Dal mio socialino di nicchia ho avuto notizia di un nuovo attacco phishing che può essere molto pericoloso. Il testo completo (in inglese) lo trovate su Wordfence: qui vi lascio un riassunto. In pratica può arrivarvi una mail di un vostro contatto che è stato infettato dal phishing e che ha un allegato. Quando si clicca sull’allegato, appare una finestra simile a quella di accesso a Google. Voi mettete la password… e l’avete appena mandata al phisher.

Questo attacco è molto pericoloso proprio perché a prima vista non c’è nulla di strano, e funziona su ogni browser. L’unico modo per accorgersi della cosa è guardare in alto, nella tanto vituperata barra degli indirizzi. Google chiede la password dal sito https://accounts.google.com/ServiceLogin?eccetera_eccetera; il malware invece ha come indirizzo data:text/html,https://accounts.google.com/ServiceLogin?eccetera_eccetera (il grassetto l’ho aggiunto io per evidenziare). Ergo, tutte le volte che dovete inserire una password guardate prima qual è il sito!

Ultimo aggiornamento: 2017-01-13 15:44

Oggi a pranzo mi è arrivata una mail all’indirizzo dell’ufficio stampa di Wikimedia Italia. Il testo:

From: carssrl (a) gigapec.it
To: press (a) wikimedia.it
Cc:
Date: Fri, 4 Nov 2016 13:09:48 +0100
Subject: Fattura n. 183 del 02/11/2016

Per aprire la fattura prema sulla scritta blu riportata in cima alla mail.

oltre a un allegato che non tento nemmeno di aprire, ovviamente :-)
Quello che mi preoccupa è che questa è una copia di una PEC, tanto che mi è stata consegnata da Aruba. Per la precisione, l’identificativo del messaggio è opec282.20161104130948.22871.04.1.64@pec.aruba.it. Ho dato una rapida occhiata alle header del messaggio e mi paiono coerenti con un messaggio spedito da una PEC. Si può fare qualcosa al riguardo?

Ieri ho dato un’occhiata alle caselle email che non uso mai, tanto per buttare via un po’ di spam, e mi sono trovato un messaggio datato 19 ottobre da noreply@gruppoespresso.it avente come titolo “GRUPPO ED.L’ESPRESSO-Variazione Sede Legale” e come testo “Vi preghiamo di prendere nota che in data 1 settembre 2016 Gr.Editoriale l’Espresso Spa ha cambiato sede legale. In allegato tutte le informazioni complete.” In allegato c’è un pdf (di 45 KB)

Ora sono anche abbastanza disposto a credere che il messaggio provenga dal gruppo editoriale l’Espresso: a parte il mio indirizzo email scritto TUTTO IN MAIUSCOLO (loro l’hanno salvato così) tra le righe di header del messaggio ho trovato

Received: by S659CC2B.REPUBBLICA.LOCALE (IBM OS/400 ANYMAIL/400 MIME V5R4M0) Wed, 19 Oct 2016 16:27:39 +0200
X-From-OFFICEVISION:

e non credo proprio che nessun phisher o ransomer arriverebbe a una finezza tale. Ma tanto l’allegato non l’ho comunque aperto.

Il punto è al solito un altro. D’accordo che chi usa ancora OS/400 per gestire la posta elettronica è probabilmente rimasto nell’altro millennio, tanto che non trova nulla di strano a inviare una comunicazione quasi cinquanta giorni dopo l’avvenuta modifica. Ma sarebbe stato molto più logico scrivere nel corpo del messaggio qual è la nuova sede, e tutt’al più aggiungere un link alla pagina del sito aziendale che sicuramente è stata approntata; il tutto a costo zero.

Mi sa che questi qua hanno spedito l’email con la morte nel cuore perché si era loro rotto il fax.

È da un mese o due che mi ritrovo nello spam del blog una quantità abnorme di spam che pubblicizza un sito che vende braccialetti in silicone. La cosa che non capisco è perché lo spammatore non si è ancora accorto che il programma che usa contiene tante frasi fatte separate da una barra | e che non deve spedire tutto il pacchetto di frasi ogni volta. Ma quei programmi non arrivano con un manuale di istruzioni?

Un paio di settimane fa, in uno dei rari momenti in cui sono ottimista nell’umanità, ho mandato all’abuse di un sito che invia messaggi di massa una mail in cui dicevo che quel mittente non mi ha mai chiesto il permesso di postare – anche per l’ottima ragione che la casella email a cui il messaggio era stato spedito non è la mail che uso di solito. Ho poi ricevuto questa risposta.

In relazione alla Sua richiesta, la informiamo che la scrivente società si limita a mettere a disposizione la piattaforma per l’invio di comunicazioni promozionali, mettendo in piedi nelle proprie infrastrutture tutte gli adempimenti di legge secondo quanto previsto dal D.Lgs. 196/2003 (Codice) in tema di trattamento; non siamo quindi noi i Titolari dei database.

Dando seguito alla sua richiesta, Le confermiamo l’avvenuta e corretta cancellazione della sua email dai database del nostro cliente (Add2cart) che le ha recentemente inviato email.
A parte messaggi già in coda di spedizione, entro un massimo di 5 giorni non dovrebbe ricevere ulteriori comunicazioni da questa società.

Tralasciamo la parte sui messaggi che possono essere in coda nei cinque giorni successivi e per cui evidentemente non può esistere procedura di cancellazione, e soffermiamoci sull’altra parte. Tu azienda che spedisce messaggi fai finta di nulla e ti fidi degli indirizziari che ti manda il cliente, e fin qui passi. Ma quando ti fanno notare che gli indirizziari siano farlocchi te ne lavi le mani dicendo “non sono io il titolare della base dati” e non ti viene nemmeno in mente di scrivere qualcosa tipo “nel caso di ulteriori segnalazioni da altri utenti risolveremo il contratto con il cliente”? Sono questi i momenti in cui comincio a intuire il concetto di “concorso esterno in associazione mafiosa”.

Ultimo aggiornamento: 2016-07-25 17:59

Caro (si fa per dire) Stefano Maullu, io non so chi tu sia – a parte essere uno spammatore, visto che mi è arrivato un tuo messaggio a un indirizzo che non viene usato – né mi interessa saperlo. Ti dico solo che se pensi di cavartela scrivendo in fondo al tuo spam

Se hai ricevuto questa e-mail per sbaglio, semplicemente cancellala grazie.

la stai facendo molto male. Purtroppo in Italia le leggi sulla privacy servono a tutto tranne che a multare gli spammatori.

Ultimo aggiornamento: 2016-07-04 19:39

Stamattina – non solo a me, a quanto pare – è arrivato un messaggio di spam dal titolo « Lastello.It – Il miglior modo per dare ai tuoi cari l’ultimo ciao.» e che comincia con

Roma, Luglio 2016 – E’ nato LASTELLO.it (da Last Hello) il primo comparatore di servizi funebri.

Ora a me non dà fastidio che si parli di funerali e servizi funebri, in fin dei conti sono parte della vita. A me dà molto fastidio che mi spediscano spam. Ma un grammar nazi come me non può sopportare di vedere usato “Hello” per un saluto finale.

Ultimo aggiornamento: 2016-07-04 09:48

Mi è appena arrivata una mail con titolo Confirm Your Email De-activation request For press@wikimedia.it (sì, al momento è un mio alias, quindi ha senso arrivi a me) e testo

«Our record indicates that you recently made a request to deactivate email And this request will be processed shortly.
If this request was made accidentally and you have no knowledge of it, you are advised to cancel the request now »

seguito da un bel rettangolone “Cancel De-Activation”.

Inutile dire che non c’era alcuna ragione per cui io dovesse cancellare la disattivazione, e che sono abbastanza abituato alla burocrazia italiana per capire che la frase significa in pratica che voglio essere abbonato alla newsletter. Ma la cosa divertente è che l’indirizzo di spedizione è From: Email Admin<&rt;. Sì, non c’è: quindi il messaggio non è stato composto ma è stato direttamente spedito a basso livello dal server di partenza, che è il vietnamita mail.vinaexpress.com.vn. L’indirizzo a cui avrei cliccato, per la cronaca, è www.withrinconcept.com/dalithing/, e con un controllo più accurato della cartella spam ho visto che ci ha tentato anche ieri.

Direi che come metodo per ottenere il permesso di essere spammati è uno dei più creativi…

Ultimo aggiornamento: 2016-06-26 18:35