Di spam in turco ne ricevo credo da un decennio. Ma stavolta trovarmi un messaggio dall’eloquente :-) titolo “Ban muon ton it Tien ma dat hieu qua kinh doanh cao khong?” mi ha stupito per un attimo.
Sono così andato a verificare, e la mia ipotesi era corretta: è spam vietnamita (da INking@1088.vn, per la cronaca). Non parlando la lingua – so a malapena riconoscerla dai caratteri usati – non posso garantire di che tratti lo spam; ma guardando la figura oserei dire che è un servizio di escort locali. (Per i guardoni: il disegno è assolutamente casto, è inutile cliccarci sopra per vedere chissà che).
Mi chiedo solo se Ho Chi Minh sarebbe felice di sapere come i Vietcong si siano trasformati nei decenni…

Ultimo aggiornamento: 2008-03-12 09:37

Le truffe nigeriane (i cosiddetti 419, dall’articolo del codice penale locale assolutamente disatteso), in cui qualcuno ci chiede aiuto per portare all’estero dei soldi di qualche ex dittatore o ministro improvvisamente morto) sono una costante da una decina d’anni almeno. Solo che quello che mi è arrivato oggi è il primo caso di un simile messaggio in “italiano”. Scusate le virgolette, ma date un’occhiata al testo:
Buongiorno,
So che non lo conoscete personalmente, tuttavia io voglia che lo aiutavate dopo lettura della mia posta. Tengo a metterli al corrente che lavoro in una banca qui in Costa d’Avorio come direttore del servizio dei trasferimenti, fuoco Sig.ra. Lany Johnson aveva depositato la somma di $3.500.000 alla nostra banca prima che sia morta e da quando è morta nessuno non è venuto per i reclami di questi fondi.Vorrei dopo lettura della mia posta che la contattavate affinché possa fornirvi le precisazioni complete sul modo in cui i fondi saranno trasferiti nel vostro conto bancario senza alcuno problema.
Per la vostra informazione questa transazione è al 100% senza rischio. Per il vostro aiuto vi darò il 30% di questi fondi.
Grazie e che dio voi benedica.
Io voi pregati di autorizzare l’espressione delle mie sensazioni più distinte.
Il Sig. Tim Benson.
Devo comunque aggiungere che sarà anche vero che Repubblica (cartacea) oggi diceva che l’italiano è la lingua con la maggior quantità di phishing dopo l’inglese; però la settimana scorsa mi era arrivato un 419 in tedesco, sicuramente più corretto di quanto lo parli io, tra l’altro. Forse siamo messi così male che i phisher ritengono che non serva nemmeno scrivere in italiano corretto :-(

Ultimo aggiornamento: 2008-02-10 17:06

Sicuramente (beh, quasi) sapete che cosa è tumblr: un raccoglitore pubblico di cose trovate in rete, che assomiglia a un blog ma non è un blog. Anch’io ho un tumblr, se non ve ne foste accorti: di per sé è indicato da qualche parte qui nella pagina delle notiziole, ma forse dovrei modificare il template.
Bene: Phonkmeister segnala che è possibile ottenere automaticamente una segnalazione a caso da un tumblr, attaccandoci dietro “/random”. Quindi (quasi) chiunque cliccherà su http://mau.tumblr.com/random troverà qualcosa di diverso che in un momento della mia vita ho trovato interessante.
Due soli appunti: manca un casualizzatore “globale” su tutto il sito, e poi io avrei appunto scritto “randm” invece che “random” :-)

Ultimo aggiornamento: 2008-02-08 08:54

Sono passati nove mesi da questo post, ma io ne sono venuto a conoscenza solo oggi, e quindi ne parlo oggi.
Così a prima vista non sembra ci sia nulla di strano: un programmatore informatico che fa notare, in un newsgroup dedicato agli handicap, che i CAPTCHA non possono essere usati dai ciechi.
Peccato che facendo una ricerca “Fabio Petta spam” si scopra che più che un “programmatore informatico” il nostro amico e il suo fratello Stefano abbiano tutta una serie di siti da cui arrivano richieste di iscrizione non esattamente in stile opt-in. In effetti i CAPTCHA sono scomodi, in certi casi…

Ultimo aggiornamento: 2008-02-05 15:32

Di per sé, questo messaggio di phishing che mi è arrivato non è nulla di strano: il sedicente domandante mi scrive
“Ciao, vorrei sapere: 1- ? possibile acquistare l’oggetto fuori asta? e se s? a quale prezzo? 2- ? possibile pagare l’oggetto con ricarica su carta Postepay? Grazie per l’attenzione…Distinti Saluti.”
(si sa che le lettere accentate danno grossi problemi, soprattutto se di default parti da un alfabeto che non è quello latino). Per il resto, l’italiano è assolutamente corretto, e magari uno ci casca anche. C’è al limite una punta di interesse per un piemontese come me, che sorride a vedere che il nome del mittente è “giuvinott”, ma nulla più. La parte più interessante è però l’indirizzo del phisher, che copio qua nella sua bellezza geek (anche se diviso in due righe per non sballare il layout):
ftp://mysugndj.nightmail.ru:alinaa@ftp2.nightmail.ru/ cgi.ebay.it.ws.eBayISAPI.dll.ViewItem&item.asp
È di un server russo, e fin qua nulla di strano; ma è un indirizzo ftp con nome e password. Non tutti sanno che è possibile connettersi via web a un server – nel nostro caso ftp2.nightmail.ru – indicando esplicitamente nome utente – mysugndj.nightmail.ru – e password – alinaa. Dall’ufficio non posso usare ftp, ma se qualcuno vuole divertirsi a craccare il craccatore…
Aggiornamento: (15:45) il giuvinott si è allargato: mi ha spedito altri due phishing. I nuovi indirizzi sono
ftp://accedi2:alinaa@ftp.hotbox.ru /cgi.ebay.it.ws.eBayISAPI.dll.ViewItem&ampampitem.asp
ftp://accegidfh.nm%.ru:alinaa@ftp2.nm.ru /cgi.ebay.it.ws.eBayISAPI.dll.ViewItem&item.asp
Insomma, abbiamo capito che non vuole correre il rischio di dimenticarsi le password :-)
Aggiornamento 2: (1. febbraio) ogg l’amico è arrivato come
ftp://accedimys:alinaa@ftp.krovatka.su/cgi.ebay.it.ws.eBayISAPI.dll.ViewItem&item.asp. Bisogna dire che è un tipo costante.

Ultimo aggiornamento: 2008-01-28 09:32

Anna mi ha appena passato un minaccioso messaggio che le era arrivato per email. Il testo è il seguente:
Subject: Avviso di insoluto su Fattura
Gentile Cliente,
Da un nostro controllo contabile non ci risulta a tutt'oggi il pagamento della fattura P.N. 335624-1 dell'importo di Euro 4.329,50.
Se la fattura risulta gia saldata o se ritiene possa sussistere un errore cotabile la invito a prendere visione del conto da pagare attraverso il nostro:
www.avvocati-ass.com/Fatturazione_CEF/FTR-335624.html ( clicca per collegarti )
In difetto, provvederò ad agire nelle sedi opportune, senza ulteriore preavviso.
Distinti saluti.
Dott.Avv. Giancarlo Gentiloni
I miei affezionati lettori avranno immediatamente notato i due errori di grammatica (“gia saldata” ed “errore cotabile“) e avranno capito che si tratta di un phishing. In effetti, cliccando sul link, esce una pagina dal titolo intimidente ATTO DI DIFFIDA E MESSA IN MORA e l’immagine di una pagina rimpicciolita in modo che non possa leggerla. Se avete un PC windows, non provate a cliccare né sulla pagina né sulla scritta “ingrandisci”, visto che verrebbe immediatamente scaricato un file .exe che non voglio affatto sapere cosa faccia.
Inoltre, guardando il sorgente di quella pagina, c’è anche il codice seguente: <OBJECT CLASSID="CLSID:F16FEB0E-2A86-4228-AFF1-E7500263A51F" CODEBASE="Fatt56563A.exe" width="1" height="1"></OBJECT> che potrebbe dare dei guai anche senza cliccare su quelle immagini, solo aprendo la pagina di cui sopra. Non dite che non vi ho avvertiti!
ps: se uno va a fare un controllo whois sul nome a dominio avvocati-ass.com, scopre che è stato registrato attraverso una società californiana che nasconde il nome del gestore vero e proprio, e soprattutto scopre che è stato registrato sabato pomeriggio scorso: Creation date: 19 Jan 2008 14:27:36. Se poi si vuole divertire, può andare alla pagina di informazioni, dove scopre – ma non c’è nulla di strano – che il sito è cinese… Il curiosone può anche andare all’indirizzo IP corrispondente e vedere un po’ di ideogrammi che Babelfish mi traduce più o meno come “il tuo sito non è stato ben configurato”. Ma forse quando voi leggerete questa mia notiziola, l’IP sarà cambiato: il sito infatti dice che il client può salvare l’indirizzo per non più di tre minuti (il default è da uno a tre giorni :-) )
Aggiornamento: (h 21:50) A quanto pare, questa notiziola mi ha fatto raggiungere nuove vette di contatti, più che i miei pipponi con Ratzi della scorsa settimana. D’altra parte, in questo momento non solo una ricerca per “avvocati-ass.com” riporta il mio blog al primo posto (fregando altri che ne avevano parlato prima di me…), ma non ci sono occorrenze al di fuori del circuito dei blog e dei forum. Quindi nulla dai grandi quotidiani online, ma soprattutto nulla dalle società che si fanno pagare per le loro “soluzioni di sicurezza”. Magari poi i loro prodotti bloccano il troiano, ma per molta gente loro sono la Fonte di Tranquillità, e un avvisino sul loro portale sarebbe stato utile. O no?

Ultimo aggiornamento: 2008-01-21 14:18

Ero rimasto fermo ai tentativi di sfruttare eBay per il phishing scrivendo una mail incazzata perché il tipo non aveva ancora ricevuto un oggetto che noi avremmo venduto all’asta. Mattia mi ha appena segnalato una variante ancora più “simpatica”.
Il messaggio, nel solito pseudoitaliano, è il seguente:
Salve, vorrei acquistare il navigatore elettronico che avete per la vendita
su eBay qui http;//cgi.ebay.it/ws/eBayISAPI.dll?ViewItem=3D879275541249
Esso è di nuovo? E la prego di dirmi quanto è la tassa di consegna a Trieste.
Grazie,
Luca
A parte il punto e virgola al posto dei due punti nell’URL, il vero link nascosto naturalmente non è ad eBay (anche perché non ci si riuscirebbe ad arrivare direttamente) ma al sito del phisher, http://kisheri.front.ru/sez/ che presenta una bella pagina di autenticazione della società d’aste. La parte più interessante è che ho provato a mettere username e password, e sono effettivamente arrivato a una pagina di eBay con l’asta per uno schermo per navigatore! Chissà se l’annuncio è stato scelto a caso (penso di sì)…
(ovviamente ho inserito come username e password delle stringhe casuali)

Ultimo aggiornamento: 2008-01-16 16:18

Diventa sempre più difficile trovare esempi interessanti di phishing. Sembra che la fantasia degli spammatori stia esaurendosi, non tanto arrivando a un testo che potrebbe essere preso per buono, ma fossilizzandosi su uno pseudoitaliano ritenuto probabilmente sufficiente.
Però stamattina su una delle mie caselle tin.it mi è arrivato un avviso dell’Akbank che probabilmente mi chiede di garantire che sono effettivamente io. Ecco il testo:
Güvenlik Alarmi
AKBANK Online Bankacılık hesabınızın hizmet süresi dolmak üzeredir.
Aşağıdaki linki kullanarak hesabınıza ulaşabilir ve hesabınızı tekrar aktif hale getirebilirsiniz.
È scritto in turco, proprio così: la Akbank è in effetti una banca online turca. Sempre per la globalizzazione imperante, il sito a cui punta il falso link è palestinese ( http://alamiah.ps/secure/33.swf/www.akbank.com/efs/servlet/military/?url_activation=true), che a sua volta manderebbe a uno dei tanti siti americani di hosting, Onlinehorizons, che non è gratuito ma forse ha il vantaggio di avere una versione in arabo. Visto quante cose si imparano con l’internette?

Ultimo aggiornamento: 2008-01-15 09:42