Edgar Bangkok
29-03-2008, 01:28
29 marzo 2008
Riesaminando il link presente nella recentissima mail di phishing Poste IT
http://edetools.blogspot.com/2008/03/phishing-poste-it-28-marzo-con-sorpresa.html
c'e' la conferma che si sta utilizzando la periodica variazione del link del server che hosta il sito di phishing.
Si tratta indubbiamente di una novita' rispetto a precedenti messaggi di phishing che di solito utilizzavano un unico link a server e che rimanevano ONLINE a volte solo poche ore prima di venire messi OFFLINE.
La novita' e' che adesso seguendo il link presente nel messaggio della mail di phishing, hxxp://selner.ru//img/upl/pp/red.htm il file red.htm reindirizza su un diverso sito con whois USA rispetto a questa mattina e precisamente hxxp://www.capital-strategy.be//generator/files/sss/login.htm.
Evidentemente si sta utilizzando la possibilita' di modificare periodicamente il codice del file red.htm per servirsi di piu' server, probabilmente compromessi, su cui viene caricato il sito di phishing.
Questa operazione rende molto piu' lunga la 'vita' della mail di phishing in quanto appena un server viene bonificato dal codice di phishing si procede attivando un link ad un'altro con la sola semplice modifica al codice red.htm.
Inoltre viene ridotta la probabilita' che venga segnalato il pericolo phishing poiche' ci troviamo di fronte ad una continua variazione del dominio che hosta il sito fasullo di Poste IT.
fonte: http://edetools.blogspot.com/2008/03/aggiornamento-phishing-posteit-con.html
Edgar from Bangkok :D
Riesaminando il link presente nella recentissima mail di phishing Poste IT
http://edetools.blogspot.com/2008/03/phishing-poste-it-28-marzo-con-sorpresa.html
c'e' la conferma che si sta utilizzando la periodica variazione del link del server che hosta il sito di phishing.
Si tratta indubbiamente di una novita' rispetto a precedenti messaggi di phishing che di solito utilizzavano un unico link a server e che rimanevano ONLINE a volte solo poche ore prima di venire messi OFFLINE.
La novita' e' che adesso seguendo il link presente nel messaggio della mail di phishing, hxxp://selner.ru//img/upl/pp/red.htm il file red.htm reindirizza su un diverso sito con whois USA rispetto a questa mattina e precisamente hxxp://www.capital-strategy.be//generator/files/sss/login.htm.
Evidentemente si sta utilizzando la possibilita' di modificare periodicamente il codice del file red.htm per servirsi di piu' server, probabilmente compromessi, su cui viene caricato il sito di phishing.
Questa operazione rende molto piu' lunga la 'vita' della mail di phishing in quanto appena un server viene bonificato dal codice di phishing si procede attivando un link ad un'altro con la sola semplice modifica al codice red.htm.
Inoltre viene ridotta la probabilita' che venga segnalato il pericolo phishing poiche' ci troviamo di fronte ad una continua variazione del dominio che hosta il sito fasullo di Poste IT.
fonte: http://edetools.blogspot.com/2008/03/aggiornamento-phishing-posteit-con.html
Edgar from Bangkok :D