Archives for aprile, 2011
Phisher profiling II
venerdì, aprile 8th, 2011
Avevo già accennato (post “Phisher profiling“) alla possibilità di fare profiling sugli autori del phishing in base ai rilievi svolti nell’analisi di una moltitudine di casi.
Il post odierno di Edgar (Phishing Cariparma con redirect gestito da Easy Content f.m. (aggiornamento 8 aprile)) mi da lo spunto per parlarne ancora.
Edgar esamina gli attacchi a CaRiParma rilevati [...]
Ancora Banca Popolare dell’Emilia Romagna (BPER)
lunedì, aprile 4th, 2011
Verificando i db di segnalazioni si trova un nuovo attacco di phishing ai clienti della Banca Popolare dell’Emilia Romagna.
Il clone è stato inserito sul medesimo server usato per l’attacco del primo aprile, ma in un differente sito
Il titolare dei domini è stato avvisato questa mattina, spero mi possa passare i sorgenti del kit, così magari [...]
Mediolanum via FreePBX
lunedì, aprile 4th, 2011
Oggi mi ha scritto la (falsa) Banca Mediolanum chiedendomi di procedere ad un controllo della mia identità elettronica a causa del furto di identità elettroniche
Il link porta ad un file di redirect inserito in un FreePBX/Asterix.
In passato avevo trattato questa piattaforma con un articolo dove descrivevo la possibilità di caricare file accedendo ai pannelli di [...]
I phisher di Poste hanno il senso dell’umorismo
lunedì, aprile 4th, 2011
Ieri con Edgar guardavamo alcuni kit di phishing individuati in siti utilizzati dai criminali che colpiscono i clienti di Poste Italiane.
Tralasciando la complessità strutturale di un kit che compresso ha la dimensione di quasi 9 MB (!!80!!) dov’è la nota comica?
se il visitatore giunge sulla pagina da due ip ben definiti viene reindirizzato su una [...]
Nei giorni scorsi BPER e Valsabbina
lunedì, aprile 4th, 2011
Nei giorni scorsi nonha operato solo l’R-Team.
Vi è stata infatti l’attività riportata da Edgar nei confronti della Banca Popolare dell’Emilia Romagna (articolo Edgar 2/4/11). La segnalazione sui db on-line è del primo aprile ed oggi 4 aprile (HashBot file c2ee4550a3) , il sito clone è ancora on-line, sebbene sia stato inoculato in un sito italiano!!
C’è poi l’attacco [...]
Piccole news per l’R-Team
lunedì, aprile 4th, 2011
Qualche piccola news dal 28 marzo, data dell’ultimo post, ad oggi:
L’host iraniano di cui parlavamo era 213.207.244.253 (lo indico perchè da qualche giorno non è più raggiungibile).
Come avevo raccontato il 28 marzo il link di attacco presente nelle mail puntava, dal 25 al 27, a
http://213.207.244.253/Miscs/Images/ardess.html
mentre dal 28 il redirect era stato spostato nella root del [...]
