In arrivo una nuova ondata di SMS truffa che hanno lo scopo di svuotare il tuo conto Banco Posta. Analisi dell’ondata di Aprile/Maggio 2022.
La procedura ingannevole ai danni dei clienti di Poste Italiane è la stessa descritta nel dettaglio nel nostro articolo di 3 mesi fa Poste Italiane, ritorna la campagna di smishing.
In questo articolo approfondiremo l’analisi del dominio (preview-domain.com) e le tecniche utilizzate dagli hacker per mascherare la propria identità.
Il sottodominio incriminato questa volta è “lmmettl-velflca-pst-pp-bp-com.preview-domain.com“, l’host è gestito da uno dei servizi cdn gratuiti più noti, ovvero “cloud-flare”.
Questa tecnica è utilizzata, nella maggior parte delle volte a fin di bene, per mascherare l’indirizzo del server reale.
Come tutti i servizi gratuiti, anche CloudFlare lascia la possibilità di passare a soluzioni a pagamento che diano maggiore affidabilità, lasciando quindi qualche piccola falla nelle soluzioni gratuite.
Non descriveremo in questo articolo nessuna tecnica illegale per ricavare l’indirizzo IP reale del server SCAM, ma lo faremo solo e solamente per legittima difesa.
E’ così che abbiamo scoperto che il server, che inizialmente sembrava essere dislocato negli Stati Uniti, in realtà è gestito da una organizzazione tedesca con server in Irlanda presso un datacenter Amazon.
Le tracce si perdono qui, si tratta quindi di un classico sito realizzato da ignoti, anche se analizzando il codice HTML, ed il nome delle cartelle utilizzate, supponiamo che si tratti di programmatori italiani.
Approfondisci la tua conoscenza sullo smishing grazie a Matrice Digitale, ti consigliamo questi articoli: