Nella serata di ieri (6 giugno) (vedi precedente post) ricevevo questa mail
che proponeva un phishing ai danni di Vodafone ed il cui clone era ospitato su dominio .EU creato allo scopo di hostare il fake sito.
Una analisi dei contenuti evidenziava anche una pagina clone di Lottomatica facendo pensare quindi ad un utilizzo multiplo del dominio per differenti phishing ai danni di azienda italiane.
Questa invece l'attuale mail:
che evidenzia un allegato form di phishing ai danni di UniCredit.
Da notare come, se la visualizzazione del messaggio mail e' predisposta per il formato html, venga proposto direttamente il form anche aprendo la mail.
Questo invece l'allegato form, downloadato sul PC
con i consueti campi di acquisizione dati personali e di carta di credito.
Che ci siano dei punti di contatto con il precedente messaggio di phishing Vodafone lo si vede gia' analizzando l'header mail che mostra
con identico IP origine del fake messaggio Vodafone
Piu' interessante e' vedere il codice del form allegato all'attuale mail
cosa che conferma l'hosting del PHP di acquisizione dei dati personali sul medesimo dominio usato ieri e quindi una probabile origine comune per phishing Vodafone e UniCredit, senza dimenticare anche la fake pagina Lottomatica.
Si tratta di un uso abbastanza frequente visto in casi di phishing dove un dominio creato su servizio free o al limite a basso costo di WEB hosting, permette di utilizzare lo stesso indirizzo per ospitare differenti phishing.
Di solito, come vediamo anche nel caso odierno,
non viene invece creata una index page (come homepage del possibile sito da ospitare sul dominio .EU) ma i phishers lasciano come homepage l'avviso di default che invita ad uploadare i contenuti via FTP
Edgar
Nessun commento:
Posta un commento