La particolarita' di queste tre mail ricevute in rapida sequenza risulta nell'utilizzo di servers questa volta italiani.
Esaminiamo in dettaglio le 3 mails.
Tutte e tre presentano il 'solito' messaggio del bonus da 99 EURO sotto forma di immagine jpg con link sito di phishing.
La prima mail al momento non e' piu', o ancora, attiva in quanto il tentativo di caricamento dell'immagine jpg da un server con whois USA non funziona.
Comunque anche se l'immagine non e' caricata si puo' cercare di esaminare il messaggio codificato in html che contiene il link al sito di phishing.
Questo link e' http://www.poste-italiane-spa.com/ e, stranamente, visto quello che succede di solito, e' hostato da provider .IT
Questo il whois
e questo il source della pagina che appare tentando di caricare l'url in questione.
La seconda e la terza mail hanno anche loro una url che porta a server italiano
e precisamente http://xxx.air-express-transporter.com/
Interessante notare che air-express compare nella lista dei siti fake di Artists Against 419
che elenca siti fasulli di vario genere creati per compiere truffe online.
Le immagini usate per rappresentare i messaggi sono invece trasferite da serve USA http://tirnaveni.org/immagine.gif la cui home e' quantomeno strana presentano una sola foto in alta risoluzione e non una struttura di normale homepage.
Questa volta sembra che i siti del tentativo di phishing siano hostati da server italiani e non come succede quasi sempre da server esteri.
Sicuramente la maggiore facilita' di contattare il provider dovrebbe quindi permettere di bloccare facilmente questa nuova serie di phishing ai danni di poste IT.
Edgar
Nessun commento:
Posta un commento