martedì 30 ottobre 2012

Fake offerta WIND attraverso alcune mails di spam (29 - 30 ottobre)

Poche righe per descrivere brevemente questo ennesimo ed attuale spam ai danni di Wind
Si tratta di alcune mails tra cui questa


con headers come 


oppure questa mail, simile alla precedente 


ricevuta attualmente, ma con differenti IP negli headers


Come particolarita' possiamo notare che in entrambi i casi,  i sources delle mails ricevute sono simili  


e mostrano il messaggio codificato in base64, che decodificato mostra


Si tratta di un espediente attuato dai phishers nel tentativo di evitare eventuali filtri antiphishing.

Si puo' notare anche che il logo presente in testa al messaggio mails 


e' linkato da sito IT 


Per quanto si riferisce all'hosting del  clone WIND a cui si viene linkati dalle mails abbiamo 


corrispondente a questo sito probabilmente compromesso


e che parzialmente tradotto mostra 


Le mails piu' recenti mostrano sempre redirect al medesimo clone WIND ma utilizzando subdominio fake creato su sito compromesso con whois 


Questo il clone WIND che attraverso 


e


e pagina finale di acquisizione password 'Verified by VISA'


cerca di catturare le credenziali di carta di credito di chi fosse caduto nel phishing.

Una volta 'confermati' i dati si viene rediretti sul reale sito WIND.


Edgar

Nessun commento: