Recrudescenza phishing Libero.it

mail phishing

Si sta assistendo in questi giorni ad una recrudescenza di attacchi di phishing a danno degli utenti di Libero.it. I casi PHISH 1 e 3 si presentano di fattura rozza, mentre i restanti casi PHISH 2, 4 e 5, che risultano accomunati dalla medesima mano, come determinabile dal similare layout grafico e dall’impiego dei medesimi host ed ISP, presentano un layout decisamente più curato sia per la mail di attacco che per le pagine clone.

 

PHISH 1

Mail rilevata il 27 ottobre, si presenta come phishing di vecchio stampo, con i dati che vengono inviati al criminale rispondendo alla mail stessa.
La mail di attacco è partita presumibilmente dal sito web violato di una prefettura brasiliana, le credenziali venivano invece inviate ad un account di posta presso il provider cinese 163.com. 

mail phishing

 

 

PHISH 2

Mail del 31/10/2014, partita da indirizzo ip nigeriano e transitata su server di posta brasiliano. Sebbene l’italiano con cui il messaggio è scritto presenti diverse “increspature”, il layout grafico risulta decisamente più curato.

mail di phishing 31/10/2014

 

 

il link proposto nella mail porta a pagine clone (http://fleetblueupdate.com/admin/libero/) su host statunitense, riproducenti le grafica della pagina di login, con immagini richiamate direttamente dal dominio libero.it

pagina clone

 

 

PHISH 3

Mail sempre rilevata il 31/10/2014, scritta in lingua inglese, partita da un account di posta del provider sloveno Telmach Comminication Services.

mail di phishing 31/10/2014 in lingua inglese

 

Le pagine web a cui portava il link, su host Amazon, non sono più attive e si presentavano assolutamente grezze e non customizzate sul target.

pagine di phishing grezze

 

 

PHISH 4

Mail del 03/11/2014, si presenta come evoluzione di quella rilevata nel PHISH 2, ha in comune con essa la medesima rete nigeriana da cui risulta essere partita ed il  server di posta brasiliano su cui è transitata. Si rileva immediatamente come il layout grafico sia il medesimo, solo con il testo di maggior lunghezza.

mail di phishing 03/11/2014

 

Anche in questo caso il clone, ancora attivo (http://starkonline-secure.com/css/upgrade/mailplus/) e posiziona su host statunitense del medesimo ISP del PHISH 2, riproduce il layout della pagina di login di libero.it traendo le immagini dal legittimo dominio.

pagina clone

 

PHISH 5

mail sempre del 03/11/2014, presenta identica grafica e testo di quella del caso precedente, con cui ha in comune il server di posta brasiliano di transito, risultando però essere partita da indirizzo ip USA. La differenza più evidente la si individua nel mittente visualizzato “Libero Support” anziché Libero.it.

In questo caso il clone, che presentava le medesime caratteristiche ed il medesimo hoster del caso precedente, risulta essere off-line.