sabato 16 novembre 2013

Phishing PosteIT e CartaSi. Dal DB segnalazioni del blog (16 novembre)

Segnalate da un lettore, che ringrazio, (utilizzando il DB segnalazioni di questo blogun buon numero di mails di phishing ai danni di PosteIT ed una di phishing CartaSI.



Il phishing ai danni di Poste Italiane, e' sicuramente uno dei piu' presenti online per quanto si riferisce ad utenza IT della rete e deriva sicuramente dalla grande diffusione dei servizi quali ad esempio la carta PostePay.
Come gia' scritto, a partire da inizio anno ad oggi, le sole mails di phishing PosteIT ricevute nelle mailbox di questo blog ammontano a piu' di 350 con struttura in parte costituita da messaggio e links, in parte da messaggio e form allegato.

Vediamo qualche dettaglio di una delle segnalazioni odierne

Interessante, ad esempio, questo phisihng  PosteIT   dove su sito compromesso 


con whois 


viene ospitato un sito clone che mostra, contrariamente a molti casi PosteIT presenti in rete, un buon dettaglio nel layout, volto ad 'ingannare' meglio chi ricevesse la mail.

Questa la pagina iniziale che presenta il fake form di acquisizione credenziali di login


ma anche le scelte relative a 'password dimenticata' e di 'nuova registrazione',

In particolare il link alla scelta di 'nuova registrazione' 


risulta perfettamente attiva e funzionante e  redirige sul legittimo sito posteIT


I phishers usano cioe' un indirizzo web che linka direttamente al form reale su PosteIT in https:// senza passare, come succede di solito , su una ulteriore legittima pagina di login.
Il fatto di linkare un form legittimo direttamente da una pagina di phishing potrebbe, al limite, aumentare la natura ingannevole del fake sito clone.

Tornando alla sequenza delle pagine di phishing, dopo il login, si passa alla fake pagina di acquisizione dati carta PostePay


Notate come nella parte alta della pagina appaia l'info, chiaramente messa li' per aumentare la credibilita' del phishing, che indica che si e' connessi correttamente al sito PosteIT (...sei autenticato...)


Lo stesso dicasi per l'help al riguardo  dell'identificazione sulla carta, del codice di protezione (che apre finestra direttamente linkata dal legittimo sito PosteIT)


Una vota confermati i dati si viene, come sempre, rediretti sul reale sito PosteIT.



Ricordo che per chi volesse segnalare casi di phishing, distribuzione malware, siti dai contenuti dubbi ed hacking e' sempre disponibile il form del blog cliccando QUI.
Nel limite del tempo a disposizione  i casi piu' interessanti saranno oggetto di un post di analisi pubblicato sul blog.

Edgar

Nessun commento: