Ero rimasto fermo ai tentativi di sfruttare eBay per il phishing scrivendo una mail incazzata perché il tipo non aveva ancora ricevuto un oggetto che noi avremmo venduto all’asta. Mattia mi ha appena segnalato una variante ancora più “simpatica”.
Il messaggio, nel solito pseudoitaliano, è il seguente:
Salve, vorrei acquistare il navigatore elettronico che avete per la vendita
su eBay qui http;//cgi.ebay.it/ws/eBayISAPI.dll?ViewItem=3D879275541249
Esso è di nuovo? E la prego di dirmi quanto è la tassa di consegna a Trieste.
Grazie,
Luca
A parte il punto e virgola al posto dei due punti nell’URL, il vero link nascosto naturalmente non è ad eBay (anche perché non ci si riuscirebbe ad arrivare direttamente) ma al sito del phisher, http://kisheri.front.ru/sez/ che presenta una bella pagina di autenticazione della società d’aste. La parte più interessante è che ho provato a mettere username e password, e sono effettivamente arrivato a una pagina di eBay con l’asta per uno schermo per navigatore! Chissà se l’annuncio è stato scelto a caso (penso di sì)…
(ovviamente ho inserito come username e password delle stringhe casuali)

Ultimo aggiornamento: 2008-01-16 16:18

Diventa sempre più difficile trovare esempi interessanti di phishing. Sembra che la fantasia degli spammatori stia esaurendosi, non tanto arrivando a un testo che potrebbe essere preso per buono, ma fossilizzandosi su uno pseudoitaliano ritenuto probabilmente sufficiente.
Però stamattina su una delle mie caselle tin.it mi è arrivato un avviso dell’Akbank che probabilmente mi chiede di garantire che sono effettivamente io. Ecco il testo:
Güvenlik Alarmi
AKBANK Online Bankacılık hesabınızın hizmet süresi dolmak üzeredir.
Aşağıdaki linki kullanarak hesabınıza ulaşabilir ve hesabınızı tekrar aktif hale getirebilirsiniz.
È scritto in turco, proprio così: la Akbank è in effetti una banca online turca. Sempre per la globalizzazione imperante, il sito a cui punta il falso link è palestinese ( http://alamiah.ps/secure/33.swf/www.akbank.com/efs/servlet/military/?url_activation=true), che a sua volta manderebbe a uno dei tanti siti americani di hosting, Onlinehorizons, che non è gratuito ma forse ha il vantaggio di avere una versione in arabo. Visto quante cose si imparano con l’internette?

Ultimo aggiornamento: 2008-01-15 09:42

Come nascondere un troiano in questi giorni? ovviamente in un messaggio di auguri. Quindi nelle mie caselle postali tin mi sono ritrovato un po’ di auguri non esattamente sinceri.
Nel primo caso, a dire il vero, «eCard.scr era infetto con il virus Trojan.Pandex ed e’ stato cancellato perche’ il file non poteva essere pulito.», quindi mi sono semplicemente scompisciato leggendo il testo degli auguri:
Ciao, uomo!Jane Invia ti eCard con salutiControlla il tuo attaccamento ;) Buon Natale!Cordiali saluti.
Sì, gli spazi non c’erano proprio.
Il secondo caso è invece più interessante. C’è la caduta di stile di usare come mittente mod-submit@bear.com che fa tanto Apache; però l’oggetto (“New Year wishes for you”) e il testo (“As you embrace another New 2008 Year (a capo) http://newyearwithlove.com/“> non erano male.
Non so esattamente cosa faccia Mario con il suo DNS, ma è interessante, perché non è possibile contattare il sito, visto che viene trasformato in 1.0.0.0. Per i curiosi, il vero indirizzo è 74.66.92.4 dove risponde un server russo (nginx, meglio noto per essere quello su cui gira YouPorn) che invia questo testo:
Your download should begin shortly. If your download does not start in approximately 15 seconds,
you can <!-- a href="fck2008.exe" !--><script language="javascript"><!-- a href="fck2009.exe" -->document.write( unescape( %3C%61%20%68%72%65%66%3D%22%68%61%70 %70%79%6E%65%77%79%65%61%72%32%30%30%38%2E%65%78%65%22%3E' ) );</script>click here</a> to launch the download and then press Run. Enjoy!
Tu, stupidottero, clicchi su questo file happynewyear2008.exe, e non so che cosa ti becchi. D’altra parte, la mamma non ti ha insegnato di non cliccare mai su un eseguibile sconosciuto?

Ultimo aggiornamento: 2007-12-29 08:16

Mi è appena arrivata una mail da tale “giannibienti@libero.it” (nessuna occorrenza su google, ma c’è un “giannibienti@inwind.it”) con questo titolo e il testo seguente:
Buongiorno,
l’Ufficio Studi e Ricerche di Castorama Italia sta conducendo un’indagine sul Natale.
Il questionario durerà solo pochi minuti.
La Sua preziosa collaborazione sarà per noi molto utile per migliorare i nostri servizi.
Per accedere al sondaggio e esprimere le sue opinioni clicchi sul Link sotto
riportato:
http://www.surveymonkey.com/s.aspx?sm=5ezAvry9QPToc5k58qpE9A_3d_3d
Se dovesse incontrare dei problemi di accesso al sito, per favore provi a copiare
e incollare il link nella riga dell'indirizzo del suo web browser/programma di navigazione in rete. Per favore si assicuri che sia su una sola linea e senza
spazi.
La preghiamo di compilare il sondaggio al piu' presto possibile entro qualche
giorno.
Le sue risposte saranno trattate in modo anonimo e in accordo con
la legge sulla privacy.
Cordiali saluti,
Ufficio Studi e Ricerche
CASTORAMA ITALIA
Segue la solita palla sulla privacy (palla nel senso che non ci crede nessuno) e un link per l’opt-out,
http://www.surveymonkey.com/optout.aspx?sm=5ezAvry9QPToc5k58qpE9A_3d_3d.
Ora, surveymonkey.com è sì un sito che almeno così ad occhio permette appunto di fare sondaggi e io sarò paranoico, ma non è che la cosa mi piaccia più di tanto, soprattutto perché ha una quantità di JavaScript assolutamente eccessiva, così come troppi campi hidden nel form. Aggiungiamo poi che non c’è nessun link a Castorama né si trova in rete il fantomatico “Ufficio Studi e Ricerche”: il risultato finale è che nella migliore delle ipotesi questo è uno spam senza se e senza ma, e nella peggiore un bel troiano. Guardate voi se anche sotto Natale bisogna rovinarsi così.

Ultimo aggiornamento: 2007-12-21 22:39

Nota: se non capite cosa sto scrivendo, non preoccupatevi. È così tecnico che non lo capisco nemmeno io: potete tranquillamente saltare questa notiziola.
Come molti spammer sanno, uno dei sistemi migliori per inserire un troiano in un sistema è fare una richiesta che abbia come referrer il troiano stesso, e aspettare che l’ignaro utente guardi le sue statistiche e si chieda chi è quel tipo che viene a visitarlo.
In questo momento il mio sito – ma anche altri ospitati dal mio provider – vede un paio di dozzine di referrer da http://tvsetmp3.com, tutte provenienti da 87.118.120.23. Se uno prova a cliccare sul sito, viene rediretto a http://ismymovies.com/movie/black/0/2/812/0/ (che per curiosità vostra è ospitato sul server thmnetw2.ru… cominciate a subodorare qualcosa?). Questo link vuole che tu accetti un’estensione ActiveX, dicendoti “Your browser cannot display this video file. You need to download new version of Video ActiveX Object to play this video file”. Se provi a dire di no ti riappare immediatamente la finestra di richiesta ‘Download video codec to view media files.’, in pratica bloccando Firefox. Non so cosa succeda con IE, e non intendo provarci :-)
Però a questo punto mi chiedo cosa ci sia dietro. La pagina è tutta in javascript, ma non sono in grado di verificare cosa c’è. Qualche esperto mi dà una mano?

Ultimo aggiornamento: 2007-12-19 22:58

Io capisco che scrivere del phishing in italiano non è molto facile. Però mi chiedo perché i sedicenti “Mr. De Luca Lombardi” e “Mr. Greco Colombo” – sì, ciascuno di loro ha due cognomi e nessun nome… e il secondo sembra preso di peso dalle cronache di Tangentopoli – che mi hanno comunicato a un indirizzo .it che la Fondazione Di Vittorio, pardon, la “Fondazion Di Vittorio, ITALY” mi abbia scelto come “one of the final recipients of a Cash Grant/Donation for your own personal, education and business development”… il tutto in inglese. Tra l’altro, la “Fondazion” è stata “established 1977 by the Multi-Million groups”: immagino Agnelli e Romiti :-) Buffo notare la mancanza di “in” prima di “1977”, un tipico germanismo che fa il paio con l’indirizzo di Mr. Greco che è executive_secretary_greco@yahoo.de. Naturalmente, essendo questa una truffa di tipo 419, l’indirizzo IP da cui il messaggio è stato spedito (213.185.118.236) è… nigeriano!
In una notizia scorrelata, il mittente di un altro spam odierno è zweifel@vt.edu, e zweifel in tedesco significa dubbio: insomma, un mittente autoreferenziale!

Ultimo aggiornamento: 2007-11-22 11:14

Tra ieri e oggi la mia vecchia casella di posta tin ha ricevuto 26 messaggi. Di questi, uno era di una vecchierrima lista (capita una volta al mese o giù di lì che qualcuno mi contatti ancora là), quindici di phishing – a parte Poste Italiane, in questo periodo è Banca di Roma che è molto apprezzata, e solamente nove di spam vero e proprio. Anche la casella gmail sembra al momento ricevere più posta voluta di quella non voluta.
Mi chiedo che cosa stia succedendo.

Ultimo aggiornamento: 2007-11-14 11:01

A quanto sembra, in questi giorni i phisher si sono spostati dalle Poste Italiane a CartaSì. Devo però dire che c’è anche stato un salto di qualità. Ecco il testo di cosa mi è arrivato oggi, e che poi puntava a http://www.abetco.com/users/mark/cartasi/ via un sito taiwanese.
———————
Stop alle frodi su Internet!
> Perché, allora, attivare una protezione contro le frodi on-line?
Perché il nostro numero di Carta può essere trafugato nel mondo reale (ad esempio, da ricevute di pagamento gettate via in modo incauto) e usato per pagamenti su Internet a nostra insaputa!
Tutti, quindi, siamo potenziali vittime delle frodi on-line: sia che usiamo la nostra Carta per acquisti su Internet, sia che non lo facciamo.
E’ vero che CartaSi tutela sempre i suoi Titolari: in caso di addebiti non riconosciuti si può infatti contestare e ricevere il rimborso.
> Ma perché rischiare di ricevere addebiti indesiderati quando è possibile prevenirli?
Lo puoi fare subito dal sito CartaSi:
una garanzia di sicurezza per te, uno stop alle truffe on-line!
———————
Come potete notare, l’italiano è perfetto. Mi posso al limite lamentare che abbiano scritto “E'” invece che “È”, ma quello lo fanno tutti coloro che hanno una tastiera italiana :-)
Insomma, si direbbe che il lucroso mercato del phishing sta tornando nelle mani nostrane. Non siete felici?

Ultimo aggiornamento: 2007-10-29 11:18