venerdì 13 settembre 2013

Phishing Vodafone con ingannevole struttura differente dai 'soliti' delle ultime settimane.(13 settembre)

Ricevuto da poco un nuovo messaggio mail di phishing Vodafone IT che si differenzia, come struttura, dai numerosi sempre ai danni di Vodafone, ricevuti in queste ultime settimane.

Vediamo alcuni interessanti dettagli:

Questa la mail 


dal testo molto breve e con source in chiaro (ricordo che la quasi totalita' delle mails di phishing Vodafone ultime, presentavano sempre source codificato in base64).
Ecco l'IP di probabile origine del messaggio


La prima cosa diversa dal solito che si nota e' la presenza di link 'in chiaro” cioe' il collegamento presente e' quello reale a cui punta la mail.
Di solito vediamo che in mail i links di phishing presentano sempre testo visibile dal contenuto ingannevole, mentre il reale link usato ed a cui si viene diretti e' differente e, di solito, punta a nomi di urls che poco hanno a che fare con il phishing proposto.
Nel caso odierno invece abbiamo una url altamente ingannevole.

Questo il clone proposto che in un'unica pagina dal layout accurato presenta il form di acquisizione dati personali e di carta di credito.


Una analisi dei contenuti della pagina mostra pero'


cosa che evidenzia l'uso di frame che propone il clone Vodafone e questo per poter  usare appunto URL ingannevole con contenuti su altro indirizzo web.
Ecco il source del clone visualizzato, dove in realta' i contenuti sono linkati da pagina su differente host.


Andando a verificare la data di creazione del dominio ingannevole vediamo che lo stesso e' stato creato ieri, con riferimenti a indirizzo IT per il registrant (city : Bergamo ecc...)


utilizzando per di piu', hosting IT, come da whois


Inoltre, se esaminiamo l'header della pagina clone, lo stesso ci conferma che il contenuto e' probabilmente stato uploadato in data di ieri. (quindi data di creazione del dominio ingannevole e predisposizione dei suoi contenuti (codice del frame) a ieri 12 settembre)


Come detto, in realta' il reale contenuto di phishing , e' ospitato su server con whois USA


creato  a fine agosto


ed i cui contenuti (vedi header) parrebbero essere stati 'aggiornati' il 7 settembre


Riassumendo abbiamo un domino ingannevole creato ieri che ospita un frame che punta agli effettivi contenuti di phishing su dominio creato in precedenza (fine agosto) ed aggiornato ad inizio settembre.

In questo caso mentre il dominio ingannevole, su hosting IT, e' sicuramente creato allo scopo di phishing, quello che ospita i contenuti di phishing potrebbe essere un legittimo sito ma compromesso con contenuti del clone.

Il fatto che comunque la homepage di detto sito sia 


quindi tipico contenuto di home di siti usati per scopi di phishing, distribuzione malware ecc..., lascia dei dubbi sulla reale natura del dominio.
Potremmo cioe' trovarci di fronte a dominio creato per ospitare cloni di vario genere, non solo Vodafone, che vengono linkati da domini creati allo scopo, con nomi di url ingannevoli e attivati di volta in volta a seconda del phishing da supportare.

Vendiamo invece a come si presenta praticamente il phishing Vodafone attuale:

Questa la pagina clone iniziale che in un unico layout comprende tutti i dati 'utili' ai phishers


Lo scopo e' sempre quello di acquisire dati personali e credenziali dii carta di credito.
Si passa poi a questa pagina di conferma/correzione dati immessi


a cui segue una pagina di acquisizione password 'Verified By VISA' che al momento pero' non visualizza l'immagine logo del servizio


e poi questa pagina finale di conferma


per terminare poi con un redirect sul legittimo sito Vodafone


Un phishing quindi dal layout ben curato ed ingannevole sia per il link/url utilizzato (nome ingannevole) che per l'uso di FRAME per i contenuti.

Edgar

Nessun commento: