La mail ricevuta presenta layout praticamente identico a quelle Vodafone ricevute da poco, (notare la data del 17 giugno come limite dell'offerta)
mentre anche il source mostra il tipico codice in base64
che linka immagine hostata su Tinypic per creare il fake layout e testo mail.
Stesse analogie per gli headers mail simili (range UK) a quelli del phishing Vodafone
Il sito clone e' hostato su subdominio dal lungo nome ingannevole 'wind.it-privati-ricarica-online-promo-super-summer' e con dominio creato ieri e registrant dal nome italiano
Il phishing parrebbe essere gestito da KIT di cui vediamo i contenuti
dove si evidenziano ancora una volta i folders Poste e Lotto come gia' ampiamente descritto nel caso Vodafone QUI.
Identico anche l'indirizzo mail nel fle php che invia al phisher le credenziali eventualmente sottratte.
Al momento dell'analisi del sito non parrebbero comunque essere attivi i redirects visti in passato e gestiti da diverso numero di carta (vedi QUI)
Stranamente mentre alcune volte nei casi precedenti la pagina Verified by VISA mostrava scritta WIND in caso di phishing Vodafone questa volta accade l'opposto con riferimento a Vodafone per dati form relativi a WIND.
Appare evidente come forms e sources vengano ampiamente 'riciclati' molto spesso non cambiando neanche i riferimenti testuali legati al phishing precedente.
Per quanto si riferisce alla struttura dell'odierno phishing WIND abbiamo un primo form (notate il lungo ed ingannevole nome di subdominio)
a cui segue
per passare poi
e venire rediretti infine al legittimo sito WIND
Edgar
Nessun commento:
Posta un commento