Ricevuta sul 'DB segnalazioni del blog' quella di nuovo phishing Carrefour su differente dominio e precisamente .EU.
Il 2 gennaio segnalavo il phishing Carrefour, sempre via SMS, che usava diverso dominio dai precedenti.
Gia' da ieri comunque il clone utilizzato era OFF-line e, probabilmente gli stessi phishers, hanno provveduto ad attivarne uno nuovo questa volta su dominio EU
Ecco la segnalazione del lettore, che ringrazio,
e che mostra attivo attualmente questo clone
su dominio creato da poche ore come risulta da un whois
La conferma della creazione in data di ieri la troviamo analizzando il 'response header' della pagina che mostra
Il sito clone e' sempre hostato su hoster italiano identico ai precedenti phishing Carrefour
e presenta un source che rivela medesima origine dei precedenti relativamente al layout di pagina (un datato probabile layout di phishing Carrefour la cui pagina era stata acquisita attraverso l'uso di HTTrack)
Il phishing si sviluppa come gli ultimi analizzati , senza uso di frame
ma con l'utilizzo di server HTTPS per al parte relativa all'acquisizione dei dati di carta di credito e 'Verified by Visa'
Nel dettaglio pur usando sottodominio su serversicuro.it il nome dello stesso e' cambiato dalle volte scorse e mostra un nome ingannevole
che coinvolge BNL
Come sempre viene eseguita una verifica sul numero di carta inserito nel form relativamente alla correttezza formale dei dati ossia errori di digitazione (Formula di Luhn) in quanto e' evidente che il clone di phishing non si connette affatto con la banca.
In ogni caso la verifica del numero di carta (cosi come quella del codice fiscale nel form precedente) contribuiscono a dare una ulteriore parvenza di credibilita' al phishing.
Lo stesso dicasi per i nomi ingannevoli di dominio usati nel phishing, tutti con la presenza del nome Carrefour o quelli del sottodominio di serversicuro.it con BNL nel testo e cioe' '….BNL-pagamenti.....'
Il 'response header' mostra la messa online della pagina una quindicina di minuti prima della homepage di phishing
Le pagine seguenti di phishing ripetono la stessa 'sequenza' gia vista sino a linkare, dopo la pagina di 'conferma', al legittimo sito Carrefour.
Le pagine seguenti di phishing ripetono la stessa 'sequenza' gia vista sino a linkare, dopo la pagina di 'conferma', al legittimo sito Carrefour.
Questi i precedenti posts con ulteriori dettagli sul phishing Carrefour via SMS:
Phishing Carrefour via SMS. Una interessante segnalazione da parte di un lettore del blog.(13 dicembre)
Phishing Carrefour via SMS. Un nuovo dominio attivo dal 16 dicembre. Uso di protocollo HTTPS (18 - 19 dicembre)
ed il post del 2/1/2014 su presenza di un nuovo numero SMS e nuovo dominio creato il 31 dicembre.
Nuovo dominio ingannevole Carrefour legato alla diffusione di SMS che puntano a sito di phishing (02 gennaio)
Nuovo dominio ingannevole Carrefour legato alla diffusione di SMS che puntano a sito di phishing (02 gennaio)
Ricordo che per chi volesse segnalare casi di phishing, distribuzione malware, siti dai contenuti dubbi ed hacking e' sempre disponibile il form cliccando QUI.
Nel limite del tempo a disposizione i casi piu' interessanti saranno oggetto di un post di analisi pubblicato sul blog.
Edgar
Nessun commento:
Posta un commento