giovedì 26 settembre 2013

WEBmail phishing ai danni di utenti italiani della rete attraverso l'uso del servizio free di form2go.com (26 settembre)

Da tempo sono presenti in rete fake pagine con forms che riproducono login a WEBmail tra cui Yahoo, Gmail, Windows Live, AOL ecc... nonche' generici servizi di WEBmail
Nei casi analizzati nei mesi scorsi si trattava pero' di forms linkati da mails in lingua inglese e quindi non specificamente mirati ad utenti IT.
Le diverse mail ricevute in queste ultime ore mostrano invece un messaggio in lingua italiana


con header mail che mostra diversi IP coinvolti, come e' tipico in messaggi di spam e di phishing.


Il testo mail, a parte qualche errore, sembra quindi essere specificatamente cerato per acquisire dati di login a WEBmail di utenti IT.
Il messaggio ripropone la consueta INFO, gia' vista molte volte in analoghi casi, al riguardo di un possibile blocco del nostro account e invita a effettuare un login alla nostra mailbox attraverso il form linkato.
Si noti come non venga indicato uno specifico servizio free WEBmail ma si scriva  genericamente della ...tua quota Webmail ... e questo per avere un maggior numero di utenti da colpire.

Il form a cui si viene linkati 


presentai i consueti campi relativi a login WEBmail ed e' stato creato e gestito attraverso il servizio free di form2go.com

Una volta confermati i dati immessi (notare il pulsante con scritta 'presentare' che non e' sicuramente la miglior traduzione in italiano per un pulsante di conferma dati) viene proposto questo breve messaggio che informa della corretta acquisizione.


C'e' da dire che non vene eseguito nessun controllo su quanto digitato e la conferma della corretta acquisizione appare anche con form completamente vuoto.

Interessante come il servizio free usato, e cioe' form2go.com, 


venga utilizzato da spammers e phishers in maniera estesa.
Questo lo possiamo verificare modificando il numero presente nella url che e' specifico per ogni form messo online.
Capita cosi' che il form successivo a quello di phishing visto ora sia 


con evidente uso di links a pharmacy.
Ecco una altro 'form' catturato tra i tanti messi online e con link ed immagini a vendita di medicinali.


In realta' in questi casi gli spammers hanno abilmente usato le possibilita' offerte dai layout dei form ottenendo piuttosto una pagina con immagini e link ipertestuali a siti di pharmacy.


Edgar

Nessun commento: