On 9/27/11 11:10 AM, s@mba wrote:
> Ciao a tutti,
> vorrei capire se questo sito sta effettivamente facendo phishing o no:
> http://www.glandorepartners.com/
> 
> Recentemente ho ricevuto una mail diretta unicamente a me che mi
> invitava a mandare il cv se ero interessato ad una proposta di lavoro
> come sysadmin.
> 
> Essendo diffidente per default ho controllato il sito ed ho trovato del
> codice Javascript offuscato che vi incollo qui:
> 
> http://pastebin.com/raw.php?i=mfTUvmD7
> 
> 
> Il codice praticamente manda una mail (credo ad ogni accesso) a:
> [email protected]
> 
> Controllando il sito http://www.glandorehealthcare.com vedo lo stesso
> identico layout con lo stesso codice javascript dentro.
> Le informazioni sul sito sono basilari e gli account linkedin che ci
> sono in rete sembrano dei fake.
> 
> ora il mio dubbio è:
> 1. Il sito sta facendo phishing?
> 2. se sì, in che modo è possibile segnalarlo e a chi?

I due siti sono registrati dalla stessa entità/persona, tra dicembre
2009 e marzo 2010.
Entrambi un po' vecchi per essere domini rogue (anche se può certamente
capitare).

La prima delle due funzioni offuscate (acollins), deoffuscata produce:

<a href="&#x6d;&#x61;&#x69;&#x6c;&#000116;&#000111;&#x3a;
&#x61;
&#99;
&#111;
&#108;
&#x6c;
&#105;
&#110;
&#115;
&#x40;
&#x67;
&#x6c;
&#x61;
&#x6e;
&#100;
&#x6f;
&#114;
&#101;
&#x68;
&#x65;
&#97;
&#x6c;
&#116;
&#104;
&#x63;
&#97;
&#114;
&#x65;
&#x2e;
&#x63;
&#x6f;
&#x6d;

" class="mailto">
&#x61;
&#99;
&#x6f;
&#x6c;
&#108;
&#105;
&#110;
&#115;
&#x40;
&#x67;
&#108;
&#97;
&#110;
&#x64;
&#111;
&#x72;
&#101;
&#104;
&#x65;
&#97;
&#x6c;
&#x74;
&#104;
&#99;
&#x61;
&#x72;
&#x65;
&#x2e;
&#x63;
&#111;
&#x6d;
</a>

A te il compito di decodarlo in caratteri "normali", ma in sostanza si
limita a generare un mailto verso l'indirizzo acollins@[...].

Ergo è un semplice offuscamento degli indirizzi email per prevenirne
l'harvesting...


-- 
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Rispondere a