Per quanto si riferisce a WIND abbiamo questa mail
con header che mostra IP
Anche se il layout della mail e la struttura del source (non abbiamo la presenza di codifica in base64 come in quasi tutti i casi rilevati in queste settimane)il KIT utilizzato sembra una versione piu' 'evoluta' dei precedenti KIT WIND
questo l'attuale KIT
Abbiamo la presenza di diverse pagine PosteIT ed anche una pagina CartaSI inclusi nel nuovo KIT WIND.
Al momento parrebbe comunque essere attiva la medesima struttura di phishing osservata in passato (redirect a pagina clone PosteIT o Lottomatica a seconda dei num. di carta inserito nel form WIND)
Il clone e' hostato su server polacco appartenete ad azienda di web hosting e precisamente in sottodominio appartenente a sito creato in Wordpress.
La seconda mail ricevuta linka a phishing Vodafone
Si tratta di classico layout con presenza di codice in base64.
Il clone e' hostato su IP
mentre il sotto-dominio dal nome ingannevole usa dominio creato da poco e a nome di persona italiana
Il KIT di phishing utilizzato e' simile ai precedenti e ricalca la struttura di quelli utilizzati anche per WIND e TIM.
Dopo poche ore dal ricevimento mail il clone risulta OFF-line cosi' come il dominio utilizzato dai phishers.
Edgar
Nessun commento:
Posta un commento