Ricevute diverse mails nelle ultime ore tutte con identico layout che mostrano un nuovo interessante caso di phishing Vodafone anche collegato ad altri differenti phishing sempre ai danni di utenti IT della rete.
Vediamo i dettagli:
Questa una delle mails ricevute con classico layout di phishing
ma che a differenza di quelle di ieri mostra 2 diverse immagini (logo e banner Vodafone).
L'analisi del source mail presenta il solito codice in base64 che rivela come il logo Vodafone sia linkato da sito IT
cosi' come il banner pubblicitario
Questi alcuni degli headers delle mail ricevute
ed anche
ma pure questo, con secondo IP italiano
Il link in mail punta a sottodominio dal nome ingannevole con il solito form Vodafone
ed ospitato su dominio con whois
registrato ieri a nome di persona italiana
Interessante una analisi del folder che hosta il clone Vodafone e che mostra altri due subfolders con codici di phishing sempre in lingua italiana e precisamente
Il contenuto rivela un phishing PayPal
ed anche
In particolare nel caso PayPal ci troviamo di fronte ad un sito clone 'completo' con pagina di login
a cui seguono
sino ad un redirect su sito legittimo PayPal in lingua italiana.
Nel caso Intesa San Paolo i contenuti di phishing parrebbero piuttosto essere solo a supporto dell'azione fraudolenta in quanto troviamo solo questa immagine
ed una codice php di probabile acquisizione credenziali e che redirige al legittimo sito Intesa SP
In ogni caso si vede come i phishers, che da tutti i riferimenti visti farebbero pensare essere italiani, sfruttino un dominio creato attualmente per supportare diverse azioni fraudolente e non solo la singola azione ai danni di Vodafone.
Si tratta di procedura comune specialmente se chi gestisce i cloni online li ospita su dominio 'usa e getta' creato solo per hostare per breve tempo (al massimo qualche giorno) il phishing.
Edgar
Nessun commento:
Posta un commento