Archives for settembre, 2011
Ancora LOTTOMATICA
lunedì, settembre 26th, 2011
Comincia oggi la terza settimana di attacco consecutiva da parte di R-Team a Lottomatica.
L’attacco più recente è del 23 settembre. In questi tre giorni i file clone sono stati posizionati in due differenti siti, con sei differenti path.
I file php (a.php e b.php) che si occupano di gestire le credenziali sono nello spazio web di [...]
38a settimana 2011
domenica, settembre 25th, 2011
Cronologia degli attacchi 38a settimana
Url fraudolenti correlati agli attacchi della 38a settimana
27 attacchi monitorati, 115 url fraudolenti
Sull’hoster gratuito monitorato:
- 416 domini malevoli
di questi 181 attivi al controllo, fatto in surplus, con 149 falsi Facebook, 14 Habbo, 9 PayPal, resto vari.
In tre per Lottomatica ..anzi quattro
giovedì, settembre 22nd, 2011
L’interesse dell’R-Team per Lottomatica si protrae ormai da oltre due settimane, inequivocabile prova che …rende [sfortunatamente ].
Dal 12 settembre i criminali hanno usato otto differenti redirect, 18 differenti diversi e due server Win Small Business 2003 identificati dai soli indirizzi ip.
La novità più recente, segnalata nei giorni passati da Edgar, era la scomposizione [...]
Spiritosoni…..
giovedì, settembre 22nd, 2011
pagina php usata dai phisher per l’invio delle mail, individuata su server thailandese ospitante pagina php ricevente le credenziali da form locale contro utenti PostePay.
37a settimana 2011
domenica, settembre 18th, 2011
Cronologia degli attacchi 37a settimana
Url fraudolenti correlati agli attacchi della 37a settimana
46 attacchi, 111 url fraudolenti.
Statistica con Fraud Page Tracker
sabato, settembre 17th, 2011
Dal 5 di settembre, Edgar ed io abbiamo attenzionato 41 attacchi
1 CR Bolzano;
4 Poste;
1 Wind;
13 Carta Si;
1 Unicredit;
2 Visa;
5 CR PArma;
1 Libero;
9 Lottomatica;
1 Unicard;
3 PayPal
(di cui 19 ancora attivi, o almeno con i file ancora presenti in siti), rilevando 97 url fraudolente ed acquisendo 112 file con HashBot.
Per attacchi non si considera la singola mail. [...]
PayPal su freehostin
giovedì, settembre 15th, 2011
Il provider di hosting gratuito che sono impegnato a monitorare è oggi utilizzato per attaccare prevalentemente FaceBook, ma non mancano gli attacchi a PayPal.
Le sei pagine individuate, apparentemente identiche, presentano tutte un form con il medesimo url di destinazione
form method=”post” name=”login_form” action=”error_login.php?
cmd=_login-run&dispatch=
5885d80a13c0db1f998ca054efbdf2c29878a435fe324eec2511727fbf3e9efcd8″
una semplice ricerca con la stringa 5885d80a13c0db1f998ca054efbdf2c29878a435fe324eec2511727fbf3e9efcd8 consentirà di individuare su Google un gran [...]
ebay su hosting gratuito
mercoledì, settembre 14th, 2011
Da alcune settimane controllo costantemente le pagine fraudolente che compaiono su alcuni provider che forniscono il servizio di hosting gratuito. Su uno di questi hoster sono comparsi diverse pagine clone volte a colpire gli utenti di ebay.
In entrambi i casi le credenziali catturate sul form sono inviate altrove, ad un file php che le gestirà [...]
36a settimana 2011
domenica, settembre 11th, 2011
Finiamo la settimana con almeno 9 attacchi attivi.
Come abbiamo riportato sia io che Edgar l’R-team è passato a mettere i redirect su un Windows 2003 server sia per Cariparma che per CR Bolzano. Nel primo caso il clone era, ed è tutt’ora, posizionato in un sito israeliano, grazie alla demo di un cms, mentre nel [...]
Phishers love free hosting
venerdì, settembre 9th, 2011
Ebbene si, i phisher amano l’hosting gratuito. E ne trovano disponibilità un po’ ovunque.
Dal primo del mese sono impegnato a monitorare un fornitore di hosting gratuito particolarmente apprezzato dai cattivi, sul quale sono stati accesi ben 333 domini sospetti, di cui 103 sono risultati al controllo essere già stati sospesi (e quindi da considerarsi a [...]
