Archivi categoria: spam_phishing

Nice try

Mi è appena arrivata una mail con titolo Confirm Your Email De-activation request For press@wikimedia.it (sì, al momento è un mio alias, quindi ha senso arrivi a me) e testo

«Our record indicates that you recently made a request to deactivate email And this request will be processed shortly.
If this request was made accidentally and you have no knowledge of it, you are advised to cancel the request now »

seguito da un bel rettangolone “Cancel De-Activation”.

Inutile dire che non c’era alcuna ragione per cui io dovesse cancellare la disattivazione, e che sono abbastanza abituato alla burocrazia italiana per capire che la frase significa in pratica che voglio essere abbonato alla newsletter. Ma la cosa divertente è che l’indirizzo di spedizione è From: Email Admin<&rt;. Sì, non c’è: quindi il messaggio non è stato composto ma è stato direttamente spedito a basso livello dal server di partenza, che è il vietnamita mail.vinaexpress.com.vn. L’indirizzo a cui avrei cliccato, per la cronaca, è www.withrinconcept.com/dalithing/, e con un controllo più accurato della cartella spam ho visto che ci ha tentato anche ieri.

Direi che come metodo per ottenere il permesso di essere spammati è uno dei più creativi…

Ultimo aggiornamento: 2016-06-26 18:35

Attacco via querela fasulla

Oggi sta girando il messaggio che si vede cliccando nel riquadro qui a fianco (non temete, è un PNG, danni non fa).
Ora, immagino che solo un analfabeta elettronico può cliccare su un documento che è indirizzato a un generico “Sig. / Sig.ra”, e probabilmente questo analfabeta elettronico si prenderà un ransomware – almeno il file che apre ha come nome 29328841cb0f9fd7164411d6d5d1efd0.pdf. (Ah: ho scoperto solo ora che gmail NON mostra passando sopra il mouse su un link dove veniamo mandati, ma aggiunge un parametro data-saferedirecturl che è quello del primo link, che poi probabilmente dirigerà sul secondo).

Quello che mi stupisce è che l’anonimo phisher ha usato il nome e il numero di telefono di un studio legale davvero esistente (il fax è invece di un’officina salernitana). Chissà se per una volta si potrà sperare in un’iniziativa dell’Escopost. È vero che il messaggio è stato spedito da un server giapponese, ma chissà…

Ultimo aggiornamento: 2016-05-23 15:02

L’Avv. F Minguez mi scrive!

Mi è appena arrivata una mail di phishing, un classico 419. E che ci vuole, direte voi? Beh, stavolta è più interessante, come potete vedere dal file allegato.

Come prima cosa, la mail inizia con il mio indirizzo fisico. (Beh, no, non è più da anni il mio indirizzo…) il che prova che il sedicente avvocato ha dovuto fare qualche ricerca. Inoltre, a parte l’italiano un po’ strano – ma quello potrebbe essere dovuto al fatto che l’Avv. non è italiofono – potete vedere una email apparentemente normale e un numero di telefono. Tralasciamo ovviamente le banalità tipo il fatto che l’Avv. F Minguez non abbia nemmeno un nome proprio e che se devi contattare uno per dargli cinque milioni e mezzo e hai un indirizzo fisico forse hai un’aria più professionale se usi quello e non l’email.

Vabbè, la mail è stata spedita con X-Mailer: Keseling Newsletter Mailer, il che mi fa pensare che ci sta provando con tutti i Codogno che ha trovato, anche se non sono poi tanti. L’indirizzo da cui è stata spedita l’email è fminguez@lenberg.de, e il sito corrispondente è un mollificio di precisione; il numero telefonico pare corrispondere a una chatline erotica spagnola; il dominio email consultafminguez.com è stato registrato (copia) l’altro ieri, insieme a tre altri, da un tale Ferdinand Velik, via Molino Filo, 1, 20050 Verano IT, che ha lasciato i dati pubblici compreso il telefono (che io non pubblico perché magari anche lui è ignaro).
C’è qualcuno che vuole divertirsi, creare un’email farlocca e scrivergli dicendo di essere me?

Aggiornamento: (h 21:30) Visti tutti i commenti “anch’io” ho fatto qualche ulteriore ricerca e trovato questo messaggio dello scorso novembre che come vedete ha solo qualche dato diverso, tipo il terremoto che era in Haiti e il numero di telefono. Le lettere cirilliche minuscole al posto di quelle accentate mi fanno immaginare che in quel caso lo scrivente arrivasse dall’Europa dell’est e quindi usasse ISO-8859-2 come codifica dei caratteri anziché la nostra ISO-8859-15.

Ultimo aggiornamento: 2016-04-22 21:35

Complimenti a “Willis Branscomb”

Se in un post dal titolo “Medie mobili” viene fatto un commento dal testo «La semplicità di costruzione e, nondimeno, la possibilità di ottenere segnali operativi dall’incrocio fra i prezzi e la loro media, o – come subito vedremo – direttamente fra due medie di diverso dominio temporale, hanno fatto delle medie mobili lo strumento grafico di gran lunga più utilizzato dagli analisti.», ancorché fuori tema, il commento potrebbe rischiare di passare: anche Akismet mi ha delegato il controllo.
Vabbè, avrete capito che è spam e che l’indirizzo email fidelPl@gmail.com probabilmente non esiste nemmeno (o se esiste non è mai stato indicizzato prima di oggi). Quello che mi chiedo è perché fare tutta questa fatica per mandare a un sito di assicurazioni auto americano.

Ultimo aggiornamento: 2016-03-12 11:21

Thunderbird è intelligente

o forse no, perché mi ha messo in junk un messaggio da support@visa.com con titolo “Gentile Cliente” e testo

Gentile Cliente Visa/Mastercard, Stiamo aggiornando il nostro database utenti, Si prega di scaricare il file allegato e compilare il modulo Dopo aver inserito i dettagli clicca accedi. NOTA: Se non compilare il modulo in 4

che però nella finestra di header (non nelle header del messaggio) ha come titolo “Freundschaftanfrage
von Nadine” e mittente “Facbeook-Zentrale Deutschland”.

O forse è IMAP che fa casino.

Ultimo aggiornamento: 2016-02-26 18:04

Caro “cresceresognare”…

Se proprio pensi di spammare il tuo blog mettendo qua commenti con un semplice testo come ‘Grazie di cuore’ e un referrer a un tuo post, sappi che puoi fregare Akismet, ma anche se io non fossi una Brutta Persona™ malfidata il solo vedere come indirizzo email Schamberger74808@gmail.com mi fa immediatamente etichettare il post come spam… e a questo punto Akismet si rimette a fare il tuo lavoro.

Ultimo aggiornamento: 2016-02-23 09:56

Anche academia.edu ci è cascata

È possibile che ci sia qualche mio articolo (immagino sul riconoscimento della voce, vi lascio immaginare quanto vecchi possano essere) su academia.edu. Bene, mi è appena arrivato un messaggio dal titolo Someone just searched for you on Google… e testo

Hi Maurizio,
Someone just searched for you on Google and found your page on Academia.edu.
To see what city they came from and what paper they viewed, follow the link below:
(link ad academia.edu)
Thanks, The Academia.edu Team
P.S. A recent study found that papers uploaded to Academia.edu receive an 69% boost in citations over 5 years. See the study and data here (link ad academia.edu).

Ma questi click-baiting funzionano davvero?

Ultimo aggiornamento: 2016-02-22 12:33

La Disfacar mi ricorda che…

Disfacar S.r.l. Via del Pantano,21 – 50018 Scandicci (FI) – Numero REA: FI-359102
Codice Fiscale: 03370400487 – Partita Iva: IT03370400487 – Capitale Sociale: € 21.000 ( i.v.)

mi manda dello spam e mi ricorda nel footer del messaggio che «qualsiasi utilizzo non autorizzato del presente messaggio, nonché dei suoi allegati, è vietato e potrebbe costituire reato». Capirete perché non posso postare il messaggio. (Il footer è generico, per mia fortuna) In realtà non so nemmeno quale sia, il messaggio: era all’interno di un’immagine che non faccio visualizzare automaticamente…

In compenso posso visualizzare la risposta automatica alla mia disiscrizione:

Buongiorno, siamo a confermarli
la sua disiscrizione alle nostra newsletter.


Pertando cogliamo l'occasione per scusarci
del disturbo e per augurarli buona giornata .

Notiziole di .mau.

Pensieri slegati che scrivo quando mi capita