Mi è appena arrivato un messaggio da LinkedIn con titolo “maurizio, here is your link to sign in to LinkedIn” e testo che comincia con “Here is the one-time sign in link you requested”. Sì, arriva da LinkedIn. Ma i dati della richiesta sono

Date: August 9, 2017, 2:23 PM (GMT)
Operating System: Windows 7
Browser: IE
Approximate Location: Aubervilliers, Seine-Saint-Denis, France

A dire il vero non sono ancora le 14:23 GMT, e mi stupisco che qualcuno usi ancora Internet Explorer. Ma chi diavolo vorrebbe entrare sul mio account dalla Francia?

(Interessante notare che LinkedIn richieda che con il SSO si entri dallo stesso device che ha fatto la richiesta, tra l’altro. Ah, per sicurezza la password l’ho cambiata)

Ultimo aggiornamento: 2020-07-10 10:58

Ci ho perso un attimo prima di decidere che il commento seguente era effettivamente spam. Il testo del commento era

The book never really touches on how to integrate AI into daily life for humanity – shows only the great promise of how everything will be better because the computer intelligence can do everything better.

ed era un commento alla recensione di The Turing Option.
Per i curiosi, il commento è parte di questa recensione, e il supposto commentatore ha come indirizzo nabhatt1 chiocciola yahoo.com (un nome che appare in una lista di indirizzi usabili per spam…) e indica come URL netho.me/bhmd57.com (notate la finezza di non mettere direttamente il sito, che magari è in una blacklist, ma un metasito che lo mostra)

L’idea di cercare (presumo automaticamente) un pezzo di recensione e appiccicarlo come commento non è affatto male, e per l’appunto può indurre qualcuno in confusione; ma la cosa che mi ha fatto più divertire è che è stato proprio scelto un post su un libro che parla di intelligenza artificiale :-)

Dopo mesi e mesi di messaggi da “Francesca” con titolo “RICHIESTA INFORMAZIONI” (non chiedetemi cosa c’è scritto dentro, io butto via direttamente) ora sembra che siamo passati a Silvia :-)

Ultimo aggiornamento: 2017-08-04 17:48

Quante mail al giorno ricevete dove vi viene detto che avete vinto non si sa quale lotteria, oppure che c’è qualcuno che ha bisogno di voi per spostare qualche milione di dollari di un pezzo grosso africano morto da poco? Queste truffe si chiamano “419 Nigerian scams“, dall’articolo del codice penale nigeriano che lo tratta: in effetti almeno all’inizio la maggior parte di queste mail arrivavano dalla Nigeria.

Bene. Ieri mi è arrivata una mail che comincia così:

Good day, I am Ms Carla Grasso, the new Scam Compensation Award Comity setup by United Nations and IMF of those people that took part in receiving Inheritance funds and Lottery funds/Consignment box,ATM compensation card, Bank check from European banks even from many lottery organizers few years ago and there payment still outstanding with United Nations Treasury Account, That has pay different fees while Trying to get there Funds from those banks and lottery organizers but all to no avail.

A parte l’inglese molto zoppicante, l’idea di fare una metatruffa mi ha fatto divertire :-)

Una volta, quando i blog erano di moda, uno dei modi in cui si estrinsecava l’ego surfing era andare a vedere chi aveva messo un link al nostro sitarello, ed era sempre una gioia scoprire qualcuno che non conoscevamo. Tutto questo è durato poco: gli spammatori si sono subito appropriati del meccanismo, e così man mano i referrer (il nome tecnico di questa funzione) sono spariti alla vista. Ma naturalmente ci sono ancora, e se qualcuno va a vedere le statistiche del proprio sito li può trovare.

Bene: la maggior parte di questi referrer finti sono siti russi, i famosi hacker che vanno sempre in giro a cercare le mail di tutti (tranne di Gentiloni che non le usa). Ma ho notato che c’è una seconda nazione con un numero sproporzionato di siti, ed è l’Ucraina. Sì: sarà anche in guerra non dichiarata con la Russia, ma direi che sotto sotto le due nazioni sono più simili di quanto sembri…

(Non chiedetemi cosa ci sia in questi siti, non sono mica così fesso da andarci)

Ultimo aggiornamento: 2017-02-16 13:52

Dal mio socialino di nicchia ho avuto notizia di un nuovo attacco phishing che può essere molto pericoloso. Il testo completo (in inglese) lo trovate su Wordfence: qui vi lascio un riassunto. In pratica può arrivarvi una mail di un vostro contatto che è stato infettato dal phishing e che ha un allegato. Quando si clicca sull’allegato, appare una finestra simile a quella di accesso a Google. Voi mettete la password… e l’avete appena mandata al phisher.

Questo attacco è molto pericoloso proprio perché a prima vista non c’è nulla di strano, e funziona su ogni browser. L’unico modo per accorgersi della cosa è guardare in alto, nella tanto vituperata barra degli indirizzi. Google chiede la password dal sito https://accounts.google.com/ServiceLogin?eccetera_eccetera; il malware invece ha come indirizzo data:text/html,https://accounts.google.com/ServiceLogin?eccetera_eccetera (il grassetto l’ho aggiunto io per evidenziare). Ergo, tutte le volte che dovete inserire una password guardate prima qual è il sito!

Ultimo aggiornamento: 2017-01-13 15:44

Oggi a pranzo mi è arrivata una mail all’indirizzo dell’ufficio stampa di Wikimedia Italia. Il testo:

From: carssrl (a) gigapec.it
To: press (a) wikimedia.it
Cc:
Date: Fri, 4 Nov 2016 13:09:48 +0100
Subject: Fattura n. 183 del 02/11/2016

Per aprire la fattura prema sulla scritta blu riportata in cima alla mail.

oltre a un allegato che non tento nemmeno di aprire, ovviamente :-)
Quello che mi preoccupa è che questa è una copia di una PEC, tanto che mi è stata consegnata da Aruba. Per la precisione, l’identificativo del messaggio è opec282.20161104130948.22871.04.1.64@pec.aruba.it. Ho dato una rapida occhiata alle header del messaggio e mi paiono coerenti con un messaggio spedito da una PEC. Si può fare qualcosa al riguardo?

Ieri ho dato un’occhiata alle caselle email che non uso mai, tanto per buttare via un po’ di spam, e mi sono trovato un messaggio datato 19 ottobre da noreply@gruppoespresso.it avente come titolo “GRUPPO ED.L’ESPRESSO-Variazione Sede Legale” e come testo “Vi preghiamo di prendere nota che in data 1 settembre 2016 Gr.Editoriale l’Espresso Spa ha cambiato sede legale. In allegato tutte le informazioni complete.” In allegato c’è un pdf (di 45 KB)

Ora sono anche abbastanza disposto a credere che il messaggio provenga dal gruppo editoriale l’Espresso: a parte il mio indirizzo email scritto TUTTO IN MAIUSCOLO (loro l’hanno salvato così) tra le righe di header del messaggio ho trovato

Received: by S659CC2B.REPUBBLICA.LOCALE (IBM OS/400 ANYMAIL/400 MIME V5R4M0) Wed, 19 Oct 2016 16:27:39 +0200
X-From-OFFICEVISION:

e non credo proprio che nessun phisher o ransomer arriverebbe a una finezza tale. Ma tanto l’allegato non l’ho comunque aperto.

Il punto è al solito un altro. D’accordo che chi usa ancora OS/400 per gestire la posta elettronica è probabilmente rimasto nell’altro millennio, tanto che non trova nulla di strano a inviare una comunicazione quasi cinquanta giorni dopo l’avvenuta modifica. Ma sarebbe stato molto più logico scrivere nel corpo del messaggio qual è la nuova sede, e tutt’al più aggiungere un link alla pagina del sito aziendale che sicuramente è stata approntata; il tutto a costo zero.

Mi sa che questi qua hanno spedito l’email con la morte nel cuore perché si era loro rotto il fax.