venerdì 20 gennaio 2012

'Newsletter di Gennaio'. Phishing CartaSi e WIND accomunati da alcuni dettagli mail (20 gennaio)

Ricevute alcune mails di phishing ai danni sia di CartaSi che WIND con alcuni punti in comune, cosa che fa pensare anche a possibile origine da parte dello stesso gruppo di phishers.

Queste due delle mails ricevute

nelle quali abbiamo sia mittente "Newsletter di Gennaio" comune ai due messaggi mail ed anche che, in entrambe le mails, si informa di una ricarica telefonica gratuita.

Vediamo alcuni dettagli:

La prima mail che esaminiamo e' rivolta ad utenti CartaSi

ed avvisa di una “........ ricarica telefonica del valore di € 75,00. .” in regalo.

Questo l'header in mail

Naturalmente, anche se non viene esplicitamente indicato, lo scopo e' quello di far effettuare, a chi riceve il fake messaggio, il login al sito clone CartaSi indicato in mail.

Il link presente esegue un redirect utilizzando un sito di Free Subdomains USA

utilizzato sia per generare un nome ingannevole di url ma naturalmente anche per, nel caso di black-listing o sospensione dell'account su cui risiede il clone attualmente, redirigere su clone hostato su diverso indirizzo.

Questo il fake sito CartaSi

ospitato su server Altervista (whois tedesco)

La registrazione del nuovo account Altervista utilizzato appare effettuata da alcun giorni.

Altra mail questa

che a fronte del medesimo 'mittente' della precedente CartaSi informa di una possibilita' di effettuare una ricarica gratuita WIND.

Questo un dettaglio dell'header

Come si vede anche in questo caso abbiamo l'uso dell'argomento ' ricarica telefonica gratis ' per cercare di sottrarre credenziali di carta di credito ed, in questo specifico caso WIND anche di altri dati personali riservati.

In effetti si tratta del medesimo phishing WIND visto il 17 gennaio e descritto in maniera dettagliata in questo post, dove pero', la mail non utilizzava allegato ma direttamente un layout ingannevole

La differenza rispetto alla volta scorsa e' che ora il layout (logo e testo) sono inseriti in mail come allegato e non direttamente come layout del messaggio

Il link presente punta comunque al medesimo sito visto in passato, che presenta alcuni form

che tentano di acquisire i dati di chi fosse caduto nel phishing.

Edgar

Nessun commento: