con headers che anche questa volta includono un IP appartenente a range UK quasi sempre presente nei precedenti casi.
La novita' e' la presenza del KIT di phishing individuato in questo subfolder
ed il cui contenuto
rivela oltre che alla pagina clone Vodafone anche due folders con codici rispettivamente riconducibili a phishing PosteIT (notare il riferimento a differente compagnia telefonica nel form)
e Lottomatica.
La presenza dei due cloni si spiega con l'analisi di un codice php che attraverso le prime cifre del numero di carta di credito digitato dovrebbe redirigere, terminato il phishing principale Vodafone alla fake pagina di pagamento online tramite PostePay o Lottomatica.
dove notiamo anche alcuni commenti, che Google Translator rivela essere in lingua romena.
Al momento la struttura del clone online preso in esame parrebbe non contenere i folder relativi a PosteIT e Lottomatica e quindi non e' possibile verificare se venga effettivamente gestito un ulteriore redirect su altre pagine di phishing dopo il 'principale' form Vodafone.
Edgar
Nessun commento:
Posta un commento