Arriva un’email, che sembra una normale email di phishing, dal seguente contenuto:
1) abbiamo rilevato un accesso al tuo account di poste italiane
2) clicca qui per controllare (il link è uno short-url, nella specie appoggiato su bit.ly, ed appare “Poste Italiane”)
3) cliccando sul link, effettivamente si apre il sito delle Poste.
Cosa è successo?
Attraverso unfurlr è possibile controllare gli url accorciati e nella specie si scopre che:
a) il sito effettivamente apre il sito ufficiale delle Poste, ma ci arriva dopo un rapido re-direct
b) prima, infatti, quell’url accorciato passa rapidamente da un sito malevolo che:
b1) verifica chi ha cliccato il link, mediante un id univoco della email, passato come parametro GET del link stesso (capisce quindi se l’indirizzo email del destinatario evidenziato nella email di phishing è un account di Poste)
b2) carpisce informazioni sul computer della vittima (sistema operativo, browser utilizzato ecc.)
b3) con l’occasione, tenta di infettare il computer della vittima con script malevolo
b4) inoltra infine l’utente verso il sito delle poste attraverso un redirect 301
Buona fortuna.
0 Comment