazione ed usando un portatile con WI-FI non ho disponibili ulteriori tools per analizzare il phishing.
Quello che pero' si puo comunque rilevare e che rende leggermente diverso questo phishing Lottomatica da altri gia visti sempre ai danni di Lottomatica, e' il comportamento del codice PHP a cui redirige il form.
Come vediamo infatti questa e' al pagina a cui si viene rediretti dal PHP
con whois
e che mostra non la consueta informazione relativa al sito Lottomatica a cui hanno rediretto parecchi phishing passati :
ma un form, del reale sito, relativo a login :
Il fatto che i phishers redirigano dopo l'azione fraudolenta su un form Lottomatica reale e quindi pienamente funzionante, potrebbe quindi 'confondere' maggiormente chi fosse caduto nel tranello del phishing, facendogli credere di aver risposto ad una comunicazione ufficiale di Lottomatica.
Edgar
![](http://4.bp.blogspot.com/-r3m3ldjbnsc/Tt7f7UdazHI/AAAAAAAAmJw/o1drM-Ncuks/s320/db%2Bblog.jpg)
![](http://1.bp.blogspot.com/-bMZYUzUHu5c/Tt7f8W5fmSI/AAAAAAAAmKU/zbZbHORsnA4/s320/wh%2Bphp.jpg)
![](http://3.bp.blogspot.com/-O7TABu0UTRU/Tt7f8Ch-aMI/AAAAAAAAmKI/w7Z9h_XpG-c/s320/site%2Bcompr%2B2011-12-07_091606.jpg)
Quello che pero' si puo comunque rilevare e che rende leggermente diverso questo phishing Lottomatica da altri gia visti sempre ai danni di Lottomatica, e' il comportamento del codice PHP a cui redirige il form.
Come vediamo infatti questa e' al pagina a cui si viene rediretti dal PHP
![](http://2.bp.blogspot.com/-TlU8bY0JSYo/Tt7f7o7Lc3I/AAAAAAAAmKA/T9wNBxHrkug/s320/reale%2Bpage%2Bw%2Bform.jpg)
![](http://4.bp.blogspot.com/-U0Yy8DQh-jo/Tt7f8j4tjhI/AAAAAAAAmKc/pY10R64O3sU/s320/wh%2Breale%2Bredir.jpg)
![](http://3.bp.blogspot.com/-tUWBs0EpaMQ/TtXA4X9CR_I/AAAAAAAAmCY/FpJhoC-u2dw/s320/reale%2Bredir.jpg)
![](http://2.bp.blogspot.com/-TlU8bY0JSYo/Tt7f7o7Lc3I/AAAAAAAAmKA/T9wNBxHrkug/s320/reale%2Bpage%2Bw%2Bform.jpg)
Edgar
Nessun commento:
Posta un commento