che presenta un layout simile ai precedenti ma con logo e banner TIM invece che solo logo, probabilmente per aumentare la credibilita' del messaggio fake.
Si tratta di immagini linkate da siti differenti a quello che ospita il clone TIM.
Da notare come nei link usati in mail ne sia presente anche uno a PosteIT probabilmente originato da 'copia e incolla' da precedente testo di phishing.
E' molto comune infatti che le mails ricevute presentino stessi testi con unica variante il nome dell'azienda da coinvolgere nel phishing.
Il messaggio mail e' codificato in base64 come gia' visto nei precedenti e recenti casi di phishing ai danni di compagnie telefoniche IT
mentre questo l'header :
Il link presente nel messaggio fake punta a dominio creato attualmente
e che usa servizio di hosting UK
con IP
Come succede in questi casi viene utilizzato un subdominio ingannevole per hostare il form clone TIM
a cui segue (notare questa volta la data corretta)
per essere poi reindirizzati al legittimo sito TIM
Da notare anche la presenza all'indirizzo del clone TIM di folders:
Lottomatica
e PosteIT
che si spiega con la possibilita' di avere ulteriori pagine fake collegate al modo di pagamento e carta scelti sul form (vedi questo precedente post)
I due cloni PosteIT e Lottomatica al momento non parrebbero comunque essere linkati dal form, anche se hostati ed online.
Infine, il KIT presente rivela trattarsi quasi certamente di medesima fonte dell'azione di phishing ai danni di TIM vista nelle scorse settimane.
Edgar
Nessun commento:
Posta un commento