Phishing con presenza di files di log

Capita abbastanza spesso che l’azione di monitoraggio D3Lab dei casi di phishing rilevi files, quasi sempre in formato txt, contenenti dettagli sulla connessioni al clone da parte di chi è caduto nel phishing.
Detti files sono raggiungibili e scaricabili direttamente dal browser e presentano una ampia varietà di dati che vanno da un semplice elenco di indirizzi IP di chi ha visitato il clone di phishing (a volte con il dettaglio della geo-referenziazione)

soloip
sino a contenuti più complessi che propongono l’indicazione del Sistema Operativo usato, il nome del browser, la mail di riferimento del visitatore ecc..

Questo l’attuale contenuto di un file .txt abbastanza complesso

logbig

collegato a questo semplice ma diffuso clone di phishing ai danni di azienda italiana emittente carte di prepagate.

form

Si può notare come ci siano diverse informazioni interessanti che permettono di estrarre ad esempio la distribuzione degli IP in base  alla geo-referenziazione che e’ in massima parte IT

ipnum

o ancora il sistema operativo usato che conferma il diffuso utilizzo di dispositivi mobili quali tablet e telefoni cellulari da parte di utenti internet che hanno avuto accesso al form di phishing.

sopie
Nel caso particolare preso in esame abbiamo anche indicato l’indirizzo collegato alla mail di spam di phishing, che potrebbe permettere ai phishers di verificare e selezionare gli indirizzi mail validi da utilizzare in future campagne di phishing spam.

Una così scrupolosa raccolta di informazioni lascia ipotizzare un successivo studio delle informazioni dei visitatori per l’adeguamento e potenziamento delle future campagne di phishing.