Analizzando i piu' comuni casi di phishing osserviamo, di solito, mails con links a sito clone della banca, azienda...ecc.. presa di mira oppure, in quantita' minore, allegati al messaggio mail con form clone e richiesta di dati relativi al bersaglio dei phishers.
Quella che vediamo ora
Quella che vediamo ora
e' una mail particolare in quanto nel messaggio troviamo sia link a sito copia di una azienda italiana che si occupa di gioco online, scommesse, ecc....
ma anche un allegato che riproduce la stessa pagina presente sull'attuale sito di phishing.
Questa la pagina copia hostata su server
Questa la pagina copia hostata su server
che sfrutta servizio di web hosting sito in Repubblica Ceca
che metta a disposizioni diversi domini tra cui quello che vediamo nella URL di phishing
Il messaggio mail presenta pero' in evidenza il riferimento ad allegato che consiste nella medesima pagina vista ora online, ma che, scaricata sul PC, sfrutta come codice php di invio credenziali lo stesso php utilizzato dal sito online di phishing.
Avremo quindi per la pagina allegata questo riferimento a php (con l'indirizzo completo al codice)
mentre lo stesso codice sara' referenziato nella pagina online semplicemente con
Per quanto si riferisce alla struttura del phishing pare che lo stesso si limiti ad acquisire solo le credenziali di login (utente e password) reindirizzando subito dopo al legittimo sito IT di gioco online.
Da notare inoltre come nella url del clone compaia la stringa “...securecartasi...” cosa che potrebbe significare che lo stesso dominio sia stato o possa essere utilizzato per differente bersaglio di phishing.
Edgar
Nessun commento:
Posta un commento