|
|||||||
|
|
|
 |
|
|
Strumenti |
23-07-2009, 08:31
|
#1 |
|
Senior Member
Iscritto dal: Sep 2007
Messaggi: 467
|
[NEWS] Un interessante sito di phishing ai danni di PosteIT (23 luglio 09)
giovedì 23 luglio 2009
Si tratta di questo sito di phishing ai danni di PosteIT segnalatomi da Filoutage (img sul blog) che, anche se dal layout parecchio datato, ci permette di verificare alcune interessanti caratteristiche della sua struttura. Come prima particolarita' abbiamo che il phishing e' hostato su sito di una certa importanza in quanto non si tratta di sito commerciale ma governativo con whois (img sul blog) Ecco un dettaglio della homepage, che sembrerebbe ancora in fase di sviluppo, (img sul blog) e che appartiene ad un ministero che si occupa di 'Housing and Municipal Economy'. L'ambiente di sviluppo utilizzato sembrerebbe (img sul blog) e del quale possiamo trovare in rete la descrizione di alcune vulnerabilita presenti, forse utilizzate per inserire il phishing all'interno del sito stesso. La struttura del sito si dimostra invece molto interessante in quanto questa volta possiamo rilevare anche la presenza del file zip  contenente il 'kit' di distribuzione del falso sito PosteIT In particolare si nota dalle date dei files inclusi nel 'KIT' che si tratta di una vecchia versione datata 2007 (molto utilizzata in passato) ma che presenta, come c'era da aspettarsi, gli aggiornamenti relativi alla destinazione finale dei dati acquisiti , piu' un tipico file thumbs.db (relativo alle miniature dei file grafici presenti nel folder) anche questo in data bastanza recente essendosi probabilmente generato in automatico quando il folder e' stato trasferito su disco per le modifiche o per trasferire i files. Attraverso una utility freeware possiamo esaminare il contenuto del file thumbs.db che ci conferma quanto supposto (img sul blog) Esaminando nel dettagli i due files piu' recenti (data di ieri) abbiamo invece la conferma degli aggiornamenti a cui sono stati sottoposti e precisamente index.php  dove si notano gli indirizzi mails a cui recapitare i dati acquisiti durante la nuova sessione di phishing. Come si nota questa volta compaiono due indirizzi e-mail forse per garantirsi meglio sul ricevimento dei dati sensibili catturati dal falso login. Lo stesso file contiene anche alcune verifiche sui dati forniti da chi si e' loggato al falso sito PosteIT per verifcarne l'attendibilta': (img sul blog) Il secondo file invece attua il redirect al sito ufficiale di PosteIT dopo che si sono confermati i dati di login (img sul blog) Ad un livello superiore di folder sul sito che ospita il phishing abbiamo invece questa pagina di login che conferma l'ambiente di sviluppo probabilmente utilizzato per gestire il sito governativo. (img sul blog) Edgar  fonte: http://edetools.blogspot.com/2009/07...ishing-ai.html Ultima modifica di Edgar Bangkok : 23-07-2009 alle 08:37. |
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:57.
