martedì 3 gennaio 2012

Nuova mail di phishing CartaSi con interessanti conferme sull'attivita' dei phishers (3 gennaio)

Per terminare la giornata, che ha visto la ricezione e l'analisi di diverse mails di phishing legate sia ad attacchi a CartaSi che PostePay (vedi i vari post odierni) abbiamo questo ulteriore messaggio di posta elettronica che propone l'ennesimo phishing CartaSi

Il layout e' simile ad altre mails fake ricevute, ma e' interessante analizzare in dettaglio, come il form allegato gestisca i dati eventualmente immessi da chi cadesse nel phishing



Il codice php linkato al form e' infatti hostato sullo stesso sito compromesso visto in mattinata nel caso di phishing PostePay.

Una analisi del folder utilizzato attualmente per CartaSi mostra sia il file php che un file di elenco credenziali sottratte dal phishing ed entrambi con data odierna.

Come conseguenza del fatto che siamo sempre sullo stesso sito visto in mattinata a supporto di phishing PostePay non c'e' da sorprendersi se l'indirizzo mail codificato nel php sia lo stesso di questa mattina.

E' evidente che avendo a disposizione un sito compromesso che permette facilmente di uploadare tramite shell i contenuti di phishing, il phisher ne ha approfittato per creare diversi attacchi con obiettivo sia PostePay che CartaSi.

Altra analogia riscontrabile e' che entrambi i phishing vedono oltre all'invio di credenziali sottratte anche la scrittura su file delle stesse.

Edgar

Nessun commento: