Ho ricevuto una e-mail l'altro giorno che pretendeva di provenire da una banca di cui non avevo nemmeno sentito parlare, quindi ho deciso di curiosare. In alcune brevi indagini, sembra che qualcosa sia appena entrato nel sito di WordPress di povero Joe e abbia lasciato cadere un sacco di pagine progettate per assomigliare a quelle di questa banca.
Sono inclusi anche i registri della confusione e uno strumento di amministrazione remota basato su PHP, che è aperto a chiunque, almeno curioso come me. Ha anche opzioni utili come "formattare la scatola".
Vale la pena notare che le pagine che sono collegate alle e-mail non reggono molto al controllo - Google Chrome lo riprende immediatamente come un tentativo di phishing, e immagino che anche tutti gli altri principali browser lo farebbero.
Avevo solo una mezza idea per formattare la scatola, ma purtroppo non voglio rovinare il povero sito di WordPress di Joe, né voglio rovinare alcuna informazione che potrebbe essere usata per persone più abili di me. Mentre dubito che questo sarebbe qualcosa di nuovo e sorprendente in the wild, ci sono sicuramente alcune cose interessanti qui. Quali sono alcune strade rilevanti da perseguire in relazione a riportare questo o scoprire solo cosa sta succedendo? È addirittura etico prendere in questa scatola un esercizio di apprendimento purché qualsiasi cappello che indosso sia bianco?
modifica: Lì è apparentemente anche una funzione di auto-rimozione. Sembra che tutte le informazioni raccolte siano inviate a due indirizzi email diversi, che noto sono stati utilizzati in altri exploit di phishing, quindi non c'è nulla di nuovo qui - stesso modello di php, nuova facciata bancaria.