[NEWS] Phishing: il caso Banca Generali

c.m.g · 04-06-2009, 08:02

4 giugno 2009 – 1:17 am

Un semplice errore di digitazione dell’indirizzo web potrebbe costare caro agli utenti di Banca Generali. Anti-Phishing Italia ha infatti rilevato grazie anche ad una segnalazione giunta nel corso della giornata di martedì 2 giugno scorso, della presenza in Rete di quattro nomi a dominio con suffisso .it simili al vero sito web bancagenali.it che indirizzano invece l’utente verso un apposito sito clone ospitato in un server francese.

I domini in questione sono i seguenti:

www.bacagenerali.it
www.banagenerali.it
www.bnacagenerali.it (dominio segnalato ma non funzionante)

In tutti e tre i casi è presente un’alterazione della parola banca, quindi è sufficiente dimenticare la lettera “n” a casua di una digitazione veloce o distratta per trovarsi di fronte al sito al sito di Banca Generali, unica differenza che è gestito da phisher. Analizzando i domini segnalati è stato possibile individuare un quarto dominio, il più importante, bncagenerali.it il quale ha il compito di redirect per gli altri.

Ossia digitando bacagenerali.it l’utente è inizialmente trasportato in bncagenerali.it per poi finire nel sito clone. I quattro siti segnalati direttamente all’istituto di credito nella stessa giornata di rilevamento restano al momento ancora attivi e raggiungibili, ad ogni modo si spera in una rapida chiusura. Non si conosce al momento la natura dei domini rilevati in particolare se ci sia stata un infiltrazione segreta da parte di phisher nella gestione di tali spazi web. Eventuali ulteriori informazioni nelle prossime ore.

Fonte: Anti-Phishing Italia

Edgar Bangkok · 04-06-2009, 12:25

Un interessante caso di typosquatting con relativo phishing e' segnalato oggi da http://www.anti-phishing.it/

Si tratta di alcuni indirizzi web che copiano nel nome la reale url di Banca Generali confidando in un errore di digitazione che porterebbe chi lo ha commesso invece che sul reale sito della banca su di un sito fasullo di phishing.

Vediamo qualche dettaglio

Due degli indirizzi web ancora attualmente attivi presentano whois
(whois sul blog)
che ricondurrebbero a registrar italiano.

Se consideriamo la data presente nel whois attendibile, si tratta, come si vede di due nomi di dominio creati in passato (fine 2008), per probabili azioni di typosquatting.

Da questi due domini, hostati entrambi su
(whois sul blog)
si viene poi rediretti su ulteriore dominio sempre su medesimo IP
(log sul blog)
che punta a questo IP francese
(whois sul blog)
dove e' hostato il sito di phishing

Al momento di scrivere il post le url di typosquatting sono sempre attive anche se non dovrebbe essere difficile bloccare gia' il primo redirect che, come visto parrebbe trovarsi su server IT.

Edgar

fonte: http://edetools.blogspot.com/2009/06...-danni-di.html

Edgar Bangkok · 05-06-2009, 04:53

A quasi tre giorni dalla segnalazione (Antiphishing Italia riporta infatti '.......segnalazione giunta nel corso della giornata di martedi' 2 giugno....' ) continuano stranamente a rimanere online i siti typosquatting che redirigono al phishing ai danni di Banca Generali.

Sembrerebbero infatti ancora attivi i due domini gia' visti in precedenza e precisamente

Codice:

 www.bacagenerali.it e www.banagenerali.it

e quello che successivamente attua il redirect su falso sito della banca hostato in Francia anche se c'e' da segnalare che, ad esempio, Firefox, evidenzia il pericolo phishing con questa schermata di avviso
(img sul blog)

Edgar

fonte: http://edetools.blogspot.com/2009/06...tting-con.html

Edgar Bangkok · 05-06-2009, 05:57

venerdì 5 giugno 2009

Sembra che si stia attraversando un momento di attivita' di phishing ai danni di banche italiane, veramente intensa.

Ecco che oggi, oltre ad una nuova mail ai danni di PosteIT (server offline) , eccone una ai danni di CartaSI
(img sul blog)
Anche se al momento l'account risulta essere sospeso, credo sia interessante il fatto che la mail di CartaSi linka direttamente a sito di phishing , che, guarda caso, anche questa volta punta a range IP
(img sul blog)
simile a quello dell'attuale typosquatting ai danni di Banca Generali, ed anche un whois conferma stesso service provider
(img sul blog)
Questo potrebbe significare anche una origine comune per chi gestisce queste azioni di phishing delle ultime ore.

Edgar

fonte: http://edetools.blogspot.com/2009/06...ed-alcune.html

Edgar Bangkok · 17-06-2009, 03:51

Comparsi due nuovi siti di typosquatting con il server della pagina di phishing locato adesso in USA. (dopo Francia e Olanda).

Stranamente sono sempre online i siti su server IT che propongono il redirect sul sito di phishig tramite nomi di url simili a quello di Banca Generali.

Edgar

fonte : http://edetools.blogspot.com/2009/06...ing-ai_16.html

04-06-2009, 08:02	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	[NEWS] Phishing: il caso Banca Generali 4 giugno 2009 – 1:17 am Un semplice errore di digitazione dell’indirizzo web potrebbe costare caro agli utenti di Banca Generali. Anti-Phishing Italia ha infatti rilevato grazie anche ad una segnalazione giunta nel corso della giornata di martedì 2 giugno scorso, della presenza in Rete di quattro nomi a dominio con suffisso .it simili al vero sito web bancagenali.it che indirizzano invece l’utente verso un apposito sito clone ospitato in un server francese. I domini in questione sono i seguenti: www.bacagenerali.it www.banagenerali.it www.bnacagenerali.it (dominio segnalato ma non funzionante) In tutti e tre i casi è presente un’alterazione della parola banca, quindi è sufficiente dimenticare la lettera “n” a casua di una digitazione veloce o distratta per trovarsi di fronte al sito al sito di Banca Generali, unica differenza che è gestito da phisher. Analizzando i domini segnalati è stato possibile individuare un quarto dominio, il più importante, bncagenerali.it il quale ha il compito di redirect per gli altri. Ossia digitando bacagenerali.it l’utente è inizialmente trasportato in bncagenerali.it per poi finire nel sito clone. I quattro siti segnalati direttamente all’istituto di credito nella stessa giornata di rilevamento restano al momento ancora attivi e raggiungibili, ad ogni modo si spera in una rapida chiusura. Non si conosce al momento la natura dei domini rilevati in particolare se ci sia stata un infiltrazione segreta da parte di phisher nella gestione di tali spazi web. Eventuali ulteriori informazioni nelle prossime ore. Fonte: Anti-Phishing Italia __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

04-06-2009, 12:25	#2
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Qualche ulteriore dettaglio Un interessante caso di typosquatting con relativo phishing e' segnalato oggi da http://www.anti-phishing.it/ Si tratta di alcuni indirizzi web che copiano nel nome la reale url di Banca Generali confidando in un errore di digitazione che porterebbe chi lo ha commesso invece che sul reale sito della banca su di un sito fasullo di phishing. Vediamo qualche dettaglio Due degli indirizzi web ancora attualmente attivi presentano whois (whois sul blog) che ricondurrebbero a registrar italiano. Se consideriamo la data presente nel whois attendibile, si tratta, come si vede di due nomi di dominio creati in passato (fine 2008), per probabili azioni di typosquatting. Da questi due domini, hostati entrambi su (whois sul blog) si viene poi rediretti su ulteriore dominio sempre su medesimo IP (log sul blog) che punta a questo IP francese (whois sul blog) dove e' hostato il sito di phishing Al momento di scrivere il post le url di typosquatting sono sempre attive anche se non dovrebbe essere difficile bloccare gia' il primo redirect che, come visto parrebbe trovarsi su server IT. Edgar fonte: http://edetools.blogspot.com/2009/06...-danni-di.html __________________ http://edetools.blogspot.com/

05-06-2009, 04:53	#3
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Aggiornamento typosquatting con phishing ai danni di Banca Generali A quasi tre giorni dalla segnalazione (Antiphishing Italia riporta infatti '.......segnalazione giunta nel corso della giornata di martedi' 2 giugno....' ) continuano stranamente a rimanere online i siti typosquatting che redirigono al phishing ai danni di Banca Generali. Sembrerebbero infatti ancora attivi i due domini gia' visti in precedenza e precisamente Codice: www.bacagenerali.it e www.banagenerali.it e quello che successivamente attua il redirect su falso sito della banca hostato in Francia anche se c'e' da segnalare che, ad esempio, Firefox, evidenzia il pericolo phishing con questa schermata di avviso (img sul blog) Edgar fonte: http://edetools.blogspot.com/2009/06...tting-con.html __________________ http://edetools.blogspot.com/

05-06-2009, 05:57	#4
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	[NEWS] Nuovo phishing CartaSI ed alcune analogie con typosquatting Banca Generali venerdì 5 giugno 2009 Sembra che si stia attraversando un momento di attivita' di phishing ai danni di banche italiane, veramente intensa. Ecco che oggi, oltre ad una nuova mail ai danni di PosteIT (server offline) , eccone una ai danni di CartaSI (img sul blog) Anche se al momento l'account risulta essere sospeso, credo sia interessante il fatto che la mail di CartaSi linka direttamente a sito di phishing , che, guarda caso, anche questa volta punta a range IP (img sul blog) simile a quello dell'attuale typosquatting ai danni di Banca Generali, ed anche un whois conferma stesso service provider (img sul blog) Questo potrebbe significare anche una origine comune per chi gestisce queste azioni di phishing delle ultime ore. Edgar fonte: http://edetools.blogspot.com/2009/06...ed-alcune.html __________________ http://edetools.blogspot.com/

17-06-2009, 03:51	#5
Edgar Bangkok Senior Member Iscritto dal: Sep 2007 Messaggi: 467	Aggiornamento 17 6 Comparsi due nuovi siti di typosquatting con il server della pagina di phishing locato adesso in USA. (dopo Francia e Olanda). Stranamente sono sempre online i siti su server IT che propongono il redirect sul sito di phishig tramite nomi di url simili a quello di Banca Generali. *Edgar* fonte : http://edetools.blogspot.com/2009/06...ing-ai_16.html __________________ http://edetools.blogspot.com/

Strumenti
Mostra una versione stampabile Invia questa pagina per email