Phishing Vodafone + carburanti

messagio di posta fraudolento

I criminali propongono nuovamente allettanti offerte agli italiani, impegnati a far quadrare i propri bilanci, con il solo fine di carpire i dati delle loro carte di credito. 

La frode odierna ha come principali obbiettivi i clienti Vodafone e tenta di ingannarli proponendo loro di ottenere, a seguito di una ricarica di almeno 20,00 Euro, un buono carburante del valore di 20,00 Euro da spendersi presso le stazioni di servizio ENI, Tamoil ed ERG.

 

messagio di posta fraudolento

 

La mail fraudolenta odierna presenta le seguenti caratteristiche:

mittente apparente: Vodafone;

oggetto: Vodаfoոe Yοս ρrеmіa tսttі i cliеnti сoո bυоni carbυraոte alle stazіoni ԁi sеrѵіzi Εոi, Τаmоіl, Тօtal ERԌ іd: 667674320;

testo del messaggio (codificato in base 64):

A Novembre Vodafone You premia tutti i clienti con buoni carburante alle stazioni di servizi Eni, Tamoil, Total ERG Per sfruttare la promozione, basta fare una ricarica da almeno 20 euro entro il 5 novembre e ricevi 20 euro regalo buoni carburante.

Successivamente ricevrai entro 12 ore un SMS con codice buono carburante. Per usarlo è necessario recarsi presso una delle Eni Station, Tamoil e Total ERG. Al momento del pagamento, basta mostrare il codice (o i codici) alla cassa.

Ricarica: Ricevi il tuo Buono

 

Tutte le copie del messaggio di posta fraudolento rilevate da D3Lab risultano essere state inviate dallo stesso indirizzo IP britannico ed essere transitate su server di posta elettronica spagnoli, statunitensi e cinesi.

Cliccando sul collegamento ipertestuale i destinatari del messaggio vengono portati a pagine web fraudolente all’url

http://scroncewellandpump.com/vodafone/[email protected]

La presenza dell’indirizzo mail del destinatario all’interno dell’url consente ai criminali di avere url sempre differenti, idonei ad evadere i meccanismi di black listing implementati quali meccanismi di sicurezza dai browser più diffusi. In realtà, differentemente da quanto avvenuto in altri casi, l’indirizzo mail non è obbligatorio al fine di visualizzare la pagina web fraudolenta. La stessa, come già avvenuto in passato, è realizzata usando un unica immagine di sfondo >su cui vengono sovrapposti, grazie al codice html, i campi del form in cui la vittima inserirà i propri dati di carta di credito.

In base alla tipologia di carta di credito inserita il visitatore varrà indirizzato ad una successiva pagina di validazione del secure code di Carta Sì (vedasi iIlustrazione 3) o a pagine riproducenti la grafica di Poste Italiane o Lottomatica nelle quali verranno richiesti i dati di accesso ai relativi account.

Il dominio SCRONCEWELLANDPUMP.COM , nel cui sito web in cui sono state inserite le pagine fraudolente, risulta di recente creazione

Domain Name: SCRONCEWELLANDPUMP.COM  

   Registrar: ENOM, INC. 
   Whois Server: whois.enom.com 
   Referral URL: http://www.enom.com 
   Name Server: NS1.AVIATIONDOMAINS.COM 
   Name Server: NS2.AVIATIONDOMAINS.COM 
   Status: clientTransferProhibited 
   Updated Date: 20-oct-2013 
   Creation Date: 28-jun-2013 
   Expiration Date: 28-jun-2014 

Si individuano in rete indicazioni dell'effettiva esistenza della società “Terry Scronce Well Drilling & Pump Service“, tuttavia l'essenza di contenuti nel sito web, ad eccezione della home page, nemmeno individuabili nelle copie di cache dei motori di ricerca, unitamente alla recente data di creazione del dominio, lascerebbero ipotizzare la creazione ad hoc da parte dei criminali al fine perpetrare attività fraudolente.