Poche righe per informare delle numerose mail di phishing ricevute in data odierna
e tutte ai danni di Cassa di Risparmio di Bolzano
Questo il dettaglio del messaggio in mail diverso da quello di ieri
con link a redirect sempre ospitato sul medesimo sito visto ieri.
Al momento il clone
e' invece hostato nuovamente su dominio 'USA e getta' creato in data attuale.
Una analisi degli IP riferiti a chi visita il sito di phishing mostra nuovamente il 'solito' ip est europeo di ieri come primo IP registrato ed altri IP tra cui chiaramente alcuni IT.
Come al solito ci si aspettano cambiamenti sull'hosting del clone onde evitare black-listing o la messa off-line del sito che ospita il clone.
Da notare, come gia' accaduto ieri, che pur avendo ricevuto diverse mails nelle prime ore della giornata, i link presenti puntavano ad old dominio usato in passato dai phishers e non piu' online, per poi diventare attivi da poco.
Puo trattarsi semplicemente di work in progress da parte dei phishers o, come accenna anche Denis Frati in un suo post, ,di una tecnica per attivare i cloni solo al momento che le mail sono giunte a destinazione, per evitare quindi la messa off-line preventiva delle pagine di phishing.
Inoltre, utilizzando sempre il medesimo indirizzo di redirect, anche tutte le mails inviate in precedenza nella giornata di ieri sono attualmente perfettamente attive nel linkare al nuovo clone Cassa di Risparmio di Bolzano.
Edgar
e tutte ai danni di Cassa di Risparmio di Bolzano
Questo il dettaglio del messaggio in mail diverso da quello di ieri
con link a redirect sempre ospitato sul medesimo sito visto ieri.Al momento il clone
e' invece hostato nuovamente su dominio 'USA e getta' creato in data attuale.
Una analisi degli IP riferiti a chi visita il sito di phishing mostra nuovamente il 'solito' ip est europeo di ieri come primo IP registrato ed altri IP tra cui chiaramente alcuni IT.
Come al solito ci si aspettano cambiamenti sull'hosting del clone onde evitare black-listing o la messa off-line del sito che ospita il clone.Da notare, come gia' accaduto ieri, che pur avendo ricevuto diverse mails nelle prime ore della giornata, i link presenti puntavano ad old dominio usato in passato dai phishers e non piu' online, per poi diventare attivi da poco.
Puo trattarsi semplicemente di work in progress da parte dei phishers o, come accenna anche Denis Frati in un suo post, ,di una tecnica per attivare i cloni solo al momento che le mail sono giunte a destinazione, per evitare quindi la messa off-line preventiva delle pagine di phishing.
Inoltre, utilizzando sempre il medesimo indirizzo di redirect, anche tutte le mails inviate in precedenza nella giornata di ieri sono attualmente perfettamente attive nel linkare al nuovo clone Cassa di Risparmio di Bolzano.
Edgar
Nessun commento:
Posta un commento