Il giorno 18 gennaio 2016 12:13, Andrea Scian <[email protected]> ha scritto: > > Ciao a tutti, > > a un mio collega e' arrivato, via skype, un link su http://cnn.it > formattato in modo strano, tipo il seguente > > http://cnn.it/1ZgPTml#guryfa=ncognome > > dove ncognome e' proprio l'iniziale del nome seguita dal cognome. > > Dopo aver cliccato come il piu' classico dei pirletti, il cervello e' > stato fortunatamente ricollegato e sono stato chiamato in causa io. > > Ho staccato il PC dalla rete e fatto un po' di verifiche "standard" da > non-esperto di sicurezza quale sono (scansione URL con virustotal, > verifica whois ecc) > > A me risulta che il sito sia clean e appartenente veramente alla CNN > che conosciamo. >
Direi che c'è un hacking in corso, o a livello di dns oppure dell'host sul quale si appoggia cnn.it: qualsiasi url abbia provato rimanda a edition.cnn.com, che pare il comportamento di default per i vari domini cnn, mentre quella che hai indicato tu (anche senza l'anchor) rimanda a una pagina di spam e forse di drive-by-download (non ho approfondito). L'IP associato attualmente a cnn.it non è proprietà della Turner ma di uno shared hosting quindi propenderei per la prima ipotesi. C'entrerà qualcosa il fatto che il dominio cnn.it fosse scaduto pochi giorni fa? Ai più esperti la sentenza.. -- Ciao, P. ~~ pgp public key: https://goo.gl/AlWHEF ~~ ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
