Osservatorio spam

Anche sotto ferragosto lo spam sul blog non molla, forse perché all’estero non sono così fanatici dell’Assunzione della Beata Vergine Maria. Gli amici de braccialetti di silicone che non hanno ancora capito come si usano i programmi per spammare a destra e a manca ci sono sempre; segnalo però la new entry sulle terapie “dimmostrate clinicamente” per evitare la dialisi. Siate i primi a saperlo.

Il single sign-on di LinkedIn

Mi è appena arrivato un messaggio da LinkedIn con titolo “maurizio, here is your link to sign in to LinkedIn” e testo che comincia con “Here is the one-time sign in link you requested”. Sì, arriva da LinkedIn. Ma i dati della richiesta sono

Date: August 9, 2017, 2:23 PM (GMT)
Operating System: Windows 7
Browser: IE
Approximate Location: Aubervilliers, Seine-Saint-Denis, France

A dire il vero non sono ancora le 14:23 GMT, e mi stupisco che qualcuno usi ancora Internet Explorer. Ma chi diavolo vorrebbe entrare sul mio account dalla Francia?

(Interessante notare che LinkedIn richieda che con il SSO si entri dallo stesso device che ha fatto la richiesta, tra l’altro. Ah, per sicurezza la password l’ho cambiata)

Un commento spammoso che sembrerebbe non esserlo

Ci ho perso un attimo prima di decidere che il commento seguente era effettivamente spam. Il testo del commento era

The book never really touches on how to integrate AI into daily life for humanity – shows only the great promise of how everything will be better because the computer intelligence can do everything better.

ed era un commento alla recensione di The Turing Option.
Per i curiosi, il commento è parte di questa recensione, e il supposto commentatore ha come indirizzo nabhatt1 chiocciola yahoo.com (un nome che appare in una lista di indirizzi usabili per spam…) e indica come URL netho.me/bhmd57.com (notate la finezza di non mettere direttamente il sito, che magari è in una blacklist, ma un metasito che lo mostra)

L’idea di cercare (presumo automaticamente) un pezzo di recensione e appiccicarlo come commento non è affatto male, e per l’appunto può indurre qualcuno in confusione; ma la cosa che mi ha fatto più divertire è che è stato proprio scelto un post su un libro che parla di intelligenza artificiale 🙂

Non è Francesca

Dopo mesi e mesi di messaggi da “Francesca” con titolo “RICHIESTA INFORMAZIONI” (non chiedetemi cosa c’è scritto dentro, io butto via direttamente) ora sembra che siamo passati a Silvia 🙂

meta-truffa

Quante mail al giorno ricevete dove vi viene detto che avete vinto non si sa quale lotteria, oppure che c’è qualcuno che ha bisogno di voi per spostare qualche milione di dollari di un pezzo grosso africano morto da poco? Queste truffe si chiamano “419 Nigerian scams“, dall’articolo del codice penale nigeriano che lo tratta: in effetti almeno all’inizio la maggior parte di queste mail arrivavano dalla Nigeria.

Bene. Ieri mi è arrivata una mail che comincia così:

Good day, I am Ms Carla Grasso, the new Scam Compensation Award Comity setup by United Nations and IMF of those people that took part in receiving Inheritance funds and Lottery funds/Consignment box,ATM compensation card, Bank check from European banks even from many lottery organizers few years ago and there payment still outstanding with United Nations Treasury Account, That has pay different fees while Trying to get there Funds from those banks and lottery organizers but all to no avail.

A parte l’inglese molto zoppicante, l’idea di fare una metatruffa mi ha fatto divertire 🙂

Fake referrer

Una volta, quando i blog erano di moda, uno dei modi in cui si estrinsecava l’ego surfing era andare a vedere chi aveva messo un link al nostro sitarello, ed era sempre una gioia scoprire qualcuno che non conoscevamo. Tutto questo è durato poco: gli spammatori si sono subito appropriati del meccanismo, e così man mano i referrer (il nome tecnico di questa funzione) sono spariti alla vista. Ma naturalmente ci sono ancora, e se qualcuno va a vedere le statistiche del proprio sito li può trovare.

Bene: la maggior parte di questi referrer finti sono siti russi, i famosi hacker che vanno sempre in giro a cercare le mail di tutti (tranne di Gentiloni che non le usa). Ma ho notato che c’è una seconda nazione con un numero sproporzionato di siti, ed è l’Ucraina. Sì: sarà anche in guerra non dichiarata con la Russia, ma direi che sotto sotto le due nazioni sono più simili di quanto sembri…

(Non chiedetemi cosa ci sia in questi siti, non sono mica così fesso da andarci)

Attenzione a questo nuovo phishing!

Dal mio socialino di nicchia ho avuto notizia di un nuovo attacco phishing che può essere molto pericoloso. Il testo completo (in inglese) lo trovate su Wordfence: qui vi lascio un riassunto. In pratica può arrivarvi una mail di un vostro contatto che è stato infettato dal phishing e che ha un allegato. Quando si clicca sull’allegato, appare una finestra simile a quella di accesso a Google. Voi mettete la password… e l’avete appena mandata al phisher.

Questo attacco è molto pericoloso proprio perché a prima vista non c’è nulla di strano, e funziona su ogni browser. L’unico modo per accorgersi della cosa è guardare in alto, nella tanto vituperata barra degli indirizzi. Google chiede la password dal sito https://accounts.google.com/ServiceLogin?eccetera_eccetera; il malware invece ha come indirizzo data:text/html,https://accounts.google.com/ServiceLogin?eccetera_eccetera (il grassetto l’ho aggiunto io per evidenziare). Ergo, tutte le volte che dovete inserire una password guardate prima qual è il sito!

Ransomware via PEC?

Oggi a pranzo mi è arrivata una mail all’indirizzo dell’ufficio stampa di Wikimedia Italia. Il testo:

From: carssrl (a) gigapec.it
To: press (a) wikimedia.it
Cc:
Date: Fri, 4 Nov 2016 13:09:48 +0100
Subject: Fattura n. 183 del 02/11/2016

Buongiorno,
Vi inviamo in allegato la fattura n. 183 del 02/11/2016 che vi invitiamo a scaricare e registrare, precisando che tale modalita' e' valida ai fini fiscali ai sensi della RM 28/05/97 n. 132/e.

Per aprire la fattura prema sulla scritta blu riportata in cima alla mail.

oltre a un allegato che non tento nemmeno di aprire, ovviamente 🙂
Quello che mi preoccupa è che questa è una copia di una PEC, tanto che mi è stata consegnata da Aruba. Per la precisione, l’identificativo del messaggio è opec282.20161104130948.22871.04.1.64@pec.aruba.it. Ho dato una rapida occhiata alle header del messaggio e mi paiono coerenti con un messaggio spedito da una PEC. Si può fare qualcosa al riguardo?