Edgar Bangkok
06-04-2009, 17:13
luned́ 6 aprile 2009
Ricevuta mail di phishing ai danni di Poste.IT
Si tratta di una mail
(img sul blog)
che contiene una immagine jpg utilizzata per simulare il testo del messaggio, scritto in buon italiano hostata su servizio free di hosting immagini mentre il links a cui punta e' a questo sito compromesso
(img sul blog)
che contiene al suo interno il codice che esegue un redirect
(img sul blog)
a quest'altro sito che e' interessante esaminare.
(img sul blog)
Come si vede infatti sono presenti oltre che al codice del sito di phishing anche 2 files
che come gia' accaduto in passato, contengono la struttura completa del sito di phishing
(img sul blog)
E' interessante notare tra i vari files anche la presenza di alcuni di testo con nomi che chiariscono il loro contenuto (IP.txt ed USER.txt) e che risultano anche presenti sul sito online di phishing dove contengono sia la situazione aggiornata degli IP di chi si connette al sito
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%206%204/obfuips.jpg
che il nome inserito nella maschera di login
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%206%204/obfuuser.jpg
Dai nomi inseriti sembrerebbe che alcuni utenti di Poste.IT siano comunque stati ingannati dalla mail di phishing, anche se la maggior parte dei nomi di chi si e loggato al sito appare costituita da nominativi di 'fantasia' :ciapet:
Edgar :)
fonte: http://edetools.blogspot.com/2009/04/phishing-posteit-6-aprile.html
Ricevuta mail di phishing ai danni di Poste.IT
Si tratta di una mail
(img sul blog)
che contiene una immagine jpg utilizzata per simulare il testo del messaggio, scritto in buon italiano hostata su servizio free di hosting immagini mentre il links a cui punta e' a questo sito compromesso
(img sul blog)
che contiene al suo interno il codice che esegue un redirect
(img sul blog)
a quest'altro sito che e' interessante esaminare.
(img sul blog)
Come si vede infatti sono presenti oltre che al codice del sito di phishing anche 2 files
che come gia' accaduto in passato, contengono la struttura completa del sito di phishing
(img sul blog)
E' interessante notare tra i vari files anche la presenza di alcuni di testo con nomi che chiariscono il loro contenuto (IP.txt ed USER.txt) e che risultano anche presenti sul sito online di phishing dove contengono sia la situazione aggiornata degli IP di chi si connette al sito
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%206%204/obfuips.jpg
che il nome inserito nella maschera di login
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%206%204/obfuuser.jpg
Dai nomi inseriti sembrerebbe che alcuni utenti di Poste.IT siano comunque stati ingannati dalla mail di phishing, anche se la maggior parte dei nomi di chi si e loggato al sito appare costituita da nominativi di 'fantasia' :ciapet:
Edgar :)
fonte: http://edetools.blogspot.com/2009/04/phishing-posteit-6-aprile.html