domenica 8 agosto 2010

Con CartaSi vinci TVLED e altri fantastici premi! - Una imperdibile occasione di phishing altamente ingannevole attraverso reale concorso CartaSi

I bonus ed i concorsi a premi sono uno degli 'argomenti' preferiti da chi crea mails di phishing.
Ormai da molto tempo le mails ai danni di PosteIT e di Banche italiane che propongono 'BONUS' o concorsi a premi fasulli sono un classico nel mondo del phishing.

Cosa c'e' quindi di meglio che sfruttare un reale concorso a premi per creare una campagna di phishing utilizzando un reale evento che mette a disposizione senza sforzo tutto quanto necessario per costruire il messaggio fasullo ?
Si tratta di una imperdibile occasione per creare phishing altamente ingannevole.

E' il caso di questa mail di phishing ricevuta oggi

che gia' ad una sommaria analisi dei contenuti pare troppo ben costruita per essere frutto di un phisher, che tra l'altro, magari non parla neanche italiano.

Ecco infatti che ricercando in rete il primo dei risultati e' il link al reale sito CartaSi

che propone il concorso a premi “Vinci con CartaSi Visa e ioSi”

Ancora una volta c'e' da evidenziare il tempismo dei phishers che sfruttano un reale ed attuale evento per i loro scopi.

Questo phishing risulta inoltre molto ingannevole visto che chi, nel dubbio sull'autenticita' della mail, cercasse conferme in rete, vedrebbe convalidata l'autenticita' del contenuto della mail di phishing attraverso quanto trovato su Google (reale sito di CartaSi che propone i dettagli del concorso).


Dopo questa premessa ecco alcuni dettagli piu' tecnici sui contenuti del phishing

I links in mail puntano, tramite sito tedesco di redirect, ad un sito di moda dai contenuti in italiano, anche se hostato su server USA

Questa la struttura del sito di phishing dove notiamo diversi files interessanti


Il kit di phishing, contenuto in file .tgz evidenzia la presenza del solito sistema utilizzato per inviare, tramite mail, i dati acquisiti nel log di phishing.
Da notare anche la presenza di un file testo che contiene differente indirizzo mail di invio dati e che potrebbe essere quello reale utilizzato al momento.

Uno degli IP di provenienza della mail evidenzia invece questo indirizzo relativo ad Outlook Web Access su sito di compagnia aerea mediorientale.

Per terminare ecco uno stralcio del regolamento del concorso, tratto dal reale sito di CartaSi, con la durata dello stesso, cosa che fa pensare che saranno ancora numerosi i tentativi di phishing che cercheranno di utilizzarlo per creare mails ingannevoli.

Potrebbe forse essere il caso per CartaSi di aggiungere in homepage della presentazione del concorso un avviso sul possibile uso dello stesso per creare contenuti di mails di phishing.

Edgar

Nessun commento: