Ecco ritornare, dopo quello TIM di ieri, il phishing Vodafone attraverso questa mail
sempre con layout e codice simile alle precedenti e con header
Il clone e' ospitato su sito compromesso con whois
attraverso la creazione di sub-dominio dal nome ingannevole che, tra l'altro, fa riferimento a WIND e non a Vodafone
Questo si spiega con la presenza sul medesimo indirizzo anche di un clone WIND oltre che quello Vodafone linkato dalla mail
Seguendo quanto gia' noto analizzando il codice del KIT probabilmente usato anche in questo caso
entrambi i cloni proposti oggi, se il numero di carta comprende come cifre iniziali quelle identificative di PosteIT o Lottomatica, redirigono dopo le pagine clone Vodafone o WIND anche su successiva fake pagina PosteIT o Lottomatica.
Lo scopo e' quello di acquisire ulteriori dettagli sulla carta usata.
Nel caso i codici non fossero quelli visibili nel source del KIT si passa a pagina Verified by Visa.
Si tratta quindi certamente dell'uso dello stesso KIT di phishing anche se il phisher odierno potrebbe essere diverso dai precedenti visto l'uso di sub-dominio dal nome ingannevole creato su sito compromesso e non su sito registrato ex-novo come in quasi tutti i casi simili analizzati di recente.
Edgar
Nessun commento:
Posta un commento