Una analisi dei contenuti mostrava dopo qualche ora la comparsa (oltre al folder esistente del sub-dominio fake TIM) di un nuovo folder dal nome chiaramente legato a phishing CartaSI
Esaminandone i contenuti si notava la presenza di solo codice php che redirige su legittimo sito CartaSI. (notate il timestamp successivo a quello di creazione del clone TIM)
Si tratta in questo caso di php quasi certamente a supporto di form di phishing CartaSI allegato a messaggio mail mentre non risulta essere presente un completo clone CartaSI (pagine fake con form ecc.....).
E' infatti una normale alternativa al classico phishing (con sito clone hostato su dominio creato allo scopo o su sito legittimo compromesso), quella di allegare in mail di phishing un form che sfrutta un codice php on-line che acquisisce i dati personali digitati per inviarli via mail al phisher di turno e reindirizzare poi al legittimo sito dell'azienda
Edgar
Nessun commento:
Posta un commento