Venere.com e' un sito di servizio online di prenotazione hotels, agriturismo ecc.... legato al gruppo di aziende facenti parte di Expedia e che, come gia' accaduto ad altre volte (vedi QUI e QUI), torna ad essere obiettivo di diverse mails di phishing orientate ad utenza italiana.
Questa la mail simile a quelle di phishing Venere viste in passato
dove notiamo il testo che evidenzia la richiesta di aggiornare i contenuti del proprio account per “....non perdere prenotazioni.......”
Questo fa pensare che il phishing si rivolto, come d'altronde evidenzia anche l'oggetto mail ed il fake form allegato, in maniera specifica, ad albergatori che utilizzano i servizi di venere.com.
Non e' comunque facile capire cosa possa portare i phishers a dedicarsi a questo genere di phishing in modo cosi' intenso, visti i ricorrenti casi ai danni di venere.com.
Facciamo alcune considerazioni, non legate nello specifico a venere.com, ma genericamente ad un servizio online di prenotazioni.
Ad esempio, se l'accesso all'account dell'albergatore permettesse di aggiornare i dati forniti al momento della registrazione al servizio di prenotazioni online, tra i vari dati visibili potrebbero essercene di 'sensibili'.
Questo ad esempio un form di richiesta dati ai fini della registrazione albergatori:
Inoltre, cosa piu' 'interessante' per i phishers, se l'accesso all'account, permettesse di visionare il database delle prenotazioni dei clienti, si capisce come i phishers stessi potrebbero venire in possesso di dati sensibili relativi alla specifica prenotazione quali nominativo, data e giorni di prenotazione, dettagli, indirizzo mail di chi prenota, numeri telefonici ecc.....
Questo ad esempio un reale form di richiesta dati ai fini della prenotazione online con alcuni di quelli che, al limite, potrebbero essere visionabili a chi accede ad un database delle prenotazioni:
Escludendo che chi accede ai dati della prenotazione online possa visionare quelli di carta di credito che non dovrebbero essere in chiaro, se ad esempio fossero anche solo visibili gli indirizzi mails dei clienti, si potrebbe pensare ad un loro uso per un phishing mirato a specifici nominativi attraverso mails dal contenuto credibile, in quanto riferito ad una reale prenotazione fatta online.
In altre parole potrei vedermi recapitata una mail con mittente ingannevole (nome reale dell'albergo) e che si riferisce alla mia prenotazione, con date e particolari dettagliati, giorni e tipo di camera ecc.... e con la richiesta di confermare ad es. il pagamento effettuato magari riconfermando dati sensibili come il numero di carta di credito, un po come vediamo accadere nei consueti phishing, ma questa volta in maniera veramente molto, ma molto ingannevole come contenuti.
Tornando al phishing attuale, questo il form allegato in mail
ospitato su free web hosting con whois
relativo a hoster della Repubblica Ceca.
Questa la home che illustra la presenza di servizio free di hosting:
Ancora una volta molto interessanti gli headers delle 2 mails ricevute
ma anche
che, pur diversi, puntano tutti come IP origine ad IP italiano simile od uguale ad altri gia' visti in precedenti phishing Venere, come descritto in questo post.
In contrasto con la presenza di IP in range italiano negli headers mails da notare inoltre che, nei casi di utilizzo di hosting per i forms clone o i codici php legati a precedenti phishing venere.com, si e' notato molte volte l'utilizzo di servizi web free locati in paesi Est Europei ed in particolare sempre in repubblica Ceca (vedi QUI).
Edgar
Nessun commento:
Posta un commento