Edgar Bangkok
21-08-2009, 05:40
venerd́ 21 agosto 2009
Sempre molto attivo il phishing ai danni di Banche italiane
Ecco alcuni interessanti casi attuali :
Questa la mail ai danni di Banca Intesa
(img sul blog)
che esaminata nel source
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2021%208%2009/source.jpg
presenta come particolarita' sia il logo della banca
(img sul blog)
che l'icona de numero verde (che non e' assolutamente quello reale di Banca Intesa)
(img sul blog)
ottenuti linkado immagini .gif da siti italiani, come vediamo dalle relative url.
Per quanto si riferisce poi al sito di phishing
(img sul blog)
questo e' hostato su server che un whois identifica come appartenente ad Ente italiano, gia visto nei giorni scorsi, su questo post (http://edetools.blogspot.com/2009/08/siti-di-phishing-ai-danni-di-banche.html).
Ecco un dettaglio dei DNS utilizzati per accedere al sito di phishing:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2021%208%2009/dnstreeobfu.jpg
In pratica, in questo caso, non abbiamo l'utilizzo di sito compromesso, ma praticamente un uso vero e proprio di hosting 'nascosto', su server IT.
Questa invece una mail ai danni di CartaSI
(img sul blog)
che sfrutta un sito USA compromesso per hostare il sito di phishing.
Esaminando la struttura del sito abbiamo pero' la sorpresa di trovare anche un completo 'KIT' di phishing ai danni della Banca Popolare di Vicenza
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2021%208%2009/3structuraconzip.jpg
Ricordo che nelle ultime settimane il phishing ai danni della BPV e' molto attivo, come gia evidenziato in questo post. (http://edetools.blogspot.com/2009/08/siti-di-phishing-ai-danni-di-banche.html)
Il file zip contiene, come vediamo dallo screenshot, tutto il necessario per mettere online il phishing ai danni della BPV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2021%208%2009/3zipkitphishing.jpg
mentre ecco un dettaglio del codice php (aggiornato al 21 agosto)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2021%208%2009/3phpsendfile.jpg
che esegue l'invio tramite @gmail dei dati sottratti a chi si loggasse al falso sito della banca.
Per finire ecco la homepage , su segnalazione Filoutage, di un phishing ai danni di PayPal , che utilizza sito IT compromesso
(img sul blog)
Edgar :D
fonte: http://edetools.blogspot.com/2009/08/aggiornamento-phishing-21-agosto-09.html
Sempre molto attivo il phishing ai danni di Banche italiane
Ecco alcuni interessanti casi attuali :
Questa la mail ai danni di Banca Intesa
(img sul blog)
che esaminata nel source
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2021%208%2009/source.jpg
presenta come particolarita' sia il logo della banca
(img sul blog)
che l'icona de numero verde (che non e' assolutamente quello reale di Banca Intesa)
(img sul blog)
ottenuti linkado immagini .gif da siti italiani, come vediamo dalle relative url.
Per quanto si riferisce poi al sito di phishing
(img sul blog)
questo e' hostato su server che un whois identifica come appartenente ad Ente italiano, gia visto nei giorni scorsi, su questo post (http://edetools.blogspot.com/2009/08/siti-di-phishing-ai-danni-di-banche.html).
Ecco un dettaglio dei DNS utilizzati per accedere al sito di phishing:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2021%208%2009/dnstreeobfu.jpg
In pratica, in questo caso, non abbiamo l'utilizzo di sito compromesso, ma praticamente un uso vero e proprio di hosting 'nascosto', su server IT.
Questa invece una mail ai danni di CartaSI
(img sul blog)
che sfrutta un sito USA compromesso per hostare il sito di phishing.
Esaminando la struttura del sito abbiamo pero' la sorpresa di trovare anche un completo 'KIT' di phishing ai danni della Banca Popolare di Vicenza
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2021%208%2009/3structuraconzip.jpg
Ricordo che nelle ultime settimane il phishing ai danni della BPV e' molto attivo, come gia evidenziato in questo post. (http://edetools.blogspot.com/2009/08/siti-di-phishing-ai-danni-di-banche.html)
Il file zip contiene, come vediamo dallo screenshot, tutto il necessario per mettere online il phishing ai danni della BPV
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2021%208%2009/3zipkitphishing.jpg
mentre ecco un dettaglio del codice php (aggiornato al 21 agosto)
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/phishing%2021%208%2009/3phpsendfile.jpg
che esegue l'invio tramite @gmail dei dati sottratti a chi si loggasse al falso sito della banca.
Per finire ecco la homepage , su segnalazione Filoutage, di un phishing ai danni di PayPal , che utilizza sito IT compromesso
(img sul blog)
Edgar :D
fonte: http://edetools.blogspot.com/2009/08/aggiornamento-phishing-21-agosto-09.html