Si tratta di numerose mails probabilmente provenienti tutte dalla stessa 'fonte' ma con diversi IP in header:
Piu' interessante la struttura del messaggio mail codificato in base64, e che vediamo decodificato
Come si nota l'intero messaggio visualizzato in mail non e' altro che una immagine PNG (hostata sul medesimo server del clone TIM)
con in evidenza un testo in colore BLU che simula un link cliccabile.
Attraverso opportuno codice l'aerea occupata dal testo 'in blu' sull'immagine PNG viene resa attiva e linka al clone TIM.
Da notare anche come il testo della mail evidenzi che '… solo oggi 05 agosto 2013 ….” sia possibile usufruire del bonus sulla ricarica, cercando cosi' di sollecitare maggiormente chi ricevesse la mail ad 'aderire' alla falsa promozione TIM.
Come sempre lo scopo finale di questo genere di phishing e' quello di acquisire dati personali e di carta di credito.
Sia l'immagine PNG che il clone TIM sono hostati su server indiano
mentre una analisi piu' approfondita dei contenuti rivela la presenza, in diverso subfolder, anche di una pagina fake CartaSi che non parrebbe essere direttamente richiamata dal phishing TIM
Per quanto si riferisce al clone TIM si tratta del consueto layout (che esegue una verifica formale sui dati inseriti)
e di una successiva pagina 'Verified by VISA'
che redirige poi sul legittimo sito TIM.
Edgar
Nessun commento:
Posta un commento