Studentessa di phishing

Sono abituato a ricevere email da venditori cinesi che in un italiano molto teorico mi offrono di recensire su amazon articoli vari, rimborsandomi il costo. Quel mercato è un grande casino, non c’è mai troppa differenza tra i prodotti, quindi il numero di recensioni può significare molto.

Quando ieri mi è arrivato un messaggio dal titolo “Gratis !! Supporto Auto Smartphone Amazon” pensavo fosse uno di loro. Poi apro il messaggio e leggo

Sono una studentessa di Universita di Milano. Sto facendo un lavoro part-time.
Ha bisogno di Supporto Auto Smartphone?
Il venditore di Top 1 Supporto Auto Smartphone di Amazon.
Loro prodotto sta soffriando le CONCORRENZE CON MEZZI IMPROPRI da gli competitori.
Se ha voglia di provare il nostro Supporto Auto Smartphone , Facciamo 10€ + 4€ commisione a suo paypal dopo la recensione.

Testo e struttura del messaggio sono simili a quelle di amazon, però il sito è amzla.com (che mi sono guardato bene dall’aprire). Sì, è vero che in fondo c’è scritto “Potrebbe anche trovarlo direttamente su Amazon” persino in grassetto, però se forse la fanciulla non si proponesse come studentessa universitaria forse riuscirebbe ad avere più clic 🙂

Il multilingue Alan Austin

Stamattina, stante il fatto che la mia casella di posta riceve messaggi per vari miei indirizzi, ho trovato tre spam del sedicente signor Alan Austin del Credit Suisse di Londra che vorrebbe dividere con me i soldi di un signor Manzoor Hassan che non avevo mai sentito nominare prima. Fin qui nulla di nuovo. La parte divertente è che due di questi messaggi sono scritti in tedesco, e il terzo in polacco. Evidentemente lo spammatore vuole raggiungere un pubblico più ampio…

Gli spammatori di JP Monfort

Il guaio di avere indirizzi “istituzionali” pubblici è che ti arriva tutta la merda possibile e immaginabile. Da qualche settimana la mia casella di spam è impestata da decine di mail della JP Monfort, mandate da indirizzi casuali. Visto che tanto non smettevano di inviarle, ho provato a guardarne il footer di una di esse, e ho trovato il seguente testo in corpo 4 grigio chiaro:

If you no longer wish to receive communications from this Office, please send an empty email with the email address you wish to remove in the subject field to remove (at) jpmonfort (dot) us

Non avendo nulla a che fare, ho inviato una mail a quell’indirizzo. Risultato? Rimbalzata.

The recipient server did not accept our requests to connect. Learn more at https://support.google.com/mail/answer/7720 [jpmonfort.us 184.168.131.241: timed out]

C’è da stupirsene?

E questo come spunta?

Mi è appena arrivato sulla casella di posta aziendale un messaggio da parte di sedicente «liuda baradina », con titolo «Thank you». Il messaggio è chiaramente uno spam: tanto per dire mi è stato inviato in Bcc e non in To. Fin qui insomma nulla di strano. Quello che è strano è che il testo del messaggio è «Maurizio Codogno Thank you for the help yesterday. Will keep in touch! Regards».

Ora, non è difficile per uno spammatore recuperare il mio nome e cognome se ha il mio indirizzo aziendale di posta elettronica, visto che c’è scritto. Però a questo punto tanto vale mandarmi il messaggio direttamente con un To:, cosa che darebbe anche più l’idea di un vero messaggio. E spero che Microsoft Exchange non abbia una metavariabile che venga tradotta con nome-e-cognome, perché quello sì che sarebbe un problema.

Qualcuno ne sa di più? Sarà solo un test da parte del nostro gruppo interno antispam?

co-sta s.r.l., io e te che avemo da dirci?

Per nulla cara «CO-STA s.r.l. Progettazione e costruzione stampi termoplastici e termoindurenti Via Postumia di Sala 7/9 , 31040 (TV)», secondo te quanto può interessare a una casella press@ (quella di Wikimedia Italia, per la cronaca) che

Durante il periodo natalizio i nostri uffici rimarranno chiusi dal giorno 22/12/2018 al 06/01/2019 compresi.

tra l’altro con una mail così mal formattata che il testo di cui sopra ho dovuto recuperarlo a fatica in mezzo alle immagini? Chi ti avrebbe dato il permesso di usare questo indirizzo (ovviamente senza nemmeno uno straccio di opt-in, e neppure una procedura di cancellazione?)

phishing “fatto in casa”

Ieri sulla casella aziendale mi è arrivato un messaggio (in italiano corretto 🙂 ) che mi diceva di reinserire i dati personali per la busta paga. Ho guardato rapidamente le header del messaggio e non erano così fasulle: quindi per non saper né leggere né scrivere ho inoltrato il messaggio alla nostra casella aziendale che verifica i possibili spam e phishing. Subito dopo ho fatto un controllo un po’ più attento, ho visto che il link andava a una pagina della nostra rete sotto il ramo “campaign” e ho capito che probabilmente era un messaggio creato internamente ad hoc per vedere se ci cascavamo. (Confesso che non ho avuto voglia di modificare la stringa pseudocasuale nell’URL da aprire per vedere cosa mi sarebbe stato detto).

L’idea di per sé non è così male: hanno persino preso un domain con il nome simile a quello aziendale, col classico trucco della I al posto della L. (O forse è un vero phishing? il dominio non è registrato dalla nostra azienda, in effetti, anche se l’IP corrisponderebbe). Diciamo che sarebbe stata migliore se non fosse arrivata subito dopo che hanno cominciato a prependere [EXT] alle mail che arrivano da fuori azienda…

You have been hacked


Io capisco che questi post siano inviati a strascico (tanto non costa niente) e qualche fessacchiotto che ha paura che il mondo sappia che lui o lei è andato/a su YouPorn magari lo si trova. Ma deve essere proprio fessacchiotto per iniziare una mail con “caro utente di gmail.com” senza nemmeno provare a mettere un nome-e-cognome o almeno un testo generico ma in modo più interessante (“Ti ho fregato!”)

(Sì, ero invidioso non me ne fossero ancora arrivati. Tanto gmail li mette nello spam per conto suo)

MAKE POSTS FAST

Tra lo spam di questi giorni (la sbornia dei post in tedesco con errori di ortografia sembra passata) trovo alcune copie di questo

Hi. I see that you don’t update your page too often. I know that writing posts is time consuming and boring.
But did you know that there is a tool that allows you to create new posts
using existing content (from article directories or other
blogs from your niche)? And it does it very well. The new posts are high quality and pass the
copyscape test. Search in google and try: xxx

Non sono andato a guglare la stringa originale, e comunque Akismet sbatte già automaticamente nello spam questa roba. Mi chiedo solo quanti pezzi del *mio* blog saranno finiti in giro… (e in effetti pare che paulkrost.com abbia vari miei pezzi dal Post).