lunedì 25 novembre 2013

Gentile albergatore - Importanti informazioni di sicurezza. Ancora un phishing venere.com (25 novembre)

Ricevute alcune mails di phishing ai danni di venere.com.
Si tratta di phishing che segue, da poco, quello segnalato il 23 novembre con la differenza che questa volta si tratta di un uso di allegato mail mentre il precedente vedeva la presenza di form fake hostato su sito compromesso.

Il layout del form appare comunque identico nei due casi analizzati.


Dal testo mail, scritto in buon italiano, si capisce come il target siano gli albergatori o comunque chi utilizza il servizio di venere.com per gestire prenotazioni on-line.


Interessante anche l'header mail che mostra nuovamente IP italiano, come probabile origine dei messaggi mail, ed in particolare un IP appartenente a Fastweb.


Ricordo che la maggior parte dei casi analizzati nei mesi scorsi indicava sempre IP Fastweb (vedi es QUI)come probabile origine dei messaggi.

Il form fake usa un codice php


hostato su


Si tratta di servizio di free hosting web locato in repubblica Ceca, come vediamo da questo screenshot tradotto con 'Google Translate'


Stesso free hosting e' gia' stato usato altre voltre a supporto di phishing venere.com.

Una ipotesi sul possibile uso dei dati acquisiti dai phisher relativamente alle credenziali di accesso al servizio venere.com e' presente QUI

Edgar

Nessun commento: