lunedì 2 dicembre 2013

Phishing, siti compromessi e loghi in 'quantita' (2 dicembre)

L'efficacia delle azioni di phishing dipende in gran parte da come il messaggio mail, e la successiva pagina web o sito clone linkati, risultino 'credibili'  riproducendo con il maggior dettaglio possibile il layout del sito legittimo dell'azienda presa di mira.
Per fare questo i phishers mettono online 'copie' a volte perfettamente identiche alle pagine web 'originali' cercando anche di estendere i possibili target da colpire attraverso riferimenti a piu' di una azienda.

E' il caso di un phishing 'Verified by VISA' che nello stesso tempo fa' riferimento in mail a PosteIT, e coinvolge poi altre aziende come vedremo nel clone linkato.
Da notare come il logo PosteIT, presente nel messaggio mail, permetta ai phishers di allargare l'utenza da colpire rispetto a un messaggio che avesse solo riferimenti al servizio VISA (Verified by VISA)

Questo un esempio di mail 


con header che mostra IP


L'uso di diversi loghi ricorda una recente mail di phishing WIND del 30 novembre che presentava un messaggio con diversi loghi tra cui lo stesso logo con riferimento a Banca Credem.


Attualmente risultano online alcuni cloni di fake registrazione a servizio 'Verified by VISA' in lingua italiana.

Vediamo alcuni dettagli:

Questo un parziale report di siti fake tutti con l medesima struttura e URL simile (subdominio creato su sito compromesso)


e tutti hostati su stesso server USA.

Si tratta di una serie abbastanza unga di siti compromessi che vedono incluso diverse pagine di phishing che vediamo in dettaglio:

Da notare come i loghi presenti al top delle pagine linkate siano numerosi e comprendano diverse aziende.

Si tratta di un unica immagine gif che comprende logo Verified by VISAPostePayMonte dei Paschi di SienaBanca CredemMaster Card


Questa la sequenza delle pagine di phishing

1)

2)


3)

4)

 5)

con layout molto curato nei dettagli (ad esempio la lunga pagina di INFO sul servizio By VISA)


Edgar

Nessun commento: