linkato da form clone allegato in mail e relativo a banca FINECO.
Questa la mail
che presenta il solito source codificato in base64
dove notiamo che il logo Fineco e' quello presente su un sito IT
mentre gli headers mail ripropongono un IP su range UK
come le precedenti mails associabili alla 'campagna' di phishing che sfrutta domini .eu creati allo scopo e che da qualche giorno risulta molto attiva interessando diverse aziende IT (Vodafone, PosteIT, Lottomatica, UniCredit ecc.....)
Il form allegato in mail presenta codice php che viene hostato sul dominio gia' usato ieri nel caso Vodafone (non e' stato creato un sotto-dominio come succedeva ieri considerato anche che si tratta di semplice file PHP)
mentre come particolarita' si nota, sul form allegato in mail, che l'immagine della carta di credito che spiega la posizione sulla stessa del codice di sicurezza, e' linkata da reale sito CartaSI.
E' cosa abbastanza normale che i loghi o le immagini utilizzate nel layout del clone, siano quelle presenti su altri siti, di solito quelli legittimi dell'azienda presa di mira, consentendo ai phishers anche di ridurre le dimensioni delle mails o dei form allegati.
Una volta confermati i dati immessi si viene rediretti sul legittimo sito Fineco
In definitiva stiamo assistendo ad un uso reiterato del medesimo dominio .EU che evidentemente deve essere utilizzato il piu' possibile prima di ritornare offline dopo pochi giorni, come succede di solito in questi casi di phishing.
Edgar
Nessun commento:
Posta un commento