Phishing Venere.com

mail fraudolenta

I giornalieri controlli sul phishing nazionale ed internazionale hanno permesso di individuare un tentativo di frode ai danni degli albergatori clienti del servizio di prenotazione on-line Venere.com.

La mail di phishing odierna presenta le seguenti caratteristiche:

oggetto: L’account del servizio deve essere aggiornato .

mittente apparente: “Assistenza Utenti Venere.com”<[email protected]>;

corpo messaggio:

GENTILE CLIENTE, Venere Net S.r.l. L’account del servizio Venere Net S.r.l.deve essere aggiornato **Scarica allegato** Accedi al tuo conto e verifica le modifiche . Importante per la sua sicurezza Se apri con internet explorer accetta i cookie!!! Venere Net S.r.l. Via della Camilluccia, 693 – 00135 Roma-Italia (con socio unico) soggetta a direzione e coordinamento di Hotels.com LP – Iscritta al R.d.I. di Roma ( Italia) – P.I. e C.F. 05649781001 Licenza Agenzia Viaggi No.305 del 05 Aprile 2001 (Cyber Travel) – Capitale sociale: Euro 1.120.600,00 (i.v.)

mail fraudolenta

 

L’allegato aggiornamento.html, evidenziato nell’immagine soprastante, si presenta come un clone della pagina di login attraverso la quale gli albergatori sottoscrittori del servizio di Venere/Expedia accedono al proprio account.

 

falsa pagina web

 

D3Lab non è a conoscenza delle modalità di funzionamento del servizio di Venere/Expidia, tuttavia conoscendo le modalità operative dei criminali appare ipotizzabile che questi, una volta effettuato l’illecito accesso all’account di cui carpiscono le credenziali, possano individuare tra le informazioni dell’utente frodato i dati della carta di credito su cui il servizio gli accredita la percentuale ad egli dovuta per le prenotazioni ricevute on-line da Venere.com.

Le credenziali inserite dalla vittima vengono spedite ad una pagina php in hosting in un dominio gratuito creato sul provider ceco wz.cz, già usato in passato in attività di pshihing, e l’utente viene indirizzato alle pagine del sito legittimno della società.

Dal punto di vista investigativo è interessante notare, dagli headers del messaggio di posta, che lo stesso è stato inviato da un indirizzo ip di Fastweb.

Venere.com è stata notiziata.

Ulteriori informazioni su Edgar’s Internet Tools.