giovedì 17 ottobre 2013

Ritorna un phishing ingannevole che propone 'buoni sconto' per acquisti presso noti supermercati (AUCHAN - LD - LIDL - COOP - CONAD . CARREFOUR - DESPAR – IPER) (17 ottobre)

Si tratta di un phishing ingannevole che sfrutta l'offerta di un bonus in denaro per acquisti presso noti supermercati italiani.
Gia' in passato avevamo visto phishing che usavano fake offerte sia come “..Carta Carburante da 500 EURO …..” (vedi qui) ma anche come “........ un bonus da 500 Euro attraverso carta prepagata Carrefour.......” (vedi QUI
Ad aumentare la natura ingannevole di questi phishing contribuiva in quasi tutti i casi la presenza del logo del Ministero dello Sviluppo Economico e testi riferiti a decreto legge......
Le analogie con i precedenti casi fanno quindi pensare che siano sempre i medesimi personaggi a gestire questa nuova campagna di phishing ed in particolare ritroviamo nei layouts delle pagine codici legati proprio a precedenti casi gia' analizzati.
Come accade spesso nel phishing si sfrutta, in quello attuale, il riferimento a differenti aziende e non piu' solo Carrefour, come in casi precedenti, estendendo cosi' il possibile target di utenti da colpire.

Il testo presente nella homepage fake 

==========================================
Pagando solo 5€,avrai diritto a:
- 50 euro da spendere nel supermercato pi? vicino a te.
-
Acquistando il buono di 50 Euro al prezzo di 5 euro
verra' recapitato al tuo indirizzo da utilizzare presso
i supermercati :
Auchan - LD - Lidl - Coop - Conad . Carrefour - Despar - Iper.
su una spesa minima di 100 Euro non cumulabili.

OFFERTA VALIDA FINO AL 31 DICEMBRE 2013
==========================================

mostra come ancora una volta si tenti di approfittare del momento di crisi economica per tentare di acquisire i dati personali e di carta di credito attraverso un sito dal layout dettagliato.

Questa la mail dal semplice contenuto dove si evidenziano i nomi dei supermercati ma anche dati relativi all'ipotetica azienda che gestirebbe la campagna di offerte bonus.


La cosa interessante e' che Google ha gia' indicizzato la recente pagina fake e la linka in ricerca utilizzando come chiave la fake ragione sociale dell'azienda 


Continuando la ricerca Google si scopre comunque che tutto il sito e' ben indicizzato 


incrementando cosi' l'efficacia dell'azione di phishing o quanto meno rendendo il fake sito di offerte bonus piu' credibile.

Gli headers in mail mostrano IP


Ancora una volta (cosa gia' ampiamente vista in passato in analoghi casi) viene utilizzata una struttura del sito di phishing attraverso pagine con frame


 e che si basa su due differenti domini creati entrambi in data recente


ed


Il dominio che ospita il phishing, ed i cui contenuti sono presentati in frame su altro dominio, propone nella sua homepage un sito di e-commerce 


dalla struttura complessa che farebbe quasi pensare che si tratti di reale sito e non fake.

Tornando ai contenuti abbiamo evidenti collegamenti a precedenti phishing come ad esempio


con chiaro riferimento al passato phishing Carta Carburante.
Pare quasi che se da un lato i phishers creano fake siti dai layout complesso  di contro continuino ad utilizzare vecchi codici “riciclandoli” nelle nuove pagine.

Tra i vari files immagine utilizzati per il fake sito del “bonus acquisiti” 


troviamo quello presente  nella home page proposta attualmente 


ma anche questo 


che parrebbe essere una 'variante' del precedente e che non appare al momento  nel layout delle pagine proposte

Il phishing vede dopo la pagina iniziale 


la solita sequenza dei form che tentano di acquisire dati personali (con verifica formale dei dati es.codice fiscale)


e di carta di credito


a cui seguono varie schermate di verifica dati immessi ma anche di acquisizione password  'Verified by VISA'


per venire poi rediretti nuovamente alla homepage di phishing.

Resta poi da chiare se la cura posta anche nella creazione del fake sito di e-commerce, al cui interno sono ospitati i folders che hostano i contenuti di phishing, sia collegabile anche ad un suo utilizzo attuale o futuro, come sito di phishing e non solo di supporto a quello del fake  'bonus acquisti'

 Edgar

Nessun commento: