E' di ieri sera (20 giugno ora thai) questa mail
che ripropone un phishing WIND gia' visto di recente.
La mail e' molto simile ad una ricevuta ad inizio mese ma con link a fake sito Vodafone.
Comparando le due mail si nota comunque (a parte l'uso sempre di codice in base64 per il source del messaggio) una analogia di layout che vede pure la presenza di un codice di riferimento VF (Vodafone ??? ) anche sull'attuale mail WIND.
Piu' interessante e' il nome del dominio creato ieri sempre su server UK come in passato
per hostare il clone WIND
per hostare il clone WIND
con nome identico, tranne che per il top-level domain, a quello utilizzato nel phishing Vodafone.
Nel caso odierno abbiamo infatti stesso nome ma .ORG mentre nel passato caso Vodafone era .EU (_____data.ORG – ____data.EU)
Qui vediamo invece la tipica struttura del sito clone con
mentre per il sub-domino ingannevole
Da notare come il timestamp del folder che ospita il clone Wind sia in data non recente segno di un probabile riutilizzo di precedenti contenuti di phishing WIND.
Inoltre, come gia' visto in passato parrebbe essere utilizzato un KIT di phishing che in base al numero di carta (vedi qui) propone una fake pagina di ulteriore phishing PosteIT o Lottomatica.
In effetti una analisi dei contenuti del fake sito mostra un subfolder con
e relativa pagina fake Lottomatica
Come nel caso WIND precedente l'opzione di redirect su fake pagina Lottomatica o PosteIT non sembra pero' al momento essere attiva o comunque funzionare.
Per quanti si riferisce alle altre pagine del clone si tratta sempre degli stessi contenuti WIND gia' visti tra cui il form fake 'Verified by VISA' che riporta erroneamente riferimenti a Vodafone, come ampiamente osservatoo in passato.
Edgar
Nessun commento:
Posta un commento