giovedì 30 settembre 2010

Ancora ricarica telefonica con bonus per questo sito di phishing altamente ingannevole ai danni di Wind (30 settembre)

Il fenomeno phishing risulta sempre molto diffuso e sfrutta non solo siti clone di Banche o PosteIt ma estende i sui interessi anche a siti di altre aziende presenti in rete che offrono servizi il cui pagamento avviene attraverso l'utilizzo di carte di credito.

E' il caso di questo falso sito Wind segnalato sul DB di Antiphishing Italia

che viene linkato da mail di phishing e che per i suoi livelli di dettaglio del layout risulta altamente ingannevole.

Se si esclude infatti il problema su alcuni link presenti nelle pagine clone che ritornano questa videata

la sequenza della registrazione per ricevere la ricarica omaggio da 50 EURO procede con una serie di pagine perfettamente clonate che, tra l'altro, parerebbero effettuare (contrariamente a come succede di solito in login di phishing) diversi controlli di validita' sui dati inseriti o eventualmente verifiche su dati dimenticati nel login e ritenuti obbligatori.

Un'altra caratteristica da non sottovalutare e' , come vedremo, il grande numero di informazioni acquisite da questo phishing e precisamente: (dettaglio riassuntivo dei vari forms di input nella sequenza delle pagine di phishing Wind)

Anche se non si puo' stabilire con certezza se poi effettivamente tutti i dati catturati nei vari forms saranno realmente acquisiti e passati al phisher, in ogni caso si tratta non solo del numero di carta di credito ma di una serie di dati che, anche indipendentemente dall'utilizzo del numero di carta di credito, potrebbero essere usati per spam ed altri tentativi fraudolenti ai danni di chi fosse caduto nel phishing.

Il sito che ospita il clone Wind e' stato creato ed ospitato su servizio di hosting USA come vediamo anche dalla pagina di registrazione domini che ne conferma la presenza

mentre la data della registrazione risale ai giorni scorsi

Da notare come il sottodominio utilizzato comprenda nell'url anche la stringa HTTPS per cercare di ingannare maggiormente facendo passare la pagina come caricata attraverso connessione sicura.


Questa la sequenza di phishing che partendo dalla mail (questo il testo )

---------------------------------------------------------------------------------------------
Gentile cliente, il Gruppo Wind in merito all'evoluzione aziendale propone ai suoi clienti un regalo esclusivo, per riservare un merito unilaterale Vi rende partecipe alla promozione regali. Basterà accedere ai nostri servizi per ottenere una ricarica telefonica del valore di 50,00 euro in omaggio, acquistandone una di 10,00 euro, Certi di gradire la nostra offerta , Vi ringraziamo per la Vostra fiducia accordata. questa pagina di login (notare il whois USA)

che a sua volta linka ad una serie di pagine dal layout simile alle originali Wind


e

e


e per finire con questa pagina di richiesta ulteriore codice segreto “verified by VISA”


dopo la quale abbiamo la conferma dell'avvenuta ricarica

e veniamo portati sulla reale pagina WIND Shop


Da notare che la reale pagina Wind Shop sulla quale si e' trasferiti dal phishing alla fine della falsa registrazione 'bonus' di ricarica non utilizza HTTPS e quindi non si notano grandi differenze sulla barra degli indirizzi del browser rispetto al sito di phishing.

Ad aumentare la natura ingannevole della url di phishing presentata dal browser stranamente se dalla pagina del Wind Shop si accede all'opzione password dimenticata il browser continua sempre a mostrare una connessione HTTP e non HTTPS almeno per quanto rilevato durante la mia connessione odierna.

Solo ad esempio, con la reale opzione di ricarica presente in WIND Shop abbiamo la comparsa della connessione sicura e la relativa indicazione sul browser.

Un phishing Wind quindi molto ingannevole e , per i dati acquisiti a chi cadesse nel tranello della falsa mail, anche abbastanza pericoloso vista l'elevata mole di dati personali raccolti durante la registrazione della falsa ricarica telefonica


Edgar

Nessun commento: