Si tratta di questa attuale mail (con qualche errore nel testo)
che ripropone il 'solito' messaggio molto comune in casi di tentativo di acquisizione di credenziali di login a webmail.
Rispetto ai molti casi analizzati in passato il form linkato e' molto semplice e non fa riferimento a specifico servizio di webmail.
Gli headers mail mostrano
Analizzando il source mail si nota la presenza di codice (probabilmente legato a precedente messaggio di phishing) con diversi riferimenti a PosteIT
Questo un dettaglio del form linkato dal messaggio mail
che redirige, una volta confermati i dati,
su diversa pagina con testo che informa del corretto aggiornamento dell'account.
Anche nel source del form di acquisizione dati ritroviamo alcuni riferimenti a PosteIT.
Entrambe le pagine proposte (quella del form e quella della conferma) sono hostate su stesso server con IP
ma su due differenti siti compromessie che presentano url con dominio abbastanza inusuale e precisamente .LS (Lesotho). (Wikipedia)
Analizzando il sito che hosta la pagina di conferma dati troviamo parecchi riferimenti ad azione di hacking
Edgar
Nessun commento:
Posta un commento