venerdì 6 settembre 2013

Phishing Vodafone (6 settembre)

Nuova mail di phishing Vodafone dal layout semplificato rispetto a precedenti casi:


Si tratta di solo testo e link, anche se il source mail mostra comunque una codifica base64 per il messaggio con lo scopo di evitare eventuali filtri antispam.


Questi gli IP relativi all'header mail


Il link in mail punta a clone hostato su sito compromesso con whois


e  dal layout gia' visto:


Anche il kit utilizzato (file zip) dimostra che si tratta di un phishing con struttura nota che nelle scorse settimane ha colpito diverse aziende di telefonia IT (WIND, TIM)


ed in particolare si evidenzia la presenza di diversi folders e codice PHP


che in base al numero di carta di credito digitato nel form puo' attivare questa ulteriore pagina clone Lottomatica 


od in alternativa PosteIT


Da notare come il form clone online PosteIT, pur trattandosi di phishing Vodafone, mostri riferimenti a Wind, segno dell'uso di KIT dalla struttura comune ad altri gia' analizzati.
E' pure presente la consueta pagina “ Verified by VISA ” questa volta con la corretta indicazione dell'azienda target del phishing attuale.


Una volta confermati i dati si viene rediretti, come di consueto, al legittimo sito sulla pagina dedicata agli utenti privati Vodafone:


Edgar

3 commenti:

Unknown ha detto...

Una delle cose "strane", è stata ricevere una delle ultime versioni del phishing Vodafone (quello che hai analizzato oggi) ma che nell'url, aveva anche un indirizzo e-mail reale.

Se vuoi te la giro nella sezione segnalazioni.

Edgar Bangkok ha detto...

Succede spesso che nella url che linka al clone di phishing ci sia incluso un indirizzo email.
In molti casi si tratta dell'indirizzo email della persona a cui e' inviato il messaggio di phishing in altri una mail diversa.
Lo scopo e' probabilmente generare una url ingannevole, sempre diversa per evitare filtri ma anche, forse, per monitorare chi riceve la mail nel caso rispondesse al phishing.
C'e comunque da sottolineare che in realta' qualunque sequenza di caratteri con struttura simile ad un indirizzo mail viene accettata (almeno nel caso odierno di phishing CartaSI analizzato).In pratica basta che ci sia una sequenza del genere xxxxx@yyyyy.com .it ecc.... che veda l 'url accettata poiche' non esiste una lista di confronto tra mail inviate e ricevute.
I phishers verificano solo che nella url esista un percorso con stringa di caratteri simile ad un indirizzo email.

Edgar

ProfG ha detto...

Sì, i phishers non controllano se a rispondere è qualcuno a cui hanno effettivamente inviato la mail di phishing: rispondono a tutti. Ho fatto la prova personalmente, per un periodo, rispondendo a tutti i phishing che mi inviavano, tramite un mio indirizzo di comodo. Ho scoperto tutto un mondo...