Ricevuta nuova mail di phishing Vodafone con link che punta clone su nuovo dominio .EU.
Analizzando la procedura di phishing proprio relativa a questo nuovo fake sito Vodafone abbiamo la conferma di quanto ipotizzato la volta scorsa attraverso l'analisi del codice PHP del KIT.
Ricordo che il precedente sito clone Vodafone, pur esistendo nel codice del KIT la possibilita' di linkare ulteriori form dopo quello iniziale, non mostrava al lato pratico questi redirects (forse a causa di un problema nell'installazione del kit, di una errata configurazione dello stesso ...ecc...).
Vediamo i dettagli:
e dal codice source veramente limitato come dimensioni
Il messaggio (nella sua versione sul source) consiste infatti in una breve sequenza codificata in base64, che in chiaro mostra
con testo mail in realta' immagine jpg hostata su servizio free di tinypic.com
L'hader mail rivela nuovamente IP UK (stesso provider delle mails precedenti) per la probabile origine del messaggio
Il link presente, punta a clone su sotto-dominio dal nome ingannevole 'vodafone' su dominio .EU creato in data di ieri e simile a quelli analizzati in precedenti casi
La differenza e' che, questa volta, il clone Vodafone mostra essere attivo anche in quella parte di codice PHP rilevata dall'analisi del KIT di phishing in precedenza (vedi il precedente post)
In pratica viene verificato il numero di carta immesso nel form di phishing e se vengono rilevate particolari sequenze numeriche
dopo aver acquisito i dati digitati nel fake form principale Vodafone si viene rediretti su differenti folders
Qui vediamo il codice relativo PosteIT
che prpone un clone PostePay con un form di pagamento (notate l'erronea indicazione WIND)
Come si vede chiaramente dalla URL (e come si capiva dal source)
viene richiamata una pagina che mostra il numero di conto immesso precedentemente.
L'uso di questo particolare file .htaccess permette quindi di gestire l'attivazione della fake pagina di phishing
La stessa cosa la vediamo digitando il codice identificativo di carta Lottomatica
che redirige sul clone
Nel caso che nessuno dei tre codici presenti nel source venga rilevato nel codice di conto digitato nel form fake Vodafone, si passera' a pagina Verified by VISA
dove viene richiesta la password e dove questa volta il logo e' stato corretto rispetto ad altre volte (logo WIND anche se con phishing ai danni di Vodafone)
Come step finale in tutti i casi visti ora si viene rediretti al legittimo sito Vodafone.
Si tratta quindi di un phishing sicuramente piu' complesso rispetto a quelli piu' diffusi che sfruttano solo riferimenti ad una singola azienda, e che cerca di essere piu' ingannevole proprio per il fatto di proporre in maniera del tutto automatica alcune alternative al pagamento con carta di credito tradizionale.
Se infatti analizziamo il testo in mail appare evidente un riferimento proprio a PostePay :
Edgar
Nessun commento:
Posta un commento