Non e' una novita' il tentativo di sottrarre credenziali di accesso a webmail gestita da Tiscali come ad esempio spiegato in questo vecchio post del 2011.
Le mails odierne sono in lingua inglese e presentano un testo che informa di accessi alla nostra mailbox da una diversa localita' rispetto alla nostra abituale da cui accediamo alla rete.
Come sempre si potra' bloccare le visite fraudolente al nostro account loggandosi attraverso il form proposto nel link in mail.
Da notare come l'oggetto mail porti invece il testo 'virus alert'
Gli headers mail presentano IP
tra cui 2 argentini che coincidono anche con il dominio usato per indicare la mail del mittente (.AR)
Il link punta a questo fake form Tiscali
con la presenza di logo Tiscali simile a quello originale.
Il form e' hostato su webs.com
cosa che permette la creazione di url ingannevole con incluso il nome Tiscali.
Il form effettua solo un piccolo controllo sulla presenza o no dei dati ma ad esempio la verifica della password non e' implementata, accettando il campo di conferma, qualsiasi stringa casuale di caratteri.
Da notare poi come il testo del campo utente sia in italiano “nome utente' mentre la password veda testo errato come “Confirm Paswold “
Una volta confermati i dati viene linkata a questa pagina che mostra
Edgar
Nessun commento:
Posta un commento