Si tratta di alcune mails tra cui questa
con headers come
oppure questa mail, simile alla precedente
ricevuta attualmente, ma con differenti IP negli headers
Come particolarita' possiamo notare che in entrambi i casi, i sources delle mails ricevute sono simili
e mostrano il messaggio codificato in base64, che decodificato mostra
Si tratta di un espediente attuato dai phishers nel tentativo di evitare eventuali filtri antiphishing.
Si puo' notare anche che il logo presente in testa al messaggio mails
e' linkato da sito IT
Per quanto si riferisce all'hosting del clone WIND a cui si viene linkati dalle mails abbiamo
corrispondente a questo sito probabilmente compromesso
e che parzialmente tradotto mostra
Le mails piu' recenti mostrano sempre redirect al medesimo clone WIND ma utilizzando subdominio fake creato su sito compromesso con whois
Questo il clone WIND che attraverso
e
e pagina finale di acquisizione password 'Verified by VISA'
cerca di catturare le credenziali di carta di credito di chi fosse caduto nel phishing.
Una volta 'confermati' i dati si viene rediretti sul reale sito WIND.
Edgar
Nessun commento:
Posta un commento