[NEWS] Aggiornamento Phishing 21 agosto 09

[Edgar Bangkok]

venerdì 21 agosto 2009

Sempre molto attivo il phishing ai danni di Banche italiane

Ecco alcuni interessanti casi attuali :

Questa la mail ai danni di Banca Intesa
(img sul blog)
che esaminata nel source



presenta come particolarita' sia il logo della banca
(img sul blog)
che l'icona de numero verde (che non e' assolutamente quello reale di Banca Intesa)
(img sul blog)
ottenuti linkado immagini .gif da siti italiani, come vediamo dalle relative url.

Per quanto si riferisce poi al sito di phishing
(img sul blog)
questo e' hostato su server che un whois identifica come appartenente ad Ente italiano, gia visto nei giorni scorsi, su questo post.
Ecco un dettaglio dei DNS utilizzati per accedere al sito di phishing:



In pratica, in questo caso, non abbiamo l'utilizzo di sito compromesso, ma praticamente un uso vero e proprio di hosting 'nascosto', su server IT.

Questa invece una mail ai danni di CartaSI
(img sul blog)
che sfrutta un sito USA compromesso per hostare il sito di phishing.

Esaminando la struttura del sito abbiamo pero' la sorpresa di trovare anche un completo 'KIT' di phishing ai danni della Banca Popolare di Vicenza



Ricordo che nelle ultime settimane il phishing ai danni della BPV e' molto attivo, come gia evidenziato in questo post.

Il file zip contiene, come vediamo dallo screenshot, tutto il necessario per mettere online il phishing ai danni della BPV



mentre ecco un dettaglio del codice php (aggiornato al 21 agosto)



che esegue l'invio tramite @gmail dei dati sottratti a chi si loggasse al falso sito della banca.

Per finire ecco la homepage , su segnalazione Filoutage, di un phishing ai danni di PayPal , che utilizza sito IT compromesso
(img sul blog)

Edgar

fonte: http://edetools.blogspot.com/2009/08...agosto-09.html