sabato 15 giugno 2013

Decreto Legge Richiedi La carta Carburante a fondo perduto. Nuovo phishing ingannevole carta carburante. (15 giugno)

Nuova mail dal layout ormai ben noto che propone …  la carta carburante di 500 Euro al prezzo di 100 Euro …...” e presenta logo 'Ministero dello Sviluppo Economico' 


e link a sito di phishing con nome di dominio ingannevole creato da poco  e registrato ieri a nome di persona italiana


 ed hostato su


In realta' l'effettivo contenuto di phishing (per tutte le pagine fake) e'  ospitato su servizio free Altervista attraverso l'uso di frame (tecnica gia' molto utilizzata in passato, come notiamo dal codice del source


In pratica a fronte di IP su range IT ed URL visualizzata come


il frame presente ha IP realativo ad Altervista 


Anche per il sito su servizio free Altervista e' comunque stato adottato nome ingannevole, anche se in realta' l'url visibile nelle pagine di phishing e' sempre quella del dominio linkato dalla mail.


La data di registrazione su Altervista, come previsto, e' identica a quella del fake dominio principale


Il clone presenta le pagine in sequenza uguale a quelle gia' vista nei precedenti casi anche se con qualche differenza nella 'homepage' che coinvolge piu' direttamente Eni e Agip attraverso grandi loghi dell'azienda al top della pagina


Anche questa volta viene 'simulata' una connessione a


per passare alla sequenza di forms gia' vista con richiesta dati personali e di carta di credito.
Al termine si viene rediretti su legittimo sito ENI


In definitiva una ri-edizione di phishing gia' noto e che comunque potrebbe risultare ancora ingannevole visto i riferimenti sempre presenti a reale e recente decreto legge ed all'uso di loghi di note aziende italiane (Eni ed Agip) nonche' quello del Ministero dello Sviluppo Economico.

Edgar
Posted by at Nessun commento:

Phishing WIND. Sempre la stessa probabile origine e la medesima struttura di KIT (15 giugno)

Nuovamente un clone WIND che appare connesso sempre alla medesima distribuzione di phishing Vodafone di questi ultimi giorni.

La mail ricevuta presenta layout praticamente identico a quelle  Vodafone ricevute da poco, (notare la data del 17 giugno come limite dell'offerta)


 mentre anche il source mostra il tipico codice in base64 


che linka immagine hostata su Tinypic per creare il fake layout e testo mail.


Stesse analogie per gli headers mail simili (range UK) a quelli del phishing Vodafone


Il sito clone e' hostato su subdominio dal lungo nome ingannevole 'wind.it-privati-ricarica-online-promo-super-summer' e con dominio creato ieri e registrant dal nome italiano


Il phishing parrebbe essere gestito da KIT di cui vediamo i contenuti 


dove si evidenziano ancora una volta i folders Poste e Lotto come gia' ampiamente descritto nel caso Vodafone QUI.
Identico anche l'indirizzo mail nel fle php che invia al phisher le credenziali eventualmente sottratte.
Al momento dell'analisi del sito non parrebbero comunque essere attivi i redirects visti in passato e gestiti da diverso numero di carta (vedi QUI)
Stranamente mentre alcune volte nei casi precedenti la pagina Verified by VISA mostrava scritta WIND in caso di phishing Vodafone questa volta accade l'opposto con riferimento a Vodafone per dati form  relativi a WIND.


Appare evidente come forms e sources vengano ampiamente 'riciclati' molto spesso non cambiando neanche i riferimenti testuali legati al phishing precedente.

Per quanto si riferisce alla struttura dell'odierno phishing WIND abbiamo un primo form (notate il lungo ed ingannevole nome di subdominio)


a cui segue


per passare poi


e venire rediretti infine al legittimo sito WIND



Edgar
Posted by at Nessun commento:

venerdì 14 giugno 2013

Ancora mail che punta a clone Vodafone con contenuti simili ai precedenti phishing. (14 giugno)

Probabile stessa origine per il nuovo phishing Vodafone attualmente online o comunque utilizzo del medesimo KIT gia' analizzato QUI e QUI.
Sono infatti molte le analogie presenti tra i recenti phishing Vodafone e l'odierno che andiamo ad analizzare:

Questa la mail 


che come alcune precedenti ha il messaggio in mail costituito da immagine hostata su servizio free Tinypic


Inoltre il source mostra nuovamente l'uso di codice in base64 


L'header mail anche questa volta evidenzia IP su range UK gia' rilevato in passato


Per quanto di riferisce al clone Vodafone, puntato dal link in mail, da rilevare  l'uso di sub-dominio dal nome ingannevole come 'vodafone.it-area-clienti-ricarica-online-promozione.' mentre la registrazione del dominio a nome di registrant italiano ed in data attuale.


Il clone e' costituito da form identico ai precedenti casi (notate il lungo nome ingannevole utilizzato per il subdominio)


e con ancora presente il redirect selettivo, dopo la conferma dati, su fake pagina PosteIT o Lottomatica.
Infatti, come gia' ampiamente analizzato QUI


con


se nella parte iniziale del numero di carta di credito vengono usati i codici che identificano carta PosteIT


avremo proposta la pagina (notate il lungo nome ingannevole utilizzato per il subdominio)


mentre con codice Lottomatica 


verra' linkata (notate il lungo nome ingannevole utilizzato per il subdominio)


e tutto questo anche se nel messaggio mail non esistono  riferimenti a PosteIT ne a Lottomatica, cosa che riconferma l'uso probabile del medesimo KIT di phishing ma forse anche origine comune delle azioni ai danni di Vodafone viste in questi giorni.

Analogamente ai casi precedenti, se nessuno dei tre codici presenti nel source viene rilevato nel codice di conto digitato nel form fake Vodafone, si passera' a pagina Verified by VISA


dove viene richiesta la password e dove appare anche oggi il logo che e' stato corretto rispetto ad altre volte ( in precedenza logo WIND anche se con phishing ai danni di  Vodafone)


Come step finale  si verra' rediretti al legittimo sito Vodafone.


Edgar
Posted by at Nessun commento:
Iscriviti a: Post (Atom)