venerdì 7 giugno 2013

Nuovo phishing UniCredit con il supporto dello stesso dominio .EU visto ieri per phishing Vodafone e Lottomatica ( 7 giugno)

Nella serata di ieri (6 giugno) (vedi precedente post) ricevevo questa mail


che proponeva un phishing ai danni di Vodafone ed il cui clone era ospitato su dominio .EU creato allo scopo di hostare il fake sito.
Una analisi dei contenuti evidenziava anche una pagina clone di Lottomatica facendo pensare quindi ad un utilizzo multiplo del dominio per differenti phishing ai danni di azienda italiane.

Questa invece l'attuale mail: 


che evidenzia un allegato form di phishing ai danni di UniCredit.
Da notare come, se la visualizzazione del messaggio mail e' predisposta per il formato html, venga proposto direttamente il form anche aprendo la mail.

Questo invece l'allegato form, downloadato sul PC


con i consueti campi di acquisizione dati personali e di carta di credito.

Che ci siano dei punti di contatto con il precedente messaggio di phishing  Vodafone lo si vede gia' analizzando l'header mail che mostra 


con identico IP origine del fake messaggio Vodafone


Piu' interessante e' vedere il codice del form allegato all'attuale mail


cosa che conferma l'hosting del PHP di acquisizione dei dati personali sul  medesimo dominio usato ieri e quindi una probabile origine comune per phishing Vodafone e UniCredit, senza dimenticare anche la fake pagina Lottomatica.

Si tratta di un uso abbastanza frequente visto in casi di phishing dove un dominio creato su servizio free o al limite a basso costo di WEB hosting,  permette di utilizzare lo stesso indirizzo per ospitare differenti phishing.

Di solito, come vediamo anche nel caso odierno, 


non viene invece creata una index page (come homepage del possibile sito da ospitare sul dominio .EU) ma i phishers lasciano come homepage l'avviso di default che invita ad uploadare i contenuti via FTP

Edgar

Nessun commento: