venerdì 20 aprile 2012

IP offuscato come indirizzo di phishing (20 Aprile)

Poche righe per descrivere una curiosa URL di phishing che mostra un indirizzo web abbastanza inusuale.
Si tratta di phishing ai danni di azienda IT che mostra nel form allegato in mail questo particolare riferimento a codice PHP hostato su:

In effetti, almeno a prima vista, l'URL a cui punta il form, risulta alquanto incomprensibile

ma comunque perfettamente funzionante se digitata nel browser

In realta' si tratta di un semplice sistema per offuscare debolmente un indirizzo IP attraverso la sua codifica in esadecimale generando un numero che possiamo definire anche come DWORD e che rappresenta il consueto indirizzo IP piu conosciuto nel noto formato aaa.bbb.ccc.ddd.
Basta quindi utilizzare, ad esempio, questo sito che presenta online una pagina di conversione di indirizzi IP nei vari formati per ottenere

In particolare, nel caso attuale di phishing, si tratta di un indirizzo IP

che punta a sito compromesso relativo a software di gestione di IP-PBX Samsung, ossia di un centralino telefonico gestito da software ed hardware della nota multinazionale koreana.

Per il resto e' un consueto phishing, che punta a codice php che provvedera' ad inviare ai phishers i dati personali eventualmente digitati nel form da chi fosse caduto nel 'tranello' della falsa mail.

Edgar

Nessun commento: