Edgar Bangkok
18-09-2008, 03:44
giovedì 18 settembre 2008
Ricevuta mail di phishing ai danni di Banca Popolare del Lazio che come contenuto del messaggio e' identica a quella ricevuta alla fine di agosto che sfruttava la possibilita' di includere un frame che puntava al sito di phishing al momento di caricare la pagina della banca sul browser. (problema ora risolto da chi gestisce il sito)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/mail.jpg
La mail ricevuta esegue invece il piu' tradizionale redirect su sito di phishing che comunque sfrutta una url ingannevole creata appositamente allo scopo
Questo l'indirizzo del sito di phishing in mail:
http://www.laziobank.0fees.net/
e questo un whois che mostra come, mentre la pagina e' ospitata su server USA,
(img sul blog)
la registrazione del sito sia fatta a nome di azienda sita in Lituania
(img sul blog)
Esaminando il codice della mail sembrerebbe coinvolto nei vari 'passaggi' di distribuzione del messaggio questo mail server sito in USA
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/whoismailsite.jpg
collegato al seguente sito di azienda che opera in campo minerario
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/sitocoinvoltomail.jpg
e che, sara' solo un caso ? , e' presente da una ricerca in rete anche in link a siti con contenuti per adulti,
(img sul blog)
segno di una probabile compromissione del sito, che potrebbe anche essere stata sfruttata per attivita' di phishing.
La pagina di phishing,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/pagephishing.jpg
che risulta leggermente diversa dalla attuale e reale pagina di login della banca, che vediamo qui
(img sul blog)
presenta, stranamente, nel codice, un link
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/linksinphpage.jpg
a questo sito di web hosting USA
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/webhostingpage.jpg
su server
(img sul blog)
appartenente ad un hoster noto per distribuire spam e pagine con link dubbi ed anche a malware, il che confermerebbe ancora una volta gli stretti legami tra phishing e distribuzione di malware o comunque siti di dubbia affidabilita'
Edgar :D
fonte: http://edetools.blogspot.com/
Ricevuta mail di phishing ai danni di Banca Popolare del Lazio che come contenuto del messaggio e' identica a quella ricevuta alla fine di agosto che sfruttava la possibilita' di includere un frame che puntava al sito di phishing al momento di caricare la pagina della banca sul browser. (problema ora risolto da chi gestisce il sito)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/mail.jpg
La mail ricevuta esegue invece il piu' tradizionale redirect su sito di phishing che comunque sfrutta una url ingannevole creata appositamente allo scopo
Questo l'indirizzo del sito di phishing in mail:
http://www.laziobank.0fees.net/
e questo un whois che mostra come, mentre la pagina e' ospitata su server USA,
(img sul blog)
la registrazione del sito sia fatta a nome di azienda sita in Lituania
(img sul blog)
Esaminando il codice della mail sembrerebbe coinvolto nei vari 'passaggi' di distribuzione del messaggio questo mail server sito in USA
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/whoismailsite.jpg
collegato al seguente sito di azienda che opera in campo minerario
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/sitocoinvoltomail.jpg
e che, sara' solo un caso ? , e' presente da una ricerca in rete anche in link a siti con contenuti per adulti,
(img sul blog)
segno di una probabile compromissione del sito, che potrebbe anche essere stata sfruttata per attivita' di phishing.
La pagina di phishing,
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/pagephishing.jpg
che risulta leggermente diversa dalla attuale e reale pagina di login della banca, che vediamo qui
(img sul blog)
presenta, stranamente, nel codice, un link
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/linksinphpage.jpg
a questo sito di web hosting USA
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/phishin%20bpl%2017%209%208/webhostingpage.jpg
su server
(img sul blog)
appartenente ad un hoster noto per distribuire spam e pagine con link dubbi ed anche a malware, il che confermerebbe ancora una volta gli stretti legami tra phishing e distribuzione di malware o comunque siti di dubbia affidabilita'
Edgar :D
fonte: http://edetools.blogspot.com/