Edgar Bangkok
08-06-2009, 04:46
lunedě 8 giugno 2009
E ' da circa 2 settimane che il phishing ai danni di banche italiane e di PosteIT ha subito un notevole incremento.
Quasi tutti i giorni scrivo sul blog di mails di phishing ricevute ai danni in particolare di Intesa San Paolo, CartaSI e , ma questo forse e' piu' nella norma, PosteIT.
Ecco alcune mail ricevute da poco, e che coprono tutte le tipologie di phishing viste in questi giorni con parecchie conferme sui metodi adottati da chi gestisce il phishing ed anche i servers utilizzati.
Due delle mails riguardano phishing ai danni di Intesa San Paolo e presentano la medesima pagina fasulla di login alla verifica del conto
La prima mail
(img sul blog)
con link diretto su sito romeno compromesso (dovrebbe trattarsi di sito scritto in Joomla (ancora una vulnerablita' Joomla sfruttata ??? )
e riferito ad azienda (traduzione Google) che crea e gestisce siti web)
(img sul blog)
e che presenta ancora una volta il probabile utilizzo di Httrack,
(img sul blog)
adoperato per l'acquisizione del codice del reale sito Banca Intesa San Paolo da utilizzare poi per la pagina di phishing
La seconda mail e' piu' interessante
(img sul blog)
in quanto, ancora una volta, dimostra il coinvolgimento di questo IP italiano
(img sul blog)
come hosting della pagina di phishing
(img sul blog)
Gia' altre volte coinvolto, in questi ultimi giorni , sia per il caso del typosquatting ai danni di Banca Generali (http://edetools.blogspot.com/2009/06/typosquatting-con-phishing-ai-danni-di.html)che per una mail di phishing ai danni di CartaSI. (http://edetools.blogspot.com/2009/06/nuovo-phishing-cartasi-0506-ed-alcune.html)
(img sul blog)
Tra l'altro sembra che i siti di typosquatting ai danni di Banca Generali siano ancora attivi sul server IT, e linkino sempre al sito di phishing dimostrando una notevolissima 'longevita'' per questo genere di pagine. (di solito dopo qualche ora le pagine di redirect risultano messe OFFLine)
La terza mail presenta invece una serie di conferme al riguardo della stretta relazione tra siti con problemi di hacking(es l'inserimento pagine nascoste con vari proclami ) e phishing.
(img sul blog)
Questa la mail fasulla di PosteIt, che propone il ritorno del noto “bonus'
(img sul blog)
ed ecco il primo redirect
(img sul blog)
su sito israeliano
(img sul blog)
che al suo interno presenta anche
(img sul blog)
questa pagina di hacking che non lascia dubbi sulla compromissione del sito
Ma c'e' di piu':
infatti seguendo il redirect arriviamo alla pagina di phishing PosteIT,
(img sul blog)
su sito USA compromesso,
(img sul blog)
pagina che presenta data non recente ad indicare (come la mail) forse un uso di KIT di phishing parecchio datato, ma scopriamo anche che il sito che ospita la falsa pagina PosteIT presenta sia questa pagina,
(img sul blog)
di evidente hacking.
Ad un livello piu' alto nella struttura del sito USA compromesso notiamo invece un file denominato red.htm
(img sul blog)
Se ne esaminiamo il codice
(img sul blog)
scopriamo un ulteriore redirect a nuovo sito di phishing ai danni di CartaSI
(img sul blog)
ospitata su questo sito compromesso con whois USA.
Edgar :D
fonte: http://edetools.blogspot.com/2009/06/phishing-ai-danni-di-banche-italiane-e.html
E ' da circa 2 settimane che il phishing ai danni di banche italiane e di PosteIT ha subito un notevole incremento.
Quasi tutti i giorni scrivo sul blog di mails di phishing ricevute ai danni in particolare di Intesa San Paolo, CartaSI e , ma questo forse e' piu' nella norma, PosteIT.
Ecco alcune mail ricevute da poco, e che coprono tutte le tipologie di phishing viste in questi giorni con parecchie conferme sui metodi adottati da chi gestisce il phishing ed anche i servers utilizzati.
Due delle mails riguardano phishing ai danni di Intesa San Paolo e presentano la medesima pagina fasulla di login alla verifica del conto
La prima mail
(img sul blog)
con link diretto su sito romeno compromesso (dovrebbe trattarsi di sito scritto in Joomla (ancora una vulnerablita' Joomla sfruttata ??? )
e riferito ad azienda (traduzione Google) che crea e gestisce siti web)
(img sul blog)
e che presenta ancora una volta il probabile utilizzo di Httrack,
(img sul blog)
adoperato per l'acquisizione del codice del reale sito Banca Intesa San Paolo da utilizzare poi per la pagina di phishing
La seconda mail e' piu' interessante
(img sul blog)
in quanto, ancora una volta, dimostra il coinvolgimento di questo IP italiano
(img sul blog)
come hosting della pagina di phishing
(img sul blog)
Gia' altre volte coinvolto, in questi ultimi giorni , sia per il caso del typosquatting ai danni di Banca Generali (http://edetools.blogspot.com/2009/06/typosquatting-con-phishing-ai-danni-di.html)che per una mail di phishing ai danni di CartaSI. (http://edetools.blogspot.com/2009/06/nuovo-phishing-cartasi-0506-ed-alcune.html)
(img sul blog)
Tra l'altro sembra che i siti di typosquatting ai danni di Banca Generali siano ancora attivi sul server IT, e linkino sempre al sito di phishing dimostrando una notevolissima 'longevita'' per questo genere di pagine. (di solito dopo qualche ora le pagine di redirect risultano messe OFFLine)
La terza mail presenta invece una serie di conferme al riguardo della stretta relazione tra siti con problemi di hacking(es l'inserimento pagine nascoste con vari proclami ) e phishing.
(img sul blog)
Questa la mail fasulla di PosteIt, che propone il ritorno del noto “bonus'
(img sul blog)
ed ecco il primo redirect
(img sul blog)
su sito israeliano
(img sul blog)
che al suo interno presenta anche
(img sul blog)
questa pagina di hacking che non lascia dubbi sulla compromissione del sito
Ma c'e' di piu':
infatti seguendo il redirect arriviamo alla pagina di phishing PosteIT,
(img sul blog)
su sito USA compromesso,
(img sul blog)
pagina che presenta data non recente ad indicare (come la mail) forse un uso di KIT di phishing parecchio datato, ma scopriamo anche che il sito che ospita la falsa pagina PosteIT presenta sia questa pagina,
(img sul blog)
di evidente hacking.
Ad un livello piu' alto nella struttura del sito USA compromesso notiamo invece un file denominato red.htm
(img sul blog)
Se ne esaminiamo il codice
(img sul blog)
scopriamo un ulteriore redirect a nuovo sito di phishing ai danni di CartaSI
(img sul blog)
ospitata su questo sito compromesso con whois USA.
Edgar :D
fonte: http://edetools.blogspot.com/2009/06/phishing-ai-danni-di-banche-italiane-e.html