giovedì 14 novembre 2013

Nuovo phishing WIND con analogie al precedente Vodafone (14 novembre)

Questa la mail di phishing WIND ricevuta successivamente a quella odierna di phishing Vodafone.


Come si nota, ci troviamo di fronte ad un layout praticamente identico alla precedente mail Vodafone ricevuta qualche ora fa.


L'unica differenza e' l'assenza, nel fake messaggio WIND, dell'indirizzo mail del ricevente.

L'header mail rivela per questo phishing una probabile origine dei messaggi da IP italiano


mentre il clone parrebbe essere ospitato su subdominio creato allo scopo e dal nome ingannevole, 


con whois


Al momento di scrivere il post la pagina di phishing non e' comunque raggiungibile sia da IP Thai che da IP italiano.

Edgar

2 commenti:

Cesare ha detto...

Ma è così difficile trovare il mittente reale di queste e-mail? Solo stanotte ne ho ricevute da tutti e 4 i gestori italiani (wind, vodafone tre e tim)!
Beccatelo e fategli una multa come si deve!!

Edgar Bangkok ha detto...

Anche se, in questo specifico caso, la mail di phishing parrebbe avere come source un IP italiano, non e' comunque semplice riuscire ad individuare con certezza chi sia l'autore di un phishing.
Di solito si puo' capire, da analogie tra le varie azioni di phishing (es stessi KITs usati, procedure messe in atto per hostare il clone, e, se rilevabili, gli indirizzi mails a cui vengono inviati i dati sensibili sottratti ecc....) se ci siano uno o piu' gruppi di phishers dietro attacchi anche a diverse aziende.
Il fatto che il phishing si sviluppi attraverso l'uso della rete e che quindi chi lo attua puo' essere in un qualunque posto raggiunto da Internet (quasi sempre non nella stessa nazione di chi riceve la mail) e per di piu' il fatto che una azione di phishing abbia raramente una durata di piu' di 24....48 ore, fanno si ' che non ci siano i tempi per agire efficacemente per il contrasto.
In questo post, anche se datato, analizzavo alcuni dei problemi che si riscontrano per attuare azioni di contrasto al phishing

http://edetools.blogspot.com/2012/03/hosting-di-cloni-di-phishing-o-redirect.html