Phishing UNIPOL Banca (20 luglio)

Interessante clone UNIPOL Banca

che vede ancora una volta 'coinvolto' Innova Studio Asset Manager

ospitato su sito con whois

Come si nota dallo screenshot attraverso l'Asset Manager vengono gestiti sia i folders che ospitano il clone UNIPOL, che una pagina clone Cariparma – Credit Agricole con relativo codice PHP di invio credenziali sottratte.

Interessante esaminare il source del clone Unipol che rivela la sua origine HTTrack

con info al riguardo della data di creazione del clone

Ricordo che HTTrack e' una applicazione Open Source per il mirroring di siti web su supporto locale allo scopo, ad esempio, di effettuare una navigazione offline.

In questo caso il mirroring del sito (esteso anche ad alcuni subfolders di supporto al form di login) e' servito per preparare il nuovo ed aggiornato layout di phishing

Da notare anche come l'invio dei dati eventualmente sottratti sia effettuato ad indirizzo mail ben noto e comune sia al phishing UNIPOL che quello Cariparma, entrambi ospitati sul sito.

Per quanto si riferisce all''utilizzo 'pratico' del sito fasullo UNIPOL, una volta acquisiti i dati personali si viene rediretti sul reale sito della banca.

Esaminando il sito originale UNIPOL si osserva che la pagina clonata dai phishers corrisponde al login relativo al servizio di Internet banking per le aziende.

Edgar

Aggiornamento phishing ai danni di banche IT a diffusione regionale. Nuovamente Cassa di Risparmio di Bolzano (20 luglio)

Ormai da tempo siamo abituati a vedere colpite ciclicamente le stesse banche a diffusione prevalentemente regionale, gia' interessate in passato da phishing.

Nel caso odierno, la mail ricevuta

torna ad attaccare Cassa di Risparmio di Bolzano, banca gia' presa di mira dai phishers a partire dallo scorso anno.

Sia la tipologia del phishing, strutturato come sito di redirect con whois

che utilizza Innova Studio Asset Manager per la gestione dei contenuti (ed anche quindi dell'upload del redir)

che il sito clone su dominio USA e 'getta'

creato, in data odierna, allo scopo di ospitare le pagine clone,


cosi come gli headers in mail

lasciano pochi dubbi sugli autori del phishing (vedi post precedenti)

Questa volta oltre al codice di redirect, e presente sul sito lituano compromesso attraverso l'uso di Innova Studio A.M.

anche un clone della banca Lloyd TSB (Lloyds TSB Group plc (London Stock Exchange: LLOY) e' un gruppo bancario e assicurativo del Regno Unito. E' stato creato nel 1995 dalla fusione tra la Lloyds Bank e la Trustee Savings Bank (TSB). (fonte Wikipedia))

piu' altri files'accessori' al phishing quali shells, mailers ecc...

Edgar

Alcuni interessanti phishing Carta SI."... i vostri soldi indietro in qualsiasi momento ..." (19 luglio)

Si tratta di mails di phishing ricevute ieri ed oggi di cui vediamo alcuni dettagli:

La prima mail

linka a sito clone che, esaminandone la struttura, rivela la presenza di KIT di phishing in formato ZIP

e dove si nota come uno dei files php presenti sia stato modificato in data recente

probabilmente per aggiornare l'indirizzo mail a cui inviare i dati eventualmente sottratti

Interessante anche notare come i nomi del folder che ospitano il clone

se passati al traduttore Google rivelino la loro probabile origine rumena,

forse indicando proprio una probabile origine est europea da parte di chi gestisce il phishing , cosa che comunque non e' certo una novita'.

Altra mail sempre ai danni di CartaSi rivela un form il cui codice di invio credenziali utilizza un sito creato in maniera free utilizzano il noto servizio di Altervista

Per terminare ecco invece una mail con allegato, sempre ai danni di CartaSI che rivela come la 'fantasia' di che crea e gestisce il phishing , sia notevole.

La mail infatti, invece che i consueti messaggi di 'verifica credenziali di accesso....', “conto sospeso per vari morivi...” ecc... mostra questo testo

In pratica il phisher ha voluto simulare un dettaglio di pagamento effettuato con la carta di credito, chiaramente transazione non reale, ma che potrebbe portare chi riceve la mail a seguire le 'istruzioni' presenti nel messaggio.

L'allegato e' costituito da un form appositamente creato

che a fronte dell'input di dati personali e della carta ...vede una opzione di annullamento della transazione indicata in mail. (come indicato in messaggio mail '.... i vostri soldi indietro in qualsiasi momento ...'.)

Da notare la cura sia nello specificare l'importo di riferimento presente in mail (84 Euro) e il link al reale sito CartaSi di eventuale recupero di password dimenticata.

Si tratta come si vede, di un ingegnoso phishing che potrebbe risultare abbastanza credibile e quindi potenzialmente pericoloso per chi ricevesse detta mail.

Edgar