venerdì 9 agosto 2013

Phishing WIND (8-9 agosto)

Ancora una serie di mails di phishing ai danni di WIND:
Si tratta di diverse mails ricevute nella serata di ieri (8 agosto) che si presentano come:


Nel dettaglio vediamo che la struttura mail ricorda le precedenti ai danni anche di altre aziende si telefonia mobile, con un messaggio costituito da unica immagine caricata dal medesimo server che ospita il clone WIND.
L'immagine linkata e' chiaramente tratta da banner del sito ufficiale WIND


ed e' stata opportunamente 'elaborata' sovrapponendo al testo originale quello utile all'azione di phishing.


Notate come le dimensioni delle due immagini siano identiche cosa che conferma il probabile 'ritocco'  di originale WIND 
L'operazione di 'ritocco'  e' naturalmente eseguibile con uno dei tanti software di foto-ritocco e painting disponibili anche free.
Nel caso esaminato e' stato usato

 


come si vede dai dati EXIF del file immagine.


Per il resto abbiamo il solito form di immissione dati che risulta leggermente diverso da precedenti layout


seguito da un form Verified By VISA


anch'esso con layout diverso da recenti casi.
Si rileva comunque che si tratta di layout e codici 'riciclati' da precedenti azioni di phishing visto ad esempio che l' HTML img alt Attribute di uno dei loghi mostra riferirsi ad Unicredit Card


Una volta acquisiti i dati si viene rediretti al legittimo sito WIND in cui vediamo proprio il banner che e' stato probabilmente acquisito dai phishers per creare il fake messaggio mail.


Altra curiosita' sul medesimo indirizzo IP del clone WIND troviamo files di log e codici collegati a probabile phishing PayPal.
Da notare come il timestamp dei files sia aggiornato indicando azione di phishing tuttora in corso.


 Edgar 

Nessun commento: