Nuovo phishing ai danni di azienda IT di telefonia segnalato sul ‘DB segnalazioni phishing e malware’ del blog (2 ottobre)

Creato il 03 ottobre 2014 da Faweb
Ricevuta, da parte di un lettore del blog, che ringrazio,  una nuova segnalazione di phishing ai danni di nota azienda italiana di servizi di telefonia mobile, telefonia fissa e Internet.Si tratta sempre delle solite pagine fake che attraverso falsi form di 'ricarica online' tentano di acquisire dati personali e di carta di credito.Il messaggio mail, con qualche errore nel testo,  ricalca quelli gia' visti in passato, con utilizzo di testo ingannevole e promessa di forti sconti 
….................  Ricarica il tuo numero di telefonoAccedi al servizio per ottere con solo 20 euro di spesa,unaricarica omaggio del valore di 50 euro, accesso a internet per 5GB, 1000 minuti di chiamate verso tutti.!!!Approfittane, offerta limitata fino a esaurimento schedeprepagate.................
Dal punto di vista della struttura del phishing segnalato oggi, e' interessante osservare come, specialmente negli ultimi mesi, si tenda ad utilizzare cloni di phishing posizionati su siti compromessi raggiungibili dopo una lunga sequenza di redirects.
In altre parole non ci troviamo piu' di fronte al consueto singolo redirect che sfruttando un codice incluso su sito compromesso puntava al clone di phishing, ma a numerosi reindirizzamenti che si interpongono tra link presente in mail e destinazione finale (form di phishing)
Tra i vantaggi che i phishers ottengono c'e' sicuramente la possibilita' di mascherare meglio l'url di phishing onde evitare che venga messa in blacklist, ma anche, se viene messo offline uno dei redirect intermedi , di avere maggiori alternative nel variare il percorso al phishing, riattivando cosi' il clone.Altra caratteristica molto diffusa ultimamente e' quella di includere nella url, sequenze casuali di testo che variano ad ogni caricamento della pagina fake, rendendo cosi' inutile la notifica in blacklist dell'indirizzo del clone di phishing, in quanto sempre diverso.Inoltre pare esserci un incremento nell'uso di servizi free online di url shortening o che comunque possono essere configurati per questo tipo di mascheramento della url  (vedi caso segnalato nel precedente post

ed anche di servizi (spesso free) che permettono di creare subdomini, partendo da elenchi di domini disponibili, che vengono fatti poi puntare a differente indirizzo di sito compromesso ospitante il clone
Vediamo alcuni dettagli:
Questo un report relativo alla connessione al clone partendo dalla url del link presente nell'odierna mail 

dove notiamo l'elevato numero di redirects,evidenziati in colore.
Se andiamo a verificare gli IP coinvolti in questo phishing, ecco invece la lunga sequenza di server coinvolti:




Informo che, come accade in questi casi, la segnalazione sul db del blog e stata inoltrata a chi si occupa di contrasto a questo specifico genere di phishing, cosa che ha permesso di verificare la messa OffLine del clone dopo circa un'ora dalla sua segnalazione.
 Edgar
Ricordo che e' sempre attivo il db del blog per segnalare eventuali mail di phishing ricevute e delle quali, nel limite del tempo disponibile, verranno dati alcuni dettagli sul blog nonche' effettuata specifica segnalazione a chi si occupa del contrasto al phishing.