Phishing – report settimanale (18 febbraio)

Durante il periodo 13 – 18 febbraio abbiamo assistito al consueto phishing sviluppatosi con le modalita' conosciute di redirect generalmente inclusi in siti legittimi sfruttando differenti vulnerabilita' e di cloni ospitati in buona parte su servizi di free web hosting o di hosting a basso costo con domini creati allo scopo.

Particolare e' stato, in un caso, il ritorno all'uso di “easy content file manager” (qui uno screenshot di un passato utilizzo)

per gestire due diversi redirects a cloni.

Interessante anche l'implementazione di un codice di redirect analizzato che si e' dimostrato leggermente diverso dal solito.

I codici di redirect si limitano, in genere, a puntare al sito clone ospitato su differente dominio ma ecco il source di questo caso particolare

Come si nota viene, prima del redirect, aggiornato, nello stesso folder che ospita il codice, un file “status.txt” che riporta IP , data e ora di chi accede al phishing tramite appunto dal link in mail.

Si tratta comunque di un report che puo' servire ai phishers a scopo 'statistico' per conoscere l'affidabilita' delle mails inviate riguardo ad un target di utenza specifica per un determinato paese, in quanto non c'e' nessun collegamento tra IP e user che accede, e quindi non ci possono essere filtri collegati al singolo login. ( a meno di non confrontare il time dell' eventuale login di phisihng ed i dati acquisiti)
Al limite ci potrebbe essere un filtro (non e' questo il caso ma succede) per evitare il login al clone da parte di utente internet non del paese dove risiede l'obbiettivo del phishing.

C'e comunque anche da sottolineare che,di solito, al momento del fake login sul sito clone di phishing, vengono quasi sempre acquisiti anche gli IP associandoli ai dati personali eventualmente catturati, rendendo possibile ai phishers escludere provenienze di users considerati non interessanti.

Edgar