Si tratta di questa mail
con allegato form di acquisizione credenziali di accesso a Banca Mediolanum, ed il cui layout ricorda quello di una recente mail con form di phishing CartaSi (anche stessi riferimenti a VISA e Mastercard)
Anche gli headers relativi alla fake mail Mediolanum
sono in parte simili (probabile IP di origine del messaggio) a quelli del fake messaggio CartaSi
Questo il form allegato che mostra il consueto layout che di solito richiede i dati di login al conto on-line
Interessante il codice php che gestisce l'acquisizione delle credenziali sottratte
e che risulta hostato su sito con whois USA e con folder esplorabile
Questo rivela la presenza di un file di testo di acquisizione delle credenziali digitate .
Una analisi del file vedeva in un primo tempo l'assenza di dati tranne quelli probabilmente relativi ad un test del form e del relativo codice php da parte del phisher.
L'indirizzo IP risulta ancora una volta attribuibile a hoster romeno
come succede molto spesso in questi casi.
Una ulteriore analisi del file di credenziali mostra, dopo qualche tempo, la comparsa di dati (piu' o meno attendibili)
cosa che dimostra che le mails inviate incominciano ad essere ricevuto dagli utenti target di questo attacco d phishing.
Una volta acquisito i dati salvandoli sul file di testo, il codice php redirige a questa pagina del reale sito Mediolanum banca, relativa ad info sulla privacy.
![](//4.bp.blogspot.com/-BoQNpm9m7aY/TuNl-YrxPVI/AAAAAAAAmPE/lQ6qntUgzcU/s320/reale%2Bno%2Bhttps.jpg)
Edgar
![](http://2.bp.blogspot.com/-eulniCx3fvI/TuNk_iNKE9I/AAAAAAAAmNM/tit0o-ePd5k/s320/mail.jpg)
![](http://4.bp.blogspot.com/--pjTjYqt4pc/TuNlcbTRjSI/AAAAAAAAmN8/4blgEcfTuk0/s320/simile%2Bcartasi.jpg)
![](http://2.bp.blogspot.com/-UgMY7UleLEg/TuNlAfRDruI/AAAAAAAAmNs/qTtjDwPe0No/s320/headers%2Bmedio.jpg)
![](http://1.bp.blogspot.com/-eDoXc6TcDEE/TuNlcjphyRI/AAAAAAAAmOI/KwkgQQFbOLE/s320/hesers%2Bcartasi.jpg)
![](http://4.bp.blogspot.com/-GqeTXzUp7OM/TuNk_1t7gWI/AAAAAAAAmNk/h97Ac6rVB00/s320/form.jpg)
![](http://4.bp.blogspot.com/--gYolwwH3a8/TuNk_pok_yI/AAAAAAAAmNU/y-MuaPwvVNE/s320/form%2Baction.jpg)
![](http://4.bp.blogspot.com/-7_39f24POsA/TuNlcwGrHDI/AAAAAAAAmOY/Gx3wtojvNjg/s320/stru%2Be%2Bcredenz%2Btxt2011-12-10_185258.jpg)
Una analisi del file vedeva in un primo tempo l'assenza di dati tranne quelli probabilmente relativi ad un test del form e del relativo codice php da parte del phisher.
![](http://4.bp.blogspot.com/-3uIaqU8TTuI/TuNl9_kbPxI/AAAAAAAAmOs/mlimFknvYOA/s320/txt%2Bcred.jpg)
![](http://2.bp.blogspot.com/-2XlpSrYMGEU/TuNldXKveLI/AAAAAAAAmOg/klWkWAWwOC0/s320/ip%2Bin%2Btxt%2Bcred.jpg)
Una ulteriore analisi del file di credenziali mostra, dopo qualche tempo, la comparsa di dati (piu' o meno attendibili)
![](http://4.bp.blogspot.com/-PeoUUTGT4Ng/TuNl94prgDI/AAAAAAAAmO4/GI7LM24PXbY/s320/dopo%2Btxt.jpg)
Una volta acquisito i dati salvandoli sul file di testo, il codice php redirige a questa pagina del reale sito Mediolanum banca, relativa ad info sulla privacy.
![](http://4.bp.blogspot.com/-BoQNpm9m7aY/TuNl-YrxPVI/AAAAAAAAmPE/lQ6qntUgzcU/s320/reale%2Bno%2Bhttps.jpg)
Edgar
Nessun commento:
Posta un commento