Discussione Phishing Poste Italiane

Symon_RS

Utente Electrum
8 Agosto 2016
680
15
198
196
Ciao a tutti,
sullo smart ho l'applicazione di poste italiane per poter gestire una postepay.

Oggi mi è arrivato un messaggio dal numero di poste italiane, lo stesso numero usato per comunicarmi di solito gli OTP e altre notifiche riguardo la carta.
Il messaggio conteneva il seguente testo:
"Gentile cliente, la tua Postepay è stata limitata preventivamente, riattivala ora confermando le tue informazioni presso: https://po.steitalia.online"

Ovviamente, sia per il messaggio che per l'url mi è subito puzzato.
La conferma l'ho avuta visitando il link che mi ha portato sul sito dovidschick.com/wp-content/axedi/axedi.php?id=...

Incuriosito dalla cosa ho preso il PC per iniziare a spulciare e mi sono accorto che tentando di visitare i 2 url la pagina faceva un redirect 302 al sito della rai.

Ho provato cosi ad incollare l'url in un messaggio Whatsapp e anche il loro lookup da come anteprima il sito della rai.
Visitando il link con un altra dispositivi mobili invece, vengo reindirizzato a google news.

In sostanza solo provenendo dal mio dispositivo anche omettendo l'id che c'era come parametro get nell'url originale riesco a vedere il sito scam di poste italiane.

Non ho avuto tempo di approfondire meglio ma vorrei riuscire a capire quali parametri utilizzano per effettuare la discriminazione e poter smanacciare un po con il sito da PC simulando quelle condizioni di navigazione.

Spero che possiate aiutarmi a scoprire di più.
 
  • Mi piace
Reazioni: LinuxUser e 0xbro

0xbro

Moderatore
24 Febbraio 2017
3,956
151
2,882
1,525
Ciao a tutti,
sullo smart ho l'applicazione di poste italiane per poter gestire una postepay.

Oggi mi è arrivato un messaggio dal numero di poste italiane, lo stesso numero usato per comunicarmi di solito gli OTP e altre notifiche riguardo la carta.
Il messaggio conteneva il seguente testo:
"Gentile cliente, la tua Postepay è stata limitata preventivamente, riattivala ora confermando le tue informazioni presso: https://po.steitalia.online"

Ovviamente, sia per il messaggio che per l'url mi è subito puzzato.
La conferma l'ho avuta visitando il link che mi ha portato sul sito dovidschick.com/wp-content/axedi/axedi.php?id=...

Incuriosito dalla cosa ho preso il PC per iniziare a spulciare e mi sono accorto che tentando di visitare i 2 url la pagina faceva un redirect 302 al sito della rai.

Ho provato cosi ad incollare l'url in un messaggio Whatsapp e anche il loro lookup da come anteprima il sito della rai.
Visitando il link con un altra dispositivi mobili invece, vengo reindirizzato a google news.

In sostanza solo provenendo dal mio dispositivo anche omettendo l'id che c'era come parametro get nell'url originale riesco a vedere il sito scam di poste italiane.

Non ho avuto tempo di approfondire meglio ma vorrei riuscire a capire quali parametri utilizzano per effettuare la discriminazione e poter smanacciare un po con il sito da PC simulando quelle condizioni di navigazione.

Spero che possiate aiutarmi a scoprire di più.
La discriminante sembra essere l'User-Agent. Attualmente sono da PC ma usando User-Agent: Mozilla/5.0 (Linux; Android 11) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.120 Mobile Safari/537.36 atterro sulla pagina phishing di Poste Italiane. Se uso quello di default di mozilla invece finisco sulla Rai
 
  • Geniale
Reazioni: LinuxUser

0xbro

Moderatore
24 Febbraio 2017
3,956
151
2,882
1,525
E' un ottima tecnica per quanto semplice. Se segnalato passerebbe un controllo superficiale.
Yes, non è la prima volta che mi capita di vedere una cosa del genere ma devo dire che per quanto semplice è sempre molto efficace, soprattutto per evitare la detection di bot/sandbox e meccanismi di questo tipo
 

Higher A

Utente Iron
1 Luglio 2022
5
0
0
1
Non ho ben capito di che tipo di phishing si tratta, qualcuno potrebbe spiegarmelo ?
Messaggio unito automaticamente:

O che tecniche hanno utilizzato
 

0xbro

Moderatore
24 Febbraio 2017
3,956
151
2,882
1,525
Non ho ben capito di che tipo di phishing si tratta, qualcuno potrebbe spiegarmelo ?
Messaggio unito automaticamente:

O che tecniche hanno utilizzato
nulla di che, avevano copiato una pagina delle poste in cui ti facevano mettere la password e te la rubavano. La particolarità è che in base allo User Agent con cui ti presentavi, in alcuni casi ti indirizzavano verso il sito della rai (non so per quale motivo, se per sviare eventuali analisi o per altro).

Il sito di phishing però non esiste più, il dominio in fatti è in vendita