Stamattina ho ricevuto la segnalazione di un messaggio privato nei forum di Movable Type. Immaginavo di che si trattasse, ma ho comunque voluto dare un’occhiata: era il messaggio di tal “001100”, che si era iscritto alle 8:33 e alle 8:40 mi aveva scritto dicendo “Hi, i’ve read your posts and i think you might be interested in this video”. La parola “video” era un link all’url http://tinyurl.com/videos3 (da un po’ di tempo a questa parte tinyurl ti permette di dare un nome personalizzato all’URL “accorciata”) che punta a https://passkeeping.com/redir-x.php?r=http://www.youpornztube.com/codec/d5f31865ef3ae55eea5cce12e67ead4e/14/ . Cosa faccia youpornztube ve lo lascio immaginare (non ci ho mica cliccato io… e lynx mi chiedeva di accettare certificati che ovviamente non ho preso); più interessante sembra essere PassKeeping.com che a detta loro serve a creare sul proprio pc coppie username/password crittate da usare al posto di quelle giuste nel caso si sia paranoici e si debba usare un PC di qualcun altro. Ma qua divaghiamo… magari ne parlo un’altra volta.
La cosa buffa, se volete, è la differenza tra le conoscenze informatiche necessarie per fare tutto questo redirect, il tempo comunque necessario per iscriversi a un forum da parte del phisher/spammer, e il messaggio che non farebbbe cascare nessuno… o sono ottimista?

Ultimo aggiornamento: 2008-07-12 15:40

A furia di ricevere mail che ci comunicano che parenti stretti di notabili africani hanno bisogno di spostare soldi da un conto corrente a un altro e chiedono il vostro aiuto, magari abbiamo anche iniziato a sgamare qualcosa. Ma niente paura, i truffatori nigeriani sono pronti alla mossa successiva! Ecco il testo dell’ultimo phishing che mi è arrivato al riguardo:
From: "UN/EU FRAUD MONITORING UNIT" <uneufraudunitmonitoring.espana@gmail.com>
Subject: Your Recovered Funds
A joint effort instigated by a coalition of international monetary institutions with the help of Interpol has been able to track down diverted funds of foreign contractors and inheritance beneficiaries mostly from Africa and Europe. We have been working with other financial monetary institutions all over the globe and have entered agreement with the governments of the countries were these funds originated from.
In our fight to ensure that innocent hardworking people such as yourself are not taken advantage off by scammers who claim to want to transfer huge sums of money to you all in the guise of defrauding you of your hard-earned funds, we found out that you are not a victim of one of the several scams but, you are a victim of fund theft/diversion. You are among the list of the victims of corrupt government officials and bank staffs in Europe and Africa. These corrupt individuals and institutions are being investigated and prosecuted while arrangements has been concluded between the country where these funds originated from, World Bank, IMF, EU, UN, and Interpol on the safest and most secure means of getting the funds to the rightful beneficiaries.
eccetera eccetera. Riassunto, per chi non ha voglia di leggersi l’inglese: “Abbiamo scoperto che ci sono dei cattivoni nelle banche africane che hanno cercato di truffarvi. Ma noi siamo stati più bravi di loro, e li abbiamo bloccati. Adesso mandateci i vostri dati di conto corrente, e vi ridaremo indietro tutti i soldi, scusandoci per il disturbo”.
Bisogna ammettere che non arriveranno ai livelli dell’italico spammer, però l’idea non è per nulla male, vero?

Ultimo aggiornamento: 2008-07-02 11:19

Ho già scritto di come i messaggi di spam che mi arrivano sulla casella di lavoro siano molto più divertenti di quelli sulla posta personale.
Anche in questo weekend gli esempi sono davvero interessanti, oserei quasi dire “poetici”. Il primo ha mittente “Ideale declino”, titolo “Saranno Felici se si Acquistano i Nostri” e testo Di ottenere il farmaco si ha bisogno. Noi non siamo domande stupide, consegnamo in modo rapido e sicuro. Il secondo, inviato da “Re Sani.Salute”, è intitolato “Non piu Audace, Molto Rapido Ceclino” e dice Molto veloce la consegna di tutti i nostri farmaci. Noi siamo il piu veloce quando si tratta di salute. Ammetterete con me che sono frasi migliori di quelle che si trovano nei fortune cookie cinesi, no?
La cosa strana è che i due messaggi, pur sembrando dalla stessa mano e ountando a siti il cui nome è formato nello stesso modo (MATTERPOSITION e FEETSHIP.COM), hanno fatto giri completamente diversi. Il primo è stato postato da un server colombiano, e il sito è registrato per mezzo di un registrar tedesco da qualche russo (a giudicare da nome e indirizzo) che però ha affermato di stare a New York; il secondo è partito da un provider americano, un equivalente di Tiscali o Alice, e il sito non ha dati di registrazione. Si direbbe quasi che il nuovo stile sia di cercare di diversificarsi il più possibile…
Poi c’era anche l’altro messaggio che diceva di interiorizzarne i contenuti, ricorrendo anche al materiale illustrativo disponibile nel sito: ma poi ho osservato meglio, e quello proviene dal nostro amministratore delegato. Fortuna che non l’ho inviato alla casella di segnalazioni spam.
(alla fine mi sono scocciato, e ho creato una nuova categoria. Spero apprezzerete)

Ultimo aggiornamento: 2008-06-30 10:54

Di phishing riguardanti eBay ce ne sono molti: quello che ultimamente va più in voga è la domanda di un compratore, che più o meno educatamente ti dice che c’è qualcosa che non va e ti invita a rispondergli (sul sito del phisher, claro).
Da questo punto di vista è molto più rinfrescante l’ultimo esemplare: mi è arrivato da "eBay Assistenza clienti"<fondere@eay.it> – senza la b in eBay, esatto – che corrisponde all’IP 61.129.14.5, meao.net, registrato a Shangai quattro anni fa. Il testo però è con buona probabilità opera di russi: non solo perché il sito a cui si viene mandati è http://pages-help.by.ru/x.html, ma per il solito problema con le lettere accentate che probabilmente arrivano in cirillico e non appaiono sulla mia webmail se non come punti interrogativi. Il testo però merita:
Ti ringraziamo per il messaggio che hai inviato all'Assistenza clienti
di eBay.
L'indirizzo che hai usato non ? pi? in funzione e quindi non ? possibile
visualizzare il contenuto dell'email.
Per cortesia, inviaci nuovamente la tua domanda utilizzando il modulo
online Contatta l'Assistenza clienti che trovi alla pagina:
http://pages.ebay.it/help/contact_us/_base/index
Sì, con un minimo controllo di realtà potremmo accorgerci che se l’indirizzo usato non è in funzione (il che potrebbe anche essere vero) è un po’ strano che sappiano che era stato inviato all’Assistenza Clienti: però a una prima lettura il tutto regge, e non è cosa da poco visto il livello dei phishing che arrivano di solito.

Ultimo aggiornamento: 2008-06-26 14:18

Ho già scritto come lo spam che arriva nella mia casella di posta elettronica aziendale è diverso dal resto. Gli ultimi amicici che mi hanno scritto, poveretti, avranno delle pastigline favolose ma non sono stati capaci a scegliere un traduttore automatico decente. Già il mittente “Pillole senza” non mette perfettamente a proprio agio il lettore. Ma controllate le frasi in neretto:
Migliori migliore medicina e Pillole solo per voi. Visita della nostra Farmacia su Internet e sara amore e giusto. Tanta scelta e cosi a buon mercato ... che ci sono solo qui.
Avremo anche la garanzia che essi non sono soddisfatti. Ordine, senza rischio, veloce, semplice, semplice. I nostri prezzi sono garantiti a buon mercato, confrontare con gli altri.
Del nostro meglio tornare indietro e trovare.
In pratica ci dicono subito (a) di non andare al loro sito e (b) che non saremo soddisfatti. Chissà, magari è una astuta tecnica per evitare qualsiasi lamentela!
(o molto più probabilmente, visto che il sito è stato registrato dalla Xin Net Technology Corporation, i traduttori dal cinese all’italiano latitano)

Ultimo aggiornamento: 2008-06-16 10:59

Per “spam aziendale” intendo quello che mi arriva all’indirizzo email aziendale. In effetti, sembra proprio che gli spammatori non si parlino tra loro, o meglio che non si scambino le loro liste di indirizzi. Le mail della solita “Italian Spam Organization” ad esempio arrivano solo ad Anna e non a me; e i messaggi che tagliano il firewall aziendale non li vedo affatto sulle altre mie caselle di posta, mentre Ugo mi ha comunicato che arrivano anche a lui.
Nel weekend ho ricevuto, a parte i soliti viii di cui ho già parlato, qualche copia di due messaggi. Il primo è di un sito con gratta-e-vinci, scritto in itagliese: l’inizio del messaggio è infatti ScratchCards sta dando via 5 euro alla graffiatura e la Vittoria fino ad un massimo di 200.000 euro!. Sapere che “Tutti i vostri sogni sono un giusto una graffiatura via, non attendono alcun più lungo, cominciano graffiare ora.” in effetti non ha prezzo. Il secondo si direbbe un sistema di riciclo di denaro sporco, scritto quasi in italiano perfetto (peccato per il “la chiediamo di compilare il modulo”, che sembra quasi dialettale) che inizia pomposamente con Attualmente stiamo accettando i resumes per le seguenti posizioni: Amministratore delegato per i pagamenti on line. È proprio vedo che un posto di amministratore delegato non lo si nega a nessuno, un po’ come un posto di allenatore della nazionale.
Mi resta appunto il dubbio di come mai ci sia questa diversità di tipi di messaggi a seconda dell’indirizzo… ma mi sa che me lo dovrò tenere.

Ultimo aggiornamento: 2008-06-09 17:06

La variante della truffa nigeriana dove ti arriva una mail con l’annuncio “hai vinto una barca di soldi” è piuttosto nota, e mi è arrivata dalle aziende più disparate, a partire da Microsoft per finire alla Coca-Cola. Ma questa volta credo che si sia superato ogni record.
Il mittente è Chiesa Cattolica Italiana <info@chiesacattolica.it>, e il testo – sfortunatamente in inglese, non dico ci sarebbe voluto il latino ma l’italiano sì – inizia con
We the entire members of Chiesa Cattolica Italiana hereby notify you as the winner of $650,000.00 US (Six hundred and fifty thousand US dollars only. You are advice to contact immediately you received this mail for Further instruction on how you are to claim your donation prize.
Le frasi sono un po’ tagliate nell’originale, si vede che l’anonimo autore segue il mio sistema di scrivere le notiziole applicando solo il 10% della propria attenzione; pertanto non so esattamente perché avrei vinto tutti questi dollari, né perché la Chiesa Cattolica Italiana paghi in dollari e non in euro. Devo dire che “entire members of Chiesa Cattolica Italiana” ha un suono impressionante, anche se la mia prima traduzione è “membri non castrati”. Degna di nota è anche la firma del mittente: Executive Rev .Sis Rose Eduardo. Non sono un grande esperto di sigle ecclesiali, ma “Sis” mi suona così tanto “Sister” che mi chiedo da quando abbiano iniziato a fare ordinazioni femminili…

Ultimo aggiornamento: 2008-06-08 19:54

Tornato in ufficio dopo il weekend, mi sono trovato due messaggi di spam (tecnicamente identici, a parte i prezzi leggermente diversi che secondo me sono generati automaticamente dai programmi che creano spam per riuscire a eludere i controlli sul testo: in effetti entrambi i messaggi puntavano a peopleran.com, simpatico sito cinese creato il 29 maggio) nella casella postale dell’ufficio. Tanto per cambiare mi proponevano le solite pastigline. Ma il bello era il loro testo.
Il primo aveva come titolo “Comprare Viii Generico” e nel messaggio, oltre ai vari prezzi, scriveva
Come alternativa alla mitica pillola blu (Viii), esiste in commercio da diversi anni il Ciaaa.
Viii è il primo farc per via orale a curare uomini affetti da Disf Ere, conosciuta anche come Imp.
Il Ciaaa è un trattamento per gli uomini con de e impo.
Il secondo, di titolo “Viii, Spediamo in tutto il mondo”, aveva come testo
Ordinare Viii on line sul sito della pillola blu in pochi click.
Viii è un fm in pastiglie per la cura dell'imp maschile. Dilata I vasi sanguigni per permettere il flusso sanguigno che causa l'erz.
Dopo stimolazione sesale il Ci aiuta a rilassare i vasi sanguigni a livello del pene, permettendo l'afflusso di sangue al memro maschile. Il risultato è una migliore ere.
A quanto pare, il sistema di abbreviazioni stile SMS si sta proprio diffondendo :-)

Ultimo aggiornamento: 2008-06-04 08:15