Edgar's Internet Tools: Attivo un nuovo clone Carrefour utilizzato per azione di phishing via SMS. Qualche differenza sul layout della homepage fake (16 gennaio)

giovedì 16 gennaio 2014

Attivo un nuovo clone Carrefour utilizzato per azione di phishing via SMS. Qualche differenza sul layout della homepage fake (16 gennaio)

Attualmente attivo un nuovo clone di phishing Carrefour simile ai molti visti nei giorni scorsi.

Si tratta ancora una volta di sito che viene linkato da messaggi SMS che propongono un falso bonus in denaro per acquisti presso Carrefour.

Attualmente viene utilizzato questo nuovo dominio creato da poco usando noip.com

e che sfrutta nuovamente frame con contenuti su sito USA creato allo scopo e gia' utilizzato da tempo

per proporre i contenuti di phishing

A differenza delle ultime azioni di phishing non abbiamo piu' dominio registrato da hoster IT mentre viene utilizzato il servizio web fornito da www.noip.com per gestire il nuovo dominio ingannevole ed i relativi contenuti via frame

e che risultano essere sempre quelli gia' visti per tutti i precedenti phishing Carrefour.

Il source mostra infatti che l'origine del layout di pagina e' sempre derivato da quella 'catturata' con httrack, da sito di phishing Carrefour hostato su Altervista nel 7 maggio 2013

In realta' una differenza comparsa a partire dall'ultimo clone del 13 gennaio 2014 e' presente.

Si tratta della scritta che informa del bonus supportato dal decreto legge.

Se analizziamo lo screenshot relativo al phishing Carrefour precedente al 12/1 con l'attuale abbiamo

Si nota sia il testo con l'indicazione 'Italia SPA' dopo il nome Carrefour, ma, cosa piu' evidente, i font ed il colore diversi, sicuramente piu' nitidi di quelli presenti nei precedenti layout.

La conferma l'abbiamo esaminando l'EXIF dell'immagine header.jpg del layout piu' datato

e di quello attuale

Come si vede l'immagine .jpg che costituisce il top della pagina clone Carrefour, mostra adesso data di creazione 12 gennaio 2014, tra l'altro in linea con il response header della pagina in questione

In pratica i phishers hanno fatto la modifica del layout relativamente all'immagine header.jpg ritenendo probabilmente che la precedente versione fosse con testo poco leggibile.

Altra cosa interessante e' che molti dei i cloni Carrefour visti a partire da fine dicembre sono attualmente attivi ma naturalmente non linkati da domini ingannevoli Carrefour tranne che per l'attuale.

Si tratta di cloni 'pronti per l'uso', con contenuti di phishing che potrebbero essere proposti attraverso frames su nuovi domini dai nomi ingannevoli registrati dai phishers in futuro.

Edgar

Nessun commento:

Posta un commento