sabato 6 giugno 2009


Si tratta di una nuova mail di phishing ai danni di PosteIT
(img sul blog)
Questa volta il testo e' scritto in buon italiano ed anche la data presente e' aggiornata al 2009, cosa che invece non accade per il sito di phishing che riporta l'anno 2007 come se il layout provenisse sempre dai soliti 'KIT' di phishing visti in passato.
Questo nuova mail si distingue dalle normali mail di phishing ricevute quasi quotidianamente, per un probabile doppio utilizzo di tecnica FatFlux sia per l'indirizzo relativo al redirect che al sito finale di phishing.

In pratica l'IP dei due siti varia ciclicamente ad ogni connessione.

Ecco un dettaglio del log relativo alla connessione
(img sul blog)
e questo un report ottenuto con whois ciclico sull'indirizzo presente in mail
(img sul blog)

che evidenzia una lista degli IP utilizzati sia dal redirect che dal sito di phishing e dimostrando il probabile utilizzo di FastFlux.

Questa la pagina di login del sito truffa con evidenziata la data non recente (2007) come gia' detto in precedenza.
(img sul blog)

Edgar :D

fonte: http://edetools.blogspot.com/2009/06/phishing-posteit-0606-con-fastflux.html