[NEWS] Ancora Phishing CartaSi ma non solo

Edgar Bangkok · 18-03-2009, 10:52

mercoledì 18 marzo 2009

Ricevuta l'ennesima mail ai danni di CartaSi che questa volta permette pero', di analizzare alcuni interessanti files collegati all'invio di questo genere di mails.

Ecco la mail ricevuta
(img sul blog)
che propone, ricalcando il tema del bonus in denaro visto sulle mails ai danni di PosteIT, un premio che ci verra' accreditato accedendo al nostro account di CartaSi.

Esaminiamo piu' in dettaglio il sorgente della mail

Abbiamo sia il link all'immagine costituente il messaggio di CartaSi (in giallo) che il link al sito di phishing vero e proprio.(in rosso)

La caratteristica di ospitare l'immagine che compone il messaggio mail su differente server, come in questo caso, e' cosa molto praticata da chi crea siti di phishing.
Ed ecco come si presenta il contenuto del sito compromesso che ospita appunto l'immagine che simula il testo del messaggio in mail.

Si notano subito, ordinando il contenuto per data, diversi recentissimi files (data di ieri)
Abbiamo oltre al file jpg che ritroviamo come testo della mail,
(img sul blog)
anche
(img sul blog)
(img sul blog)
(img sul blog)
che potrebbero essere eventuali alternative al phishing CartaSi gia usate in passato.

A completare il contenuto del folder c'e' pero' un'altra interessante novita'; si tratta di 6 files compressi che al loro interno presentano un file di testo di una decina di mega, ognuno dei quali contiene circa 10.000 indirizzi mails di utenti internet italiani di hotmail.

Ecco un dettaglio di uno dei files

i cui indirizzi mail sono appunto una delle probabili sorgenti dell'invio di mails di phishing.

Inoltre alcuni files php presenti sono in realta codici della shell r57
(img sul blog)
per la gestione dei contenuti inseriti nel sito compromesso.

Il sito di phishing vero e proprio, che viene raggiunto tramite un redirect passando per questo sito

si trova invece su sito compromesso con whois
(img sul blog)
Ed ecco un dettaglio del contenuto
(img sul blog)
con la consueta pagina di falso login a CartaSi.

Edgar

Fonte: http://edetools.blogspot.com/2009/03...-non-solo.html

Edgar Bangkok · 19-03-2009, 11:08

Anti-Phishing Italia ha rilevato la diffusione di un e-mail truffa ai danni di UBI Banca il cui messaggio sarebbe costituito da una immagine identica ad una di quelle individuate ieri e archiviata su sito compromesso di cui scrivo nel precedente post.

Questa immagine, o comunque una identica come soggetto

viene infatti utilizzata in una nuova mail di phishing in circolazione da poche ore.

Ricordo che le immagini rilevate sul sito compromesso, insieme a circa 60.000 indirizzi mails hotmail di utenti italiani, erano anche

e

il che farebbe pensare ad ulteriori possibili invii di phishing ai danni di altri istituti bancari o PosteIT.

Edgar

fonte: http://edetools.blogspot.com/2009/03...g-cartasi.html

18-03-2009, 10:52	#1
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Ancora Phishing CartaSi ma non solo mercoledì 18 marzo 2009 Ricevuta l'ennesima mail ai danni di CartaSi che questa volta permette pero', di analizzare alcuni interessanti files collegati all'invio di questo genere di mails. Ecco la mail ricevuta (img sul blog) che propone, ricalcando il tema del bonus in denaro visto sulle mails ai danni di PosteIT, un premio che ci verra' accreditato accedendo al nostro account di CartaSi. Esaminiamo piu' in dettaglio il sorgente della mail Abbiamo sia il link all'immagine costituente il messaggio di CartaSi (in giallo) che il link al sito di phishing vero e proprio.(in rosso) La caratteristica di ospitare l'immagine che compone il messaggio mail su differente server, come in questo caso, e' cosa molto praticata da chi crea siti di phishing. Ed ecco come si presenta il contenuto del sito compromesso che ospita appunto l'immagine che simula il testo del messaggio in mail. Si notano subito, ordinando il contenuto per data, diversi recentissimi files (data di ieri) Abbiamo oltre al file jpg che ritroviamo come testo della mail, (img sul blog) anche (img sul blog) (img sul blog) (img sul blog) che potrebbero essere eventuali alternative al phishing CartaSi gia usate in passato. A completare il contenuto del folder c'e' pero' un'altra interessante novita'; si tratta di 6 files compressi che al loro interno presentano un file di testo di una decina di mega, ognuno dei quali contiene circa 10.000 indirizzi mails di utenti internet italiani di hotmail. Ecco un dettaglio di uno dei files i cui indirizzi mail sono appunto una delle probabili sorgenti dell'invio di mails di phishing. Inoltre alcuni files php presenti sono in realta codici della shell r57 (img sul blog) per la gestione dei contenuti inseriti nel sito compromesso. Il sito di phishing vero e proprio, che viene raggiunto tramite un redirect passando per questo sito si trova invece su sito compromesso con whois (img sul blog) Ed ecco un dettaglio del contenuto (img sul blog) con la consueta pagina di falso login a CartaSi. *Edgar* Fonte: http://edetools.blogspot.com/2009/03...-non-solo.html __________________ http://edetools.blogspot.com/

19-03-2009, 11:08	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Aggiornamento 19 marzo Anti-Phishing Italia ha rilevato la diffusione di un e-mail truffa ai danni di UBI Banca il cui messaggio sarebbe costituito da una immagine identica ad una di quelle individuate ieri e archiviata su sito compromesso di cui scrivo nel precedente post. Questa immagine, o comunque una identica come soggetto viene infatti utilizzata in una nuova mail di phishing in circolazione da poche ore. Ricordo che le immagini rilevate sul sito compromesso, insieme a circa 60.000 indirizzi mails hotmail di utenti italiani, erano anche e il che farebbe pensare ad ulteriori possibili invii di phishing ai danni di altri istituti bancari o PosteIT. *Edgar* fonte: http://edetools.blogspot.com/2009/03...g-cartasi.html __________________ http://edetools.blogspot.com/

Strumenti
Mostra una versione stampabile Invia questa pagina per email