Sleipnir

Ennesimo caso di phishing per Poste italiane. Come si nota dall’italiano utilizzato, è difficile cadere in trappola anche per il più distratto degli utenti…

Altro indizio evidente del phishing: semplicemente spostando il mouse sul link (in blu nell’immagine) si nota che l’indirizzo è palesemente diverso dal sito originale di poste italiane, nella mail che ho ricevuto è:

http://bastelr.org/bancopostaonline/poste/bpol/bancoposta/

La prima parte dell’indirizzo web contraffatto, bastelr.org, può essere facilmente controllata con un whois (l’interrogazione ad un database - una sorta di pagine gialle - dove sono contenuti tutti i dati di chi ha registrato un dominio su internet…).

Nel mio caso, ad esempio, il risultato è visibile a questo indirizzo:

http://www.dnsstuff.com/tools/whois.ch?ip=bastelr.org

un sito canadese…

Mi sa che a breve, a "stare in fresco in questa estate rovente" e ad "essere proseguiti" saranno loro

Maggiori informazioni su:

http://www.anti-phishing.it/news/articoli/news.11062007.php

Gentile Cliente, stiamo eseguendo i dovuti accertamenti sul suo sistema informatico, il suo indirizzo email ci è stato segnalato da terzi come fruitore di materiale P2P scaricato illegalmente dalla rete. La sua posta elettronica è sotto controllo già da 10gg, la preghiamo pertanto di voler seguire il seguente link www.i-verifycenter.com dove troverà il modulo per dichiarare la sua estraneità alla detenzione di materiale indebitaménte contraffatto.
Certi di una sua volontaria collaborazione porgiamo
Distinti Saluti
Carlo Montorsini - Assessments Director
Internet VerifyCenter s.p.a 2002-2008
www.i-verifycenter.com

Spettabile Carlo Montorsini,
desidererei alcuni chiarimenti in merito alla sua mail, tosto ricevuta:

1) Sarei un Suo cliente ma evidentemente ho grossi problemi di memoria, visto che il Suo nome altro non mi ricorda che un simil-prosciutto…
2) “stiamo eseguendo”…chi? Sarebbe doveroso da parte Sua specificare “chi siete” o avete soltanto visto troppi film horror e quindi devo dedurre che “siete tanti” e vi chiamate pure “legione” ?
3) “accertamenti sul suo sistema informatico” mmm…bene, visto che il vostro indirizzo ip (88.255.121.86), tramite un semplice whois pare esser in Turchia, dovrei dedurre che le “nostre” autorità ricorrono all’outsourcing addirittura per i propri server …povera Italia…
4) “segnalato da terzi” mmm… ci ricolleghiamo al punto precedente: oltre all’outsourcing dei server, ci si rivolge anche all’outsourcing di chi lavora ai server
5) “sua posta elettronica è sotto controllo già da 10gg” … ah, beh…quindi avrei commesso un reato e dovrei solo compilare un modulo…semplice….peccato che il sito verifycenter.com, dopo un semplice controllo su dnsstuff.com, sia registrato a nome di Avalonrise.com, sito web che vende trapani, frullatori, mixer per la cucina…
Quindi la mia posta sarebbe controllata da un sito di shopping online che vende frullatori…mmm…magari tra un po’ verrò arrestato da Giorgio Mastrota che mi condannerà a lavar le pentole che vende

La signorina sopra (alias Christina Scabbia ) non ha molto a che fare con l’argomento del post ma è comparsa mentre cercavo un’immagine che s’adattasse particolarmente all’argomento del post.

Sarà per il cognome (che, in effetti, pare non ispiri particolare salubrità ), sarà perché per esser una cantante metal (in rete pare sia anche abbastanza famosa…) è unica nella sua bellezza ( le cantanti metal, per quanto mi ricordi, son sempre state brutte sporche e cattive ); o chissà per quale altra astrusa ragione sia entrata nelle grazie di Googleone (ho fatto pure la rima :):) ) e venga associata alla ricerca di “spam luci rosse” (argomento del nostro post), a noi poveri mortali non è dato saperlo.
L’argomento del post è, quindi, un tipo particolare di spam: il cosiddetto image spam o, come viene definito da Sophos, escort spam.
Un tipo di spam che utilizza le cosidette captcha (quelle immagini - lettere e numeri distorti od inclinati - molto usate in rete per verificare che i post dei blog o dei forum siano inseriti da esseri umani e non da macchine - i cosidetti bot , abbreviazione di robot, che scansionano la rete alla ricerca di indirizzi email, commenti fasulli da inserire nei blog, forum, chat ecc… - ) per fare pubblicità a siti di prostituzione: si riceve una mail dal titolo “Come trovare una ragazza nella tua città che ti aiuti a scaricare lo stress”, contenente un’immagine porno con annesso un link. Cliccandolo si raggiunge un sito per trovare prostitute nella propria città (si potrebbe chiamarlo Bitchoogle :) ) e pare proprio che questo metodo riesca ad ingannare molti sistemi antispam.

Sotto, un esempio della mail:

Ed uno del sito:

L’image spam non è una pratica nuova: basta controllare le nostre caselle di posta ed avremo decine di esempi di mail contenenti solo immagini ed un link (medicinali vari da comprare senza ricetta, sistemi allunga-prestazioni - e non solo :) - ecc…)

Strano però che la professione più vecchia del mondo abbia bisogno di tali operazioni di marketing

Fonte: Sophos

Se vi dico Egitto, cosa vi viene in mente? Personalmente le piramidi, i faraoni, la sabbia, dune, cammelli, ecc…. ed anche lo splendido film (o meglio gli splendidi film, visto che il sequel - La mummia 2 - forse è addirittura migliore del primo ed oggigiorno questo capita raramente…) dal quale è tratta la splendida immagine di questo post; bene ecco il rovescio della medaglia che riguarda l’Egitto.

Chi crede che lo spam sia peculiarità dell’email o comunque Internet in generale, si dovrà ricredere: i primi di gennaio - precisamente il 4 gennaio - ricevo il seguente sms:

” InSEGRETERIA ci sono messaggi per te. Chiama da fisso al 899878792,info e costi inSEGRETERIA.com ”

Il numero da quale giungeva questo splendido sms era 0020105996500, cercando sul web (ad esempio su paginebianche.it ) si trova che il prefisso internazionale 0020 corrisponde all’Egitto

Tutto era molto sospetto:

- il mittente con prefisso internazionale (non sapevo fosse internazionale ovviamente prima d’andar sul web, non sono un elenco ambulante ; comunque il sospetto è scattato vedendo un numero diverso dal solito ed insolitamente lungo)

- un 899 per consultare la segreteria

- la presenza di un sito web, caratteristica comune ai messaggi di spam

Sul web non si trovavano, all’epoca del ricevimento del sms, molti riscontri. Ora si trovano alcuni post che ne parlano: mobileblog, o facendo riferimento ad un sms simile ne parlano pc-facile.com e PrimaDaNoi

Questi siti (ed altri) però non consigliano alcune cose da fare subito (o meglio non fare) appena si ricevono sms del genere :

- non chiamare il numero dal quale giunge il messaggio

(molto spesso è anche inutile - a parte a far spender euri essendo un numero internazionale - visto che potrebbe essere un provider gratuito che si occupa d’inviare gli sms -
i cosidetti SMSC, Short Message Service Center, - che comunque dovrebbe avere registri dei mittenti degli sms incriminati…)

- non chiamare l’899 (è universalmente noto che sono spillasoldi…)

- non visitare il sito insegreteria.com (e le sue varianti: .net, .com ed altre….ci vuole poco a creare un dominio nuovo su internet….)

Il messaggio è chiaramente una truffa (l’sms, essendo un 899, costa 15 euro…), il sito in questione è un sito d’incontri online che una volta abbonati, per ogni servizio chiede di telefonare a 15 euro al colpo

Il termine Spam è oramai, tristemente purtroppo, noto a tutti; esperti e non, la sua origine è riconducibile ad uno sketch dei Monty Python, dove la cameriera di un locale offriva solamente piatti a base di spam (un tipo di carne in scatola).

Questo post (e gli altri che seguiranno, visto che l’argomento non è nè semplice, nè breve… ) è nato principalmente da una domanda che, ormai lustri fa, m’ha fatto Cuore Mangiato e che, sicuramente, sarà balenata in mente a più di una persona, all’atto del ricevimento della prima mail non desiderata (indi spam, appunto): “Da dove viene questa roba?” e “Come hanno fatto ad avere il mio indirizzo?”

Domande molto semplici all’apparenza ma alle quali si potrebbe scrivere per mesi; procediamo per gradi e vediamo di affrontare una piccola parte dell’argomento: come avviene tutto questo.

Lo spam è noto ormai che sia in mano a criminali ben organizzati (a volte pure troppo, direi…), che per la maggior parte si affidano a strumenti automatici per diffondere spam su forum e blog . In particolare lo spam sui blog viene chiamato splog (spam + blog) e viene attuato inserendo commenti inutili ed assolutamente fuori tema che contengono link al sito dello spammer

Uno di questi programmi, in vendita a soli 450 € (assistenza online compresa, ovviamente…), che per uno spammer son meno di bruscolini; permette allo spammer di inviare spam per blog (splog) e forum eludendo molte tecnologie di protezione (ad esempio i cosidetti captcha che tutti avranno già incontrato: le immagini con numeri e lettere da inserire prima di aggiungere un commento)

C’è anche una guida online al programma, per facilitarne l’apprendimento…

Che altro aggiungere…

No comment…forse

Fonte: Gianni Amato