Si tratta di diversi phishing attuati nelle ultime ore con in comune uguali IP origine delle mails, stesso hosting o comunque layouts e testi del messaggio mail simili.
Interessante anche la presenza di una mail di phishing Barclays 'dedicata' ad utenti italiani della banca britannica.
Vediamo alcuni dettagli:
Nei post del 6 e 7 giugno si analizzavano diversi cloni di phishing (Vodafone, Lottomatica, UniCredit ) che avevano in comune un dominio .EU creato appositamente ed in data attuale.
Anche se un generico whois non rivelava molto sulla data di creazione del dominio di phishing l'uso di un sito dedicato a specifico whois per i domini .EU mostrava qualche dettaglio in piu'.
Quello che vediamo e' appunto un confronto tra il passato dominio usato dai phishers (casi Vodafone, Lottomatica ed UniCredit)
e l'attuale dominio utilizzato dal phishing CartaSi
Come si vede le analogie sono molte, con unica differenza il nome del dominio .EU e la data di registrazione che nel caso attuale CartaSi e' il 7 giugno 2013.
che propone un allegato form
il cui codice presenta questo riferimento appunto ad un nuovo dominio .EU
L'hosting e' sempre svolto dal medesimo hoster UK con uguale IP dei casi precedenti.
L'header mail mostra invece
con diverso IP rispetto a quello delle mail Vodafone ed UniCredit.
Si tratta come si vede di un classico phishing CartaSi con un form che come sempre tenta di acquisire dati personali e di carta di credito.
Contemporaneamente a questa mail ne venivano ricevute altre due che pur presentando stesso identico layout di quella CartaSi
avevano come oggetto 'Promo ricarica' Vodafone
In questo caso gli headers riconducevano a range simile a quello visto nei precedenti post (range UK e stesso provider anche se IP differente)
Le mails fake Vodafone non presentavano pero' alcun allegato e quindi risultavano inattive.(forse problema di invio da parte dei phisher).
Ma non e' finita..... successivamente giungevano altre mails di phishing con identico oggetto di quella CartaSi ma riferite a banca Barclays
Pur essendo banca britannica Barclays e' presente in oltre cinquanta paesi
tra cui l'Italia attraverso 200 filiali in tutte le principali citta' e 84 negozi finanziari Barclays Mutui e Prestiti (BMP), Banca Woolwich e Barclaycard che ha acquisito le carte Citibank. (fonte Wikipedia)
Come si nota dal confronto delle due mail il layout mostra evidenti punti in comune (testi ma anche simile nome del file allegato)
A differenza della mail CartaSi si e' pero' scelto di linkare tutto il layout (si tratta di immagine) al reale sito Barclays in lingua italiana mentre l'allegato presenta form
e codice PHP come
In questo caso non abbiamo piu' un dominio EU che ospita il php ma un dominio .INFO tra l'altro abbastanza datato, e con whois
C'e' comunque da notare che l'IP origine presente nell'header mail e' nuovamente lo stesso visto nei casi Vodafone e UniCredit (IP su range UK)
Ci troviamo quindi di fronte a una probabile origine comune di diverse azioni di phishing o quantomeno a dei kit di phishing simili ( identici layout CartaSi e Barclays).
Vedremo se nei prossimi giorni continuera' questa intensa distribuzione di phishing che tra l'altro ne vede uno ai danni di utenti IT Barclays e di cui non ricordo, almeno in questi ultimi mesi, aver visto altri casi.
Nessun commento:
Posta un commento