venerdì 14 giugno 2013

Ancora mail che punta a clone Vodafone con contenuti simili ai precedenti phishing. (14 giugno)

Probabile stessa origine per il nuovo phishing Vodafone attualmente online o comunque utilizzo del medesimo KIT gia' analizzato QUI e QUI.
Sono infatti molte le analogie presenti tra i recenti phishing Vodafone e l'odierno che andiamo ad analizzare:

Questa la mail 


che come alcune precedenti ha il messaggio in mail costituito da immagine hostata su servizio free Tinypic


Inoltre il source mostra nuovamente l'uso di codice in base64 


L'header mail anche questa volta evidenzia IP su range UK gia' rilevato in passato


Per quanto di riferisce al clone Vodafone, puntato dal link in mail, da rilevare  l'uso di sub-dominio dal nome ingannevole come 'vodafone.it-area-clienti-ricarica-online-promozione.' mentre la registrazione del dominio a nome di registrant italiano ed in data attuale.


Il clone e' costituito da form identico ai precedenti casi (notate il lungo nome ingannevole utilizzato per il subdominio)


e con ancora presente il redirect selettivo, dopo la conferma dati, su fake pagina PosteIT o Lottomatica.
Infatti, come gia' ampiamente analizzato QUI


con


se nella parte iniziale del numero di carta di credito vengono usati i codici che identificano carta PosteIT


avremo proposta la pagina (notate il lungo nome ingannevole utilizzato per il subdominio)


mentre con codice Lottomatica 


verra' linkata (notate il lungo nome ingannevole utilizzato per il subdominio)


e tutto questo anche se nel messaggio mail non esistono  riferimenti a PosteIT ne a Lottomatica, cosa che riconferma l'uso probabile del medesimo KIT di phishing ma forse anche origine comune delle azioni ai danni di Vodafone viste in questi giorni.

Analogamente ai casi precedenti, se nessuno dei tre codici presenti nel source viene rilevato nel codice di conto digitato nel form fake Vodafone, si passera' a pagina Verified by VISA


dove viene richiesta la password e dove appare anche oggi il logo che e' stato corretto rispetto ad altre volte ( in precedenza logo WIND anche se con phishing ai danni di  Vodafone)


Come step finale  si verra' rediretti al legittimo sito Vodafone.


Edgar

Nessun commento: