|
|||||||
|
|
|
 |
|
|
Strumenti |
30-05-2008, 06:28
|
#1 |
|
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
[NEWS] Phishing e file zip
30 maggio 2008
Ricevute tre nuove mails di phishing rispettivamente 2 ai danni di Paypal.it e una ai danni del gruppo Bancario UBI A parte il solito tentativo di phishing che cerca di far loggare sul falso sito chi riceve la mail, vale la pena analizzare due di questi siti che presentano alcune sorprese Il primo e' relativo alla falsa mail di QuiUbi Questa e' la homepage di phishing hostata su server in USA (img sul blog) E' interessante notare la struttura del sito stesso che riporta nel folder DAPTRERT la pagina di login (img sul blog) ma che in un folder di livello superiore a questo riporta anche un login ad un sito di phishing ai danni di yahoo mail (img sul blog) Molto piu' interessante e' invece il phishing ai danni di Paypal che sembra essere ospitato su un sito di universita' della Mongolia (Ulanbaatar (la capitale), anche se hostato su dominio della Corea.(KR) (img sul blog) Questa volta chi ha creato il sito di phishing su questo server ci ha messo a disposizione, sicuramente senza volerlo, il modo di analizzarne nei dettagli la struttura completa Per prima cosa possiamo vedere che il sito di phishing e' contenuto in un folder creato appositamente in data recente ed esaminandone il contenuto si nota la presenza del file ppit.zip che scaricato ed aperto dimostra di essere la copia compressa del sito di phishing molto probabilmente utilizzata per l'installazione dello stesso (img sul blog) Analizzando il contenuto del file zip, tra le altre cose, notiamo il file samris.php che contiene le istruzioni utilizzate per creare ed inviare i dati sensibili catturati dal sito di phishing ad una mail @gmail creata appositamente allo scopo ed anche un file immagine che, come vedremo, riproduce una falsa captcha che verra' utilizzata al momento della acquisizione dei nostri dati riservati per aumentare la credibilita' dell'operazione (img sul blog) Inoltre nello zip possiamo vedere tutta la struttura del sito di phishing con i relativi files html e php necessari al suo funzionamento Sullo stesso folder abbiamo inoltre la presenza del file loginsecure.htm che punta ad altro server che hostava sito di phishing ma che ora e' offline (e' presente una scritta di avviso che informa del blocco della pagina in quanto phishing) ed inoltre il folder secure.acc che contiene l'attuale falso sito di Paypal.it (img sul blog) Questa e' la pagina di acquisizione dei dati riservati (img sul blog) che come vediamo ci mostra la falsa captcha, che in realta' non e' altro che il file immagine visto prima e che e' stato messo li solo per cercare di ingannare maggiormente chi immette i propri dati nel form. Tra l'altro se si clicca sulla piccola icona dell'altoparlante viene scaricato un file wav dal sito originale Paypal che riproduce , in inglese, il testo della falsa captcha Questo e' possibile perche' chi ha realizzato il sito di phishing ha provveduto a salvare nel sorgente della pagina il codice (img sul blog) che carica un file wav esattamente corrispondente alle lettere presenti nella captcha. Edgar  fonte http://edetools.blogspot.com/ |
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:32.
