martedì 19 novembre 2013

Ancora intenso phishing Vodafone ma non solo(19 novembre)

Ricevute diverse mails nelle ultime ore tutte con identico layout che mostrano un nuovo interessante caso di phishing Vodafone anche collegato ad altri differenti phishing sempre ai danni di utenti IT della rete.

Vediamo i dettagli:

Questa una delle mails ricevute con classico layout di phishing


ma che a differenza di quelle di ieri mostra 2 diverse immagini (logo e banner Vodafone).

L'analisi del source mail presenta il solito codice in base64 che rivela come il logo Vodafone sia linkato da sito IT 


cosi' come il banner pubblicitario


Questi alcuni degli headers delle mail ricevute


ed anche


ma pure questo, con secondo IP italiano


Il link in mail punta a sottodominio dal nome ingannevole con il solito form Vodafone


ed ospitato su dominio con whois


registrato ieri a nome di persona italiana


Interessante una analisi del folder che hosta il clone Vodafone e che mostra  altri due subfolders con codici di phishing  sempre in lingua italiana e precisamente


Il contenuto rivela un phishing PayPal


ed anche 


In particolare nel caso PayPal ci troviamo di fronte ad un sito clone 'completo' con pagina di login 


a cui seguono 





sino ad un redirect su sito legittimo PayPal in lingua italiana.


Nel caso Intesa San Paolo i contenuti di phishing parrebbero piuttosto essere solo a supporto dell'azione fraudolenta in quanto troviamo solo questa immagine 


ed una codice php di probabile acquisizione credenziali e che redirige al legittimo sito Intesa SP


In ogni caso si vede come i phishers, che da tutti i riferimenti visti farebbero pensare essere italiani, sfruttino un dominio creato attualmente per supportare diverse azioni fraudolente e non solo la singola azione ai  danni di Vodafone.
Si tratta di procedura comune specialmente se chi gestisce i cloni online li ospita su dominio 'usa e getta' creato solo per hostare per breve tempo (al massimo qualche giorno) il phishing.  

Edgar

Nessun commento: