Ecco l'odierna mail che si dimostra abbastanza ingannevole considerata la cura posta dai phishers nel creare le pagine clone PayPal ed in particolare anche quelle che simulano la connessione al servizio e l'eventuale richiesta di dati personali di conto.
Il testo in mail informa del blocco del nostro account, riportando date recenti (quella di ieri) e propone come soluzione diversi links che puntano, naturalmente, al falso sito PayPal
Vediamo alcuni dettali:
Il link in mail richiama un redirect ospitato su sito compromesso con whois
Sempre sullo stesso sito troviamo codici php
tra cui shell (protetta da password) e programma mailer
Il sito clone, a cui si viene rediretti, e' ospitato su sottodominio appartenente ancora a dominio .RO
sottodominio che in realta' rivela IP relativo a server canadese
come si nota anche da una analisi dei records DNS
La homepage di phishing, identica all'originale login PayPal, propone sito clone in italiano che verifica sommariamente i dati inseriti
e che pone particolare cura nel simulare l'attesa per la connessione al form di login, attraverso questa pagina animata
Il lungo form di richiesta dati
nel caso si cliccasse sulle opzioni di visualizzazione dei dettagli del conto, propone anche una fake segnalazione di 'dati non disponibili al momento' cercando di dare una parvenza di autenticita' al sito clone
Anche al termine della sessione di input dei dati verra' proposta una pagina di conferma dell'avvenuta riattivazione del nostro account
nonche' una fake pagina finale con possibilita' eventuale di riconnettersi al sito PayPal
che naturalmente, questa volta, sara' quello reale.
Un phishing quindi ingannevole e ben curato nei dettagli che vede forse solo, come 'lato debole' dell'attacco l'uso di indirizzi WEB per niente ingannevoli, che dovrebbero 'insospettire' chi seguisse i links in mail, rivelando la natura fraudolenta delle pagine proposte.
Edgar
Il testo in mail informa del blocco del nostro account, riportando date recenti (quella di ieri) e propone come soluzione diversi links che puntano, naturalmente, al falso sito PayPalVediamo alcuni dettali:
Il link in mail richiama un redirect ospitato su sito compromesso con whois
Sempre sullo stesso sito troviamo codici php
tra cui shell (protetta da password) e programma mailer
Il sito clone, a cui si viene rediretti, e' ospitato su sottodominio appartenente ancora a dominio .RO
sottodominio che in realta' rivela IP relativo a server canadese
come si nota anche da una analisi dei records DNS
La homepage di phishing, identica all'originale login PayPal, propone sito clone in italiano che verifica sommariamente i dati inseriti
e che pone particolare cura nel simulare l'attesa per la connessione al form di login, attraverso questa pagina animata
Il lungo form di richiesta dati
nel caso si cliccasse sulle opzioni di visualizzazione dei dettagli del conto, propone anche una fake segnalazione di 'dati non disponibili al momento' cercando di dare una parvenza di autenticita' al sito clone
Anche al termine della sessione di input dei dati verra' proposta una pagina di conferma dell'avvenuta riattivazione del nostro account
nonche' una fake pagina finale con possibilita' eventuale di riconnettersi al sito PayPal
che naturalmente, questa volta, sara' quello reale.
Un phishing quindi ingannevole e ben curato nei dettagli che vede forse solo, come 'lato debole' dell'attacco l'uso di indirizzi WEB per niente ingannevoli, che dovrebbero 'insospettire' chi seguisse i links in mail, rivelando la natura fraudolenta delle pagine proposte.Edgar
Nessun commento:
Posta un commento