Probabile stessa origine per il nuovo phishing Vodafone attualmente online o comunque utilizzo del medesimo KIT gia' analizzato QUI e QUI.
Sono infatti molte le analogie presenti tra i recenti phishing Vodafone e l'odierno che andiamo ad analizzare:
Questa la mail
che come alcune precedenti ha il messaggio in mail costituito da immagine hostata su servizio free Tinypic
Inoltre il source mostra nuovamente l'uso di codice in base64
L'header mail anche questa volta evidenzia IP su range UK gia' rilevato in passato
Per quanto di riferisce al clone Vodafone, puntato dal link in mail, da rilevare l'uso di sub-dominio dal nome ingannevole come 'vodafone.it-area-clienti-ricarica-online-promozione.' mentre la registrazione del dominio a nome di registrant italiano ed in data attuale.
Il clone e' costituito da form identico ai precedenti casi (notate il lungo nome ingannevole utilizzato per il subdominio)
e con ancora presente il redirect selettivo, dopo la conferma dati, su fake pagina PosteIT o Lottomatica.
Infatti, come gia' ampiamente analizzato QUI,
con
se nella parte iniziale del numero di carta di credito vengono usati i codici che identificano carta PosteIT
avremo proposta la pagina (notate il lungo nome ingannevole utilizzato per il subdominio)
mentre con codice Lottomatica
verra' linkata (notate il lungo nome ingannevole utilizzato per il subdominio)
e tutto questo anche se nel messaggio mail non esistono riferimenti a PosteIT ne a Lottomatica, cosa che riconferma l'uso probabile del medesimo KIT di phishing ma forse anche origine comune delle azioni ai danni di Vodafone viste in questi giorni.
Analogamente ai casi precedenti, se nessuno dei tre codici presenti nel source viene rilevato nel codice di conto digitato nel form fake Vodafone, si passera' a pagina Verified by VISA
dove viene richiesta la password e dove appare anche oggi il logo che e' stato corretto rispetto ad altre volte ( in precedenza logo WIND anche se con phishing ai danni di Vodafone)
Come step finale si verra' rediretti al legittimo sito Vodafone.
Edgar
Nessun commento:
Posta un commento