Edgar Bangkok
30-07-2009, 06:28
giovedì 30 luglio 2009
NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).
Era gia' successo in questi ultimi giorni che alcuni siti di phishing utilizzassero ampiamente la tecnica FastFlux con variazione dell'IP del sito linkato per colpire ad esempio Banca Intesa San Paolo.(phishing ormai attivo da qualche giorno e con il sito
mltjd(dot)com
perfettamente raggiungibile anche questa mattina ).
E' di oggi la ricezione di una mail di phishing ai danni di poste IT
(img sul blog)
che sfrutta come primo redirect questo link a:
sdrbl(dot)com
che utilizza fastflux come vediamo da questo whois ciclico eseguito sull'indirizzo web.
(report sul blog)
sdrbl(dot) com redirige poi su altro sito FastFlux e precisamente
kaciae(dot).com
che attiva una connessione a StatCounter
(img sul blog)[/B]
e nel contempo carica il sito di phishing PosteIT
(img sul blog)
che dimostra anche un certo livello di verifica dei dai inseriti.
(img sul blog)[/B]
In pratica abbiamo quindi:
Una mail scritta in buon italiano, un sito di phishing che attua una verifica anche se parziale dei dati digitati (cosa poco comune in questo genere di pagine di login fasulle che di solito accettano qualunque testo digitato) e per finire, e questa e' la cosa piu' rilevante, un utilizzo doppio (sia nel redirect che nel sito finale) di fastFlux che potrebbe rendere praticamente impossibile una messa offline del phishing visto ora.
Come si vede si tratta di una azione ai danni di PosteIT certamente di rilievo rispetto al 'normale' phishing che propone siti che al massimo restano online un giorno o due.
Edgar :D
fonte: http://edetools.blogspot.com/2009/07/anche-per-posteit-phishing-con-fastflux.html
NB. Anche se alcuni links sono in chiaro usate attenzione nel visitare le pagine in quanto si tratta pur sempre di sito fastflux di probabile botnet che potrebbe anche cambiare contenuti passando da phishing a qualcosa di piu' pericoloso (exploit, ecc....).
Era gia' successo in questi ultimi giorni che alcuni siti di phishing utilizzassero ampiamente la tecnica FastFlux con variazione dell'IP del sito linkato per colpire ad esempio Banca Intesa San Paolo.(phishing ormai attivo da qualche giorno e con il sito
mltjd(dot)com
perfettamente raggiungibile anche questa mattina ).
E' di oggi la ricezione di una mail di phishing ai danni di poste IT
(img sul blog)
che sfrutta come primo redirect questo link a:
sdrbl(dot)com
che utilizza fastflux come vediamo da questo whois ciclico eseguito sull'indirizzo web.
(report sul blog)
sdrbl(dot) com redirige poi su altro sito FastFlux e precisamente
kaciae(dot).com
che attiva una connessione a StatCounter
(img sul blog)[/B]
e nel contempo carica il sito di phishing PosteIT
(img sul blog)
che dimostra anche un certo livello di verifica dei dai inseriti.
(img sul blog)[/B]
In pratica abbiamo quindi:
Una mail scritta in buon italiano, un sito di phishing che attua una verifica anche se parziale dei dati digitati (cosa poco comune in questo genere di pagine di login fasulle che di solito accettano qualunque testo digitato) e per finire, e questa e' la cosa piu' rilevante, un utilizzo doppio (sia nel redirect che nel sito finale) di fastFlux che potrebbe rendere praticamente impossibile una messa offline del phishing visto ora.
Come si vede si tratta di una azione ai danni di PosteIT certamente di rilievo rispetto al 'normale' phishing che propone siti che al massimo restano online un giorno o due.
Edgar :D
fonte: http://edetools.blogspot.com/2009/07/anche-per-posteit-phishing-con-fastflux.html