venerdì 13 gennaio 2012

Continua il phishing ai danni della Cassa di Risparmio di Bolzano (13 gennaio)

Nella giornata di ieri segnalavo un attacco phishing a Cassa di Risparmio di Bolzano che vedeva un redirect attraverso codice su sito vietnamita e clone su dominio Altervista creato per l'occasione.
Il phishing aveva pero' corta durata in quanto non il sito di hosting del clone ma quello che ospitava il redirect veniva bloccato rendendo quindi inoperativi proprio i link presenti nei messaggi mail di phishing.
Conseguenza di questo appare adesso on-line, a fronte di nuove mails di phishing, un sito di redirect a clone C. R. Bolzano ospitato sempre su sito vietnamita ma con IP diverso da ieri

e sempre con Innova Studio Asset Manager come probabile mezzo per uploadare i codici di supporto al redirect

Questo un dettaglio della data recente del file

La cosa particolare e' che, come hosting del clone

veniva, sino a qualche minuto fa, utilizzato sito compromesso IT
che, stranamente, non presentava tracce di Asset Manager Innova Studio o di altro file manager di solito usato in questi casi.

La cosa e' comunque durata poco, in quanto si e' gia' passati a clone ospitato su domino free Altervista

la cui registrazione risale ad ieri, come si nota dallo screenshot dei dettagli dell'account creato dai phishers.

Il fatto che in questi casi gli account siano creati, come visto altre volte, un giorno o piu' prima di mettere online il phishing fa pensare che ci sia una pianificazione abbastanza accurata di come procedere nell'azione di phishing e i nuovi domini non siano creati, es nel caso di Altervista, al momento che viene rilevato un problema (messa offline, balck-listing, sospensione dell'account ecc..) ma ben prima.

Capita anche spesso di trovare codici di cloni e redirect on-line ma che non sembrano ancora entrati a far parte di segnalazioni di phishing, come se in pratica fossero 'parcheggiati' in attesa di attivazione.

Una possibile spiegazione potrebbe anche essere il tempo che decorre dall'uso di mailers per l'invio di messaggi di phishing e la ricezione delle stesse da parte degli utenti internet, cosa che potrebbe richiedere per la diffusione dello 'spam', in caso di grandi liste di indirizzi mails, un certo tempo.

Edgar

Nessun commento: