Re: [ml] Strano URL utilizzato per il phishing

[Dario Lombardo]

Alessio Cecchi wrote:
Ciao,
mi piace sempre curiosare sulle e-mail di phishing che mi arrivano per capire 
come sono messe in piedi e dove fanno a finire, al fine anche di analizzarle 
per applicare le dovute modifiche al sistema antispam per vedere di 
bloccarle.

Oggi ne ricevo una che rimanda ad uno strano URL:

"http://1503780516/www.bancadiroma.it/verification.html";

E vedo che questo URL risolve correttamente, anche con wget, verso un IP, fino 
a scaricare la pagina oggetto della truffa. L'IP è 89.161.222.164. Quello che 
mi sfugge però è dov'è/qual'è l'hostname?

  
E' molto semplice. Tutti gli indirizzi IP possono essere letti in 
"dotted decimal" (89.161.222.164) o come un intero a 32 bit.
Quindi tu prendi 1503780516, lo trasformi in esadecimale e ottieni 
59A1DEA4. Questo lo leggi come dotted
59.A1.DE.A4, lo riconverti in 4 numeri in base 10 ottenendo l'indirizzo 
suddetto.
E' una tecnica usata dai phisher per gettare fumo negli occhi e far 
concentrare l'attenzione sulla parte "verbosa" e distoglierla dal numero.
Grazie
  
--------------------------------------------------------------------

CONFIDENTIALITY NOTICE

This message and its attachments are addressed solely to the persons above and 
may contain confidential information. If you have received the message in 
error, be informed that any use of the content hereof is prohibited. Please 
return it immediately to the sender and delete the message. Should you have any 
questions, please contact us by replying to [EMAIL PROTECTED]

       Thank you

                                       www.telecomitalia.it

--------------------------------------------------------------------
                       
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List