che, come struttura, ricorda comunque quelle dei casi precedenti (Vodafone e Wind) e con source che mostra il tipico contenuto codificato in base64
mentre gli headers mail mostrano ancora una volta (come precedenti casi Vodafone e WIND) range UK
Il logo in mail e linkato da immagine presente su sito IT
Da notare come ci siano anche questa volta segni di un riutilizzo del layout di mail precedenti ed in particolare la presenza di riferimenti a Vodafone in piu' parti del messaggio.
Il link in mail punta a sub-dominio dal nome ingannevole su server UK
Nel dettaglio abbiamo un dominio creato da poche ore e registrato a nome di persona italiana
con la struttura seguente (notate il timestamp attuale)
che vede a sua volta presenti i contenuti del sub-dominio ingannevole con
Si puo' notare come il time di creazione del dominio e del sub-dominio dal nome ingannevole siano simili mentre i contenuti del folder TIM (clone e file accessori) sono stati probabilmente uploadati dopo circa 2 ore.
Il clone e' costituito da form dal tipico layout e che non parrebbe effettuare alcuna verifica sui dati digitati
Segue il 'solito' form 'Verified by VISA'
ed il redirect finale sul legittimo sito TIM.
Edgar
Nessun commento:
Posta un commento