Phishing WhatsApp 20160226

Nella giornata di ieri è stato registrato un massiccio invio di mail di phishing a danno degli utenti WhatsApp.

il messaggio di posta fraudolento, partito da un host statunitense, presenta le seguenti caratteristiche:

 

 

Oggetto: Il tuo WhatsApp Messenger è scaduto

Mittente: “WhatsApp Messenger” <[email protected]>

testo del messaggio:

————————————————————————–

Attenzione! Il tuo account WhatsApp Messenger e scaduto

La registrazione non e stata rinnovata scade entro 24 ore, per rinnovare il tuo WhatsApp Messenger 0,99 euro, grazie a seguire il link di rinnovo

Rinnova il tuo WhatsApp Messenger

Si prega di rinnovare il piu presto possibile per evitare la perdita di tutti i media (immagini, video, storico …)

servizi commerciali

2016 whatsapp.com All rights reserved.

————————————————————————–

 

la dicitura “Rinnova il tuo WhatsApp Messenger” nasconde il link all’url: hxxp://whatsapp-rinnovo.com/Clicca.php.

Il dominio whatsapp-rinnovo.com risulta essere stato registrato nei giorni scorsi attraverso il provider francese OVH
Domain Name: whatsapp-rinnovo.com
Registry Domain ID: 2004558108_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.ovh.com
Registrar URL: http://www.ovh.com
Updated Date: 2016-02-19T21:54:11.0Z
Creation Date: 2016-02-19T21:48:12.0Z
ed essere in hosting presso altro provider francese frequentemente utilizzato dai cyber criminali per la pubblicazione di siti/domini ad uso fraudolento.

 

Il collegamento ipertestuale presente nella mail svolge funzione di redirect portando i visitatori su pagine clone inoculate all’interno di un sito web compromesso.

 

per ogni visitatore viene creata una directory con nome random (usualmente l’hash md5 dell’istante temporale) all’interno del quale viene copiato il kit di phishing, sistema spesso impiegato per cercare di eludere i meccanismi di balck listing basati su url completo.

Le pagine clone richiedono l’inserimento dei dati di carta di credito.