Il phishing che presento oggi è, come capita spesso, per cercare di carpire la vostra password sul sito di Poste Italiane. Il testo in effetti è un po’ difficile da comprendere, e si direbbe tradotto parola per parola, come potete vedere.
Voi siete stati scelti da Poste Italiane online dipartimento di prendere parte al nostro veloce e facile di ricompensa sondaggio.
In cambio offriamo +50,00 EUR di credito tuo account - solo il tuo tempo!
Che ci hanno aiutato a capire meglio come si sentono i nostri clienti, i benefici a tutti.
Le informazioni che ci fornisci è tutto non sensibili e anonimo - Nessuna parte di esso è tramandato a terzi gruppi.
E verranno memorizzati nel nostro database sicuro per il massimo di 3 giorni, mentre noi processo i risultati di questa indagine a livello nazionale.
Vi preghiamo di ricambio due minuti del suo tempo e che prendono parte a questa offerta unica!
Per la cronaca, il link vi porta a http://www.cvvm.ru/cache/ che a sua volta finisce su http://www.netsurfer.gr/web/bancopostaonline/cartepre/online – il che mostra come sempre l’interconnessione totale della rete.
Il “facile di ricompensa sondaggio” è una di quelle chicche che rende sempre piacevole la lettura a chiunque abbia avuto tra le mani “Asterix e i britanni”… ma questo l’ho già scritto a suo tempo. Invece volevo fare notare come il phisher si preoccupi di rendermi edotto che non ho nessun problema di privacy: nel questionario non ci sono dati sensibili, e comunque i dati verranno memorizzati al massimo per tre giorni (e poi si risorge, immagino).
Da un punto di vista più tecnico, infine, c’è una novità. Viene fatto un controllo sulla coppia username-password, prima – almeno credo, visto che non sono riuscito ad arrivare fino a quel punto – di chiedere la password dispositiva. Insomma, rompono le palle ai giocherelloni come me che mettono dati a caso!

Ultimo aggiornamento: 2008-04-21 11:02

Il mese scorso vi avevo raccontato di “Alberto Zemen Detective” e del suo trojan. Stavolta le mail sono arrivate direttamente a me da un sedicente Carlo Montorsini, che afferma:
Gentile Cliente, stiamo eseguendo i dovuti accertamenti sul suo sistema informatico, il suo indirizzo email ci è stato segnalato da terzi come fruitore di materiale scaricato illegalmente dalla rete. La sua posta elettronica è sotto controllo già da 10gg, la preghiamo pertanto di voler verificare se il suo nominativo compare nella lista degli indagati Marzo 2008 onde dichiarare la sua estraneità alla detenzione di materiale indebitaménte contraffatto.
Certi di una sua volontaria collaborazione porgiamo
Distinti Saluti
Carlo Montorsini - Assessments Director
Internet VerifyCenter s.p.a 2002-2008
Come vedete, a parte qualche virgola a casaccio che lo fa sembrare ancora più burocratico e il buffo “indebitaménte”, sembra assolutamente normale. L’allegato indagati-2008.zip contiene tre file: il trojan List-Viewer.exe, un file nomi-marzo-2008.cry che come nel caso di Zemen si direbbe un JPG farlocco, e un nominativi-aprile-2008.dat che invece, rinominato in jpg, fa vedere un simpatico dito medio alzato (i curiosi lo possono vedere qua. Garantisco che cliccare non danneggerà il vostro pc :-) )
L’indirizzo della macchina da cui è stato inviato il trojan è 88.255.121.86, un IP turco, ma come ormai sapete questo non significa nulla. Per il resto, chissà quando Escopost si sveglia (il reato viene commesso da italiani, quindi sono loro che devono attivarsi)
Aggiornamento: (14 aprile) MdI mi comunica che nella base dati di SpamHaus il sito è indicato come nostrano: “assegnato, sotto il controllo di, o che fornisce servizi a una organizzazione professionista di spam gestita da Sergio Livrieri / NonSolo-Web” (testo loro, traduzione mia).
Aggiornamento: (4 luglio): a oggi SpamHaus ha tolto nel record indicato sopra qualunque riferimento a NonSolo-Web: il testo ora recita Italian spam organization previously using 88.255.104.128/25 is now continuing from here, senza fare nomi di persone. Evidentemente la precedente associazione che avevano fatto era senza fondamento, e mi scuso di averla riportata.

Ultimo aggiornamento: 2008-04-13 14:21

Mi è appena arrivato un messaggio dalle solite sedicenti Poste Italiane. Stavolta però il messaggio non è stato filtrato da gmail e me lo sono trovato nella posta in arrivo; e in effetti, oltre ad avere un perfetto burocratese (artt. per articoli è un tocco di finezza), il testo aveva anche le lettere accentate al posto giusto. In effetti, è stato spedito da Aruba.
Anche il sito di phishing era fatto abbastanza bene, pur senza un nome a dominio ma solo con un indirizzo IP: per la cronaca, 217.201.199.39 che al primo colpo non era ancora conosciuto da Firefox come “web forgery” (adesso sì). I simpaticoni mi sono caduti sull’inserimento dei dati del conto corrente: ABI e CAB credo che siano unici per tutti gli utenti Posteitaliane, quindi non serviva chiederli. In compenso chiedevano il CIN, oltre che il codice dispositivo, e garantisco che occorreva metterlo giusto: sono dovuto andare a cercare un algoritmo per crearlo correttamente…
Ma il punto più sconcertante (per me) è che l’indirizzo IP in questione è allocato a … Telecom Italia Mobile. Ho appena telefonato al gruppo di sicurezza informatica interna :-)

Ultimo aggiornamento: 2008-03-31 14:10

Cosa succede se vi arriva un messaggio dal titolo “Yahoo! Groups: You’re invited!”? Se non sapete l’inglese, probabilmente nulla. Altrimenti andate avanti a leggere il titolo, e scoprite il nome del gruppo al quale, fortunelli quali siamo, siamo stati invitati: “legitimate_homebased_business101”.
Proprio così. Il simpatico spammatore ha trovato un sistema assolutamente sicuro per saltare i controlli antispam. Il messaggio infatti arriva da yahoogroups, indirizzo assolutamente legittimo che viene fatto passare da tutti i mailer. Credo sia inutile dire che il gruppo è già stato cassato da Yahoo! (il messaggio era di sabato…) ma tanto l’amicone non si è certo preoccupato, visto che all’interno del messaggio spiegava che le istruzioni per “guadagnare legittimamente da casa” si trovavano cliccando su un link esterno.
I link, per la cronaca, sono a clickaudit.com, un servizio “quasi” come tinyurl.com con la differenza che ti tracciano da dove arrivi…

Ultimo aggiornamento: 2008-03-24 12:16

È da qualche giorno che mi capita, mentre navigo, di vedere un messaggio popup che mi avvisa che un applet è stata scaricata, la sua provenienza è sicura, e se voglio lanciarla. Come potete immaginare, io da un sito che si chiama ad esempio http://w74.vq265j.won-ppp.info non accetterei nemmeno una caramella: generalmente dico di no, e amen. Ma ieri sera mi è capitato mentre ero al telefono con xlthlx, e lei mi fa “sì, capita spesso con Splinder”. In effetti avevo appena aperto un link a un blog su Splinder. Guardo il sorgente, e non vedo nulla di strano. Riapro il link, e non vedo nulla di strano. Guardo nella cache, e vedo i seguenti file:
– http://w74.vq265j.won-ppp.info/adsl.jpg?1206211871
– http://w74.vq265j.won-ppp.info/htm/winscript-40.htm?1206211871
– http://w74.vq265j.won-ppp.info/htm/script-55.php?1206211870&cc2=it
– http://w74.vq265j.won-ppp.info/htm/cc1.php?p=55&cc2=it
oltre che una di quelle immagini da un pixel per uno che servono per vedere se tu ti sei connesso.
Mi chiedo se effettivamente il problema sia interno a Splinder: in ogni caso, se vedete queste strane richieste, ricordatevi di rifiutarle!
Aggiornamento: (26 marzo) Si direbbe che la colpa non sia di Splinder, ma del contatore di statistiche a superstat.info. Sto preparando una notiziola a riguardo.

Ultimo aggiornamento: 2008-03-23 08:07

Ugo mi ha detto che ieri ne hanno parlato anche al tiggì. Non so nulla, la tivvù non la guardo: so solo quello che capita a me :-)
Il messaggio che ho ricevuto stamattina è un classico, a parte una strana minuscola e il punto iniziale:
.Ci SONO MESSAGGI PER TE!
chiama da tel. fisso 89.94 377 91
info e costi www.imessaggi.net/
Il mittente è un numero che a prima vista può sembrare Vodafone, visto che è +37493893766 e un mezzo dislessico come me può leggere “347”: ma in realtà questo è un numero telefonico armeno, e in effetti il messaggio è stato spedito dall’Armenia: il centro servizi ha infatti come numero +37493297333. In pratica, qualcuno ha comprato con un forte sconto un pacco di sms dagli armeni, e lo sta usando per spammare amabilmente la gente.
Ma la parte più interessante è quella che riguarda il sito www.imessaggi.net. Casualmente non si trova traccia dell’899 indicato nel messaggino; c’è solo una presa per i fondell… no, scusate il tecnicismo, una noticina in fondo alle condizioni d’uso che afferma verbatim «Il suo numero non è presente nessun database, il messaggio che ha ricevuto potrebbe esserle stato inviato da un utente del sito.» A parte che io un amico così lo menerei, vi lascio immaginare che razza di disclaimer possa essere. Ma che offre esattamente questo sito? Un fantasmagorico servizio. Tu chiami un numero 899, e «puoi inviare la bellezza di 270 sms al prezzo strepitoso di 15 euro IVA compresa, poco più di 5 cent cadauno!» Occhei, è più vicino a sei centesimi che a cinque, ma la matematica non deve essere il forte di questi amici; tra l’altro, i 270 SMS sono assolutamente contingentati – massimo 9 al giorno per trenta giorni consecutivi – quindi il costo pratico è ben più alto, e con ogni probabilità se una persona deve inviare tutti quei messaggi fa più in fretta a comprarsi una carta servizi dell’operatore che gli interessa.
Ma chi sono questi amiconi di “imessaggi.net”? Non si sa. Il Whois riporta infatti questo:
PrivacyProtect.org
P.O. Box 97
All Postal Mails Rejected, visit Privacyprotect.org
Moergestel
null,5066 ZH
Tel. +45.36946676
Insomma, si sono premuniti per la loro privacy di usare un servizio anonimizzatore dei dati personali… e si sa che quando si tratta di soldi gli svizzeri sono muti come tombe. Vabbè. Ma tanto voi affezionati lettori non ci sareste mica cascati, vero?

Ultimo aggiornamento: 2008-03-18 12:25

Tra ieri e oggi, Anna ha ricevuto due messaggi da tale “Alberto Zemen Detective”, con titolo PRATICA CHIUSA (tutto maiuscolo) e testo
Ciao Beppe, ho chiuso la pratica investigativa su Lara, trovi in allegato il viedo (versione intagrale). Mi raccomando massima riservatezza.
Alberto Zemen Detective.
Occhei, un paio di errori di ortografia, ma nulla di così strano. Né uno va a vedere qual è l’indirizzo IP del mittente (88.255.121.86, un bel provider turco). Anna ovviamente non ci è cascata, ma se qualcuno provasse ad aprire l’allegato Video-10-03-08.zip (di 46K, alla faccia della compressione dati!) troverebbe un file LaraVideo.Mpg.dat che non sono riuscito ad aprire (in teoria è un file jpg di 32×32 pixel, ma anche rinominato mi dà errore) e un file MpegPlayer.exe che ovviamente non mi sono certo sognato di aprire :-)
Ecco un classico esempio di programma troiano: perché mai uno dovrebbe andare a vedere un video che ha ricevuto “per sbaglio”? Beh, perché nell’immaginario collettivo quel video potrebbe avere delle immagini porno amatoriali, no? Ecco. Chi è causa del suo mal, pianga sé stesso.

Ultimo aggiornamento: 2008-03-13 16:59

Essendo io un curiosone, faccio spesso ricerche sul mio cognome (che poi è anche il nome di un paesone, quindi può capitare relativamente spesso). Bene, oggi ho ottenuto questo risultato. In pratica, come potete notare dando un’occhiata ai brani riportati, sembra che su Google Groups qualcuno stia creando dei gruppi e li popoli con “articoli” formati da parole a caso.
È vero che testi come «Vojvoda Verstegan (1787-1851) was culmulated in Codogno, Malvasia, but blogged to the Ss-163 Crichtons at an non-kaled age.» hanno una loro intrinseca poeticità e sono sicuramente migliori delle poesie Vogon (ah, ieri era l’anniversario della nascita di Douglas Adams). Però naturalmente la vera ragione di fare questi gruppi è poter mettere all’interno dei post una serie di link… ad altri gruppi Google. Il tutto immagino per far salire artificialmente il pagerank dei gruppi stessi e quindi usarli per spammare qualcosa di serio. La domanda è: quando se ne accorgeranno a Google?

Ultimo aggiornamento: 2008-03-12 17:00