Di solito queste pagine di phishing sono ospitate su siti compromessi ed in maniera minore su domini creati allo scopo dai phishers.
In questi screenshots vediamo come un semplice form di login, chiaramente fasullo, venga proposto associandolo a multiple mailbox
a Gdrive
ecc....
Si tratta comunque di siti fake dal codice abbastanza semplice e costituito da pochi files e quindi facilmente uploadabili su sito compromesso.
E' il caso di questo sito compromesso
su IP
che presenta incluso questo semplice phishing di cui vediamo la struttura
con anche la presenza del KIT di phishing lasciato online.
Questa la fake pagina di phishing ai servizi Google in lingua italiana
molto simile all'originale
e che acquisisce le credenziali di accesso a Google.Una volta confermato il falso login si viene linkati al reale sito Google in lingua inglese.
Come visto in precedenza e' presente il KIT di phishing che possiamo analizzare.Si tratta di file zip contenente i files che costituiscono il clone Google e che vediamo in dettaglio
Questo il source del file php che esegue l'invio delle credenziali sottratte
Come curiosita' si nota che sia il testo costituente l'indirizzo mail a cui vengono inviate le credenziali che del testo presente nel codice ricercato in rete, parrebbe essere in lingua nigeriana.
Come sempre scopo di questo genere di phishing che risulta negli ultimi mesi essere una importante percentuale sul phishing totale in rete, e' quello di acquisire indirizzi mail validi da utilizzare in campagne di spam ma, cosa piu' importante, accedere in maniera fraudolenta a mailbox ma anche altri servizi online.Ad esempio l'accesso all'account Google riguarda non solo la webmail ma anche Gplus, Gdrive e documenti condivisi ecc... senza considerare che frequentemente la stessa password viene usata dagli utenti Internet per accedere a piu' servizi sensibili come home banking ecc...
Edgar