Occorre evidenziare che si tratta della ennesima azione di phishing volta a sottrarre credenziali di carta di credito ed altri dati personali (utili ai phishers per ulteriori eventuali azioni fraudolente) e che vede il sempre piu' diffuso l'utilizzo di siti clone non di banche, ma di aziende (scommesse online, compagnie di telefonia soprattutto mobile , compagnie aeree ecc.....) la cui attivita' prevede in molti casi l'uso di pagamenti attraverso carta di credito.
Per quanto si puo' rilevare dal testo del messaggio mail presente sul DB Segnalazioni parrebbe trattarsi di contenuti simili a quelli visti per phishing ai danni di banche con la differenza che invece di un accesso al conto questa volta verra' disabilitato "…........l`apparato Telepass …......"
Ecco il testo con qualche evidente errore grammaticale .....
Gentile Cliente,
Siamo spiacenti di informarvi che la prossima fattura non va a fine perche' i dati anagrafici sono scaduti o non corretti.
Per vietare la sospensione di utilizzoooo Telepass, inserisci i tuoi dati personali e la tua carta di credito se ? CartaSi, Agos, American Express, Bancoposta (per i clienti con conto corrente si prega di andare a un Punto Blu) . Se i dati non sono aggiornati su cinque giorni lavorativi l`apparato Telepass sar? disabilitato dall'uso.
Si prega di accedere al suo conto e confermare i vostri dati personali.
Non disponendo fisicamente della mail originale non e' stato possibile effettuare una analisi degli headers present (IP di provenienza ecc......)
Questo un whois del sito clone Telepass
la cui data di registrazione risulta attuale
La pericolosita' del clone Telepass risulta evidente se si considera che:
1) L'URL utilizza il dominio disponibile per la Lituania ( .lt)
Come si vede la similitudine tra .it ed .lt rende altamente ingannevole l'URL risultante.
2) L'estrema cura dei dettagli delle pagine che richiedono i dati personali e i numeri di carta di credito,
Qui siamo in presenza di piu' pagine dal layout curato nei minimi particolari e non della solita singola pagina d phishing molto spesso dal layout copia dell'originale, solo 'abbozzato'.
3) Il fatto che trattandosi non di sito di banca ma di azienda tutto sommato sino ad oggi poco coinvolta in azioni di phishing, gli utenti possibili target dei phisher non penseranno che si tratti di un clone del reale sito ma di pagine legittime.
Ecco alcuni dettagli della sequenza di pagine fake proposte che vede dopo l'apertura della fake homepage Telepass,
1) L'URL utilizza il dominio disponibile per la Lituania ( .lt)
Come si vede la similitudine tra .it ed .lt rende altamente ingannevole l'URL risultante.
2) L'estrema cura dei dettagli delle pagine che richiedono i dati personali e i numeri di carta di credito,
Qui siamo in presenza di piu' pagine dal layout curato nei minimi particolari e non della solita singola pagina d phishing molto spesso dal layout copia dell'originale, solo 'abbozzato'.
3) Il fatto che trattandosi non di sito di banca ma di azienda tutto sommato sino ad oggi poco coinvolta in azioni di phishing, gli utenti possibili target dei phisher non penseranno che si tratti di un clone del reale sito ma di pagine legittime.
Ecco alcuni dettagli della sequenza di pagine fake proposte che vede dopo l'apertura della fake homepage Telepass,
il passaggio , dopo qualche secondo ed in maniera automatica, alla scelta della carta di credito da utilizzare
seguono le istruzioni d'uso
successive richieste di anagrafica ed altri dati
e differente pagina di richiesta credenziali a seconda della carta selezionata in precedenza
Per terminare una pagina di info sulla corretta conclusione delle operazioni effettuate
La conferma quindi della tendenza di phishing sempre piu' orientati all'acquisizione di credenziali di Carta di Credito attraverso l'uso di cloni ai danni non necessariamente di Istituti Bancari ma piuttosto di aziende che propongono servizi gestibili direttamente on-line.
Edgar
Nessun commento:
Posta un commento