Ritorna a distanza di pochi giorni (vedi questo post) il phishing ai danni di CartaSi, con la 'solita' vincita del TV, ma con un layout parzialmente rinnovato sia del messaggio mail ma anche del fake sito a cui si viene linkati.
Questa la mail:
con il messaggio costituito in realta' da unica immagine png linkata dal sito compromesso che ospita il phishing
L'header mail mostra IP
Il clone CartaSi e' ospitato su dominio creato nel maggio 2011
ed hostato su IP
Parrebbe trattarsi di sito non piu' utilizzato e compromesso con inclusione del clone CartaSI.
Esaminando i contenuti del sito si evidenzia anche un codice php
che punta a sito di pharmacy
cosa che potrebbe confermare anche una azione di pharmacy hacking sempre ai danni del sito utilizzato dai phishers..
Il phishing odierno CartaSi mostra un layout delle pagine leggermente diverso dai layout visti in recenti casi, con maggiore cura posta nel presentare i vari form che acquisiscono i dati personali e di carta di credito.
Questo il form iniziale di fake login e che riproduce in parte anche il contenuto della mail
Come era successo per il messaggio mail, la pagina web e' in realta' costituita da unica immagine di background png, che vediamo in dettaglio.
Stessa cosa per i form seguenti
per terminare con questa pagina che informa della consegna in 48 ore del premio.
Tutte le pagine del clone CartaSi presentano un source costituito da semplice codice offuscato e un layout della pagina creato usando un'unica immagine di sfondo png.
Ecco ad esempio il source della pagina di conferma spedizione del premio
Un phishing quindi molto curato, (vedi ad esempio la presenza della pagina finale di conferma spedizione) e che, sfruttando l'argomento della vincita del “TV LED Samsung”, potrebbe anche essere particolarmente ingannevole.
Edgar
Nessun commento:
Posta un commento