sabato 13 luglio 2013

Ancora phishing ai danni di aziende telefoniche IT (13 luglio)

Nuove mails di phishing ai danni di Vodafone e WIND.

Per quanto si riferisce a WIND abbiamo questa mail


con header che mostra IP


Anche se il layout della mail e la struttura del source (non abbiamo la presenza di codifica in base64 come in quasi tutti i casi rilevati in queste settimane)il KIT utilizzato sembra una versione piu' 'evoluta' dei precedenti KIT WIND 

Questo ad esempio uno dei KIT Wind rilevati in passato


questo l'attuale KIT


Abbiamo la presenza di diverse pagine PosteIT ed anche una pagina CartaSI inclusi nel nuovo KIT WIND.
Al momento parrebbe comunque essere attiva la medesima struttura di phishing osservata in passato (redirect a pagina clone PosteIT o Lottomatica a seconda dei num. di carta inserito nel form WIND)

Il clone e' hostato su server polacco appartenete ad azienda di web hosting e precisamente in sottodominio appartenente a sito creato in Wordpress.


La seconda mail ricevuta linka a phishing Vodafone


Si tratta di classico layout con presenza di codice in base64.

Il clone e' hostato su IP


mentre il sotto-dominio dal nome ingannevole usa dominio creato da poco e a nome di persona italiana


Il KIT di phishing utilizzato e' simile ai precedenti e ricalca la struttura di quelli utilizzati anche per WIND e TIM.


Dopo poche ore dal ricevimento mail il clone risulta OFF-line cosi' come il dominio utilizzato dai phishers.

Edgar

Nessun commento: