con struttura del source simile alle precedenti (codificato in base 64)
L'header mostra come probabile origine un IP su range UK come era gia' accaduto per molte delle mails di phishing, ai danni di compagnie telefoniche IT, ricevute nelle ultime settimane.
Per l'hosting del clone si utilizza un servizio italiano su IP
mentre il dominio utilizzato e '.IT ed e' creato nella giornata di ieri (10 luglio)
Inoltre si rileva la presenza sul sotto-dominio dal nome ingannevole del KIT di phishing con struttura identica ai KIT gia' visti in passato. (anche per Vodafone)
In particolare c'e' da notare la presenza di due folders (Poste e Lotto) che contengono ulteriori pagine clone di Lottomatica e PosteIT (per ulteriori dettagli vedi questo post)
Al momento di scrivere il post il clone non parrebbe essere attivo, nonostante la presenza del KIT necessario alla messa online dei contenuti di phishing ai danni di TIM.
Edgar
Nessun commento:
Posta un commento