lunedì 16 dicembre 2013

Hai vinto una TV Led Samsung. Ancora phishing CartaSi (16 dicembre)

Ritorna a distanza di pochi giorni (vedi questo post) il phishing ai danni di CartaSi, con la 'solita' vincita del TV, ma con un layout parzialmente rinnovato sia del messaggio mail ma anche del fake sito a cui si viene linkati.

Questa la mail: 


con il messaggio costituito in realta' da unica immagine png linkata dal sito compromesso che ospita il phishing


L'header mail mostra IP


Il clone CartaSi e' ospitato su dominio creato nel maggio 2011


ed hostato su IP


Parrebbe trattarsi di sito non piu' utilizzato e compromesso con inclusione del clone CartaSI.
Esaminando i contenuti  del sito si evidenzia anche un codice php


 che punta a sito di pharmacy


cosa che potrebbe confermare anche una azione di pharmacy hacking sempre ai danni del sito utilizzato dai phishers..

Il phishing odierno CartaSi mostra un layout delle pagine leggermente diverso dai layout visti in recenti casi, con maggiore cura posta nel presentare i vari form che acquisiscono i dati personali e di carta di credito.

Questo il form iniziale di fake login e che riproduce in parte anche il contenuto della mail


Come era successo per il messaggio mail, la pagina web e' in realta' costituita da unica immagine di background png, che vediamo in dettaglio.


Stessa cosa per i form seguenti 



per terminare con questa pagina che informa della consegna in 48 ore del premio.


Tutte le pagine del clone CartaSi presentano un source costituito da semplice codice offuscato e un layout della pagina creato usando un'unica immagine di sfondo png.
Ecco ad esempio il source della pagina di conferma spedizione del premio


Un phishing quindi molto curato, (vedi ad esempio la presenza della pagina finale di conferma spedizione) e che, sfruttando l'argomento della vincita del “TV LED Samsung”, potrebbe anche essere particolarmente ingannevole.

Edgar

Nessun commento: