'Carta benzine' Falsa mail di phishing che informa di un rimborso da 400 EURO da parte di ENI-AGIP e Ministero dello Sviluppo Economico (24 maggio)

Poche righe per segnalare il ritorno del phishing gia' visto una decina di giorni fa (vedi questo post) e sempre con il medesimo layout mail

anche se l'oggetto risulta essere adesso leggermente diverso da quello del precedente messaggio

Una analisi degli headers mail mostra

con stesso IP origine della precedente mail, mentre risulta variato il secondo IP.

Il sito di phishing e' ospitato su dominio creato da poco (22 maggio),

mentre l'uso del servizio di NOIP.com 

ha permesso l'utilizzo di URL ingannevole,  per quanto si riferisce al  nome di sub-dominio visualizzato nel browser:

Rispetto al precedente phishing sono anche diversamente visualizzati sia la fake pagina di simulazione della connessione ( fake conessione a server BNL)

ed alcuni form con coinvolgimento di BNL e con la presenza dei relativo logo:

Inoltre, al momento di pubblicare il post il dominio usato in  precedenza per hostare il clone e' nuovamente cambiato ed ora risulta essere

Interessante il fatto che detto dominio parrebbe essere stato registrato da tempo  (la conferma e' anche nel nome che  sembra essere associabile a phishing PosteIT piuttosto che all'odierno phishing).

Edgar