«
»

Atentie! Furt de conturi MyVodafone


Azi am primit pe mail o “oferta” de la Vodafone. Defapt este o incercare aproape reusita de a fura conturi de MyVodafone (phishing). Cu siguranta pe altii ii va pacali asa ca anuntati prietenii sa ignore o vreme mailurile cu oferte Vodafone. Oferta asta cica include 200 minute nationale gratis in primele 6 luni si 10% reducere la valoarea convorbirilor. Desigur ca multi vor pica in plasa pentru ca romanul trage la oferte de genul asta…

Mailul primit arata cam asa:

Dupa cum vedeti, arata destul de real, doar ca la o analiza mai “amanuntita” se vad cateva probleme: bannerul este de slaba calitate, avand culorile indexate (deci imaginea se vede asa… punctulete punctulete ;) ), textul este clar scris aiurea, nefiind aliniat frumos si cu o dimensiune a caracterelor prea mare (si fara stelute cu text scris mic mic, ceea ce e neobisnuit pentru Vodafone si alti provideri) si in plus adresa expeditorului este … “MyVodafone”…

Headerul mailului primit arata cam asa:

From MyVodafone Wed Jun  9 16:31:10 2010
X-Apparently-To: xxxxxxxx@yahoo.com via 67.195.22.124; Wed, 09 Jun 2010 12:26:19 -0700
Return-Path:
Received-SPF: pass (mta1061.mail.re4.yahoo.com: domain of webmaster@max.dap.ro designates 193.192.42.12 as permitted sender)
X-Originating-IP: [193.192.42.12]
Authentication-Results: mta1061.mail.re4.yahoo.com  from=vodafone.ro; domainkeys=neutral (no sig);  from=vodafone.ro; dkim=neutral (no sig)
Received: from 127.0.0.1  (EHLO dap.ro) (193.192.42.12)
  by mta1061.mail.re4.yahoo.com with SMTP; Wed, 09 Jun 2010 12:26:19 -0700
Received: by dap.ro (Postfix, from userid 5024)
	id 520A230F62; Wed,  9 Jun 2010 19:31:10 +0300 (EEST)
To: xxxxxxxx@yahoo.com
Subject: Vorbeste 200 minute nationale la orice ora in orice retea nationala
X-PHP-Script: max.dap.ro/x.php for 67.193.91.233
From: MyVodafone
Reply-To: myvodafone.no-reply@vodafone.ro
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-Id: <20100609163111.520A230F62@dap.ro>
Date: Wed,  9 Jun 2010 19:31:10 +0300 (EEST)
Content-Length: 8165

Se vede clar ca mailul este trimis printr-un script PHP de pe max.dap.ro – x.php. Cam ciudat ca scriptul pentru trimiterea “ofertelor” se cheama “x.php”, nu? Am mai vazut eu in conturi de hosting sparte un “x.php” care trimitea mailuri :)

M-am uitat si ce-i cu dap.ro asta si cica e hosting gratis, deci 99% contul lui “max” a fost spart si i-au uploadat fisierele necesare phishingului. Baietii au incercat si sa simuleze o greseala de autentificare, pentru ca dupa ce apesi pe butonul de login te redirectioneaza catre site-ul real MyVodafone. Ah, aveti mai jos un print screen al site-ului:

In concluzie, sa nu va bagati parola de MyVodafone intr-un site ce nu are “vodafone.ro” la hostname in URL, sau mai sigur intrati in MyVodafone doar de pe site-ul vodafone.ro.

,

Acest articol a fost publicat 10/06/2010, 00:01 în Life. Puteţi urmări orice comentariu nou la acest articol prin RSS 2.0. Puteţi comenta, sau lăsa o legătură pe site-ul dvs.

  1. Nu sunt comentarii.
(nu va fi publicat)