Truffa: finta fattura di eBay (riepilogobay.info)

ATTENZIONE: Questo post e' stato scritto piu' di 3 mesi fa. Potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a scrivere un commento per chiedere delucidazioni! :)

Ultima modifica: 15/12/2009 ore 0.40

Era da tanto che non si parlava di truffe via mail. Oggi ne ho addirittura due da proporvi. La prima riguarda un tentativo di inganno ai danni degli utilizzatori eBay. Un avviso di fattura non ancora pagata arriva nella nostra casella di posta elettronica fornendo un link diretto al pannello di autenticazione dove inserire username e password utilizzati per l’ingresso nel noto portale di aste online.

Un’azione lampo fatta da una mail grosso modo accettabile, a tratti riconoscibile perché probabilmente tradotta da un Google Translate (o simili) sempre più preciso. Ieri ho preferito indagare e tenere nascosto il tutto, oggi scopro che Aruba ha già messo la parola fine a questo nuovo tentativo di phishing (stavolta il truffatore è stato molto meno furbo rispetto al solito) e vi riporto i risultati.

Il contenuto della mail potrebbe somigliare (o essere identico) al seguente:

***Quest'email e stata creata automaticamente. Non rispondere.***

Numero della fattura: 061508-3862560150079

Gentile cliente,
La fattura mensile di eBay relativa al periodo dal 08 Giugno 2008 al 08 Luglio 2008 e disponibile online.

Importo dovuto: Ђ48,97

Potete rivedere in qualunque momento i vostri particolari della fattura e condizione di cliente correnti scattando questo collegamento:

Osservare la Fattura

Hai scelto PayPal come metodo di pagamento automatico. L'importo fatturato sara automaticamente dedotto dal conto PayPal entro 10 giorni dal ricevimento della fattura (l'importo puт variare in base ad accrediti o addebiti piщ recenti).

Per vedere la fattura:
1. Vai all'eBay e clicca su Il mio eBay, nella parte superiore di una qualsiasi pagina. Ti sara richiesto di effettuare l'accesso.
2. Clicca sul link Account del venditore che si trova sotto il link Il mio account, sul lato sinistro della pagina.
3. Clicca sul link Vedi fatture e scegli la fattura che vuoi controllare nel menu a discesa.

Grazie per aver scelto eBay.

Cordiali saluti,
eBay

Copyright © 2008 eBay Inc. Tutti i diritti riservati.

Marchi registrati e segni distintivi sono di proprieta dei rispettivi titolari.

eBay e il logo eBay sono marchi o marchi registrati di eBay, Inc.

Reference #: 10229.515.101

Chiari sintomi di phishing

“dal 08 Giugno 2008 al 08 Luglio 2008 e disponibile online“

la “e” priva di accento non è da eBay che cura particolarmente la sua newsletter ed il suo sistema di messaggistica automatica.

“Importo dovuto: Ђ48,97“

la cifra non viene espressa in euro? Cos’è quello strano carattere probabilmente generato automaticamente da uno script che non era capace di sfruttare la codifica caratteri giusta?

“Potete rivedere in qualunque momento i vostri particolari della fattura e condizione di cliente correnti scattando questo collegamento“

la forma dell’intera frase è appartenente in todo ad un altro pianeta, senza contare che “scattare un collegamento” ha ben poco significato in italiano ;)

L’importo fatturato sara automaticamente dedotto dal conto PayPal entro 10 giorni dal ricevimento della fattura (l’importo puт variare in base ad accrediti o addebiti piщ recenti).

così come la prima riga analizzata anche in questo caso le accentate e le parole che terminano in lettere con diversa codifica vengono riportate male nel corpo della mail.

1. Vai all’eBay e clicca su Il mio eBay, nella parte superiore di una qualsiasi pagina. Ti sara richiesto di effettuare l’accesso.

idem come sopra. Si tratta dell’ultima frase “sospetta” (palese?) all’interno della mail

Ma dove mi vuole portare?

Il link corrispondente a “Osservare la Fattura” riporta all’indirizzo riepilogobay.info appartenente (così dice il whois) ad un italiano e hostato su uno dei tanti server condivisi di Aruba (la nota webfarm di Arezzo). Queste sono le informazioni di base:

Attenzione: tutte le informazioni riguardanti l’interessato (ex proprietario del dominio) sono state rimosse su sua specifica richiesta.

Domain ID:D25449199-LRMS
Domain Name:RIEPILOGOBAY.INFO
Created On:07-Jul-2008 16:22:15 UTC
Last Updated On:07-Jul-2008 16:22:17 UTC
Expiration Date:07-Jul-2009 16:22:15 UTC
Sponsoring Registrar:Tucows Inc. (R139-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:CLIENT UPDATE PROHIBITED
Status:TRANSFER PROHIBITED
Registrant ID:tuPuesx9XVefOO1q
Registrant Name:*****
Registrant Organization:*****
Registrant Street1:*****
Registrant Street2:
Registrant Street3:
Registrant City:*****
Registrant State/Province:*****
Registrant Postal Code:*****
Registrant Country:IT
Registrant Phone:*****
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:
Admin ID:tuPuesx9XVefOO1q
Admin Name:*****
Admin Organization:*****
Admin Street1:*****
Admin Street2:
Admin Street3:
Admin City:*****
Admin State/Province:*****
Admin Postal Code:*****
Admin Country:IT
Admin Phone:*****
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:
Billing Name:Billing Department Hosting Aruba.it
Billing Organization:Aruba S.p.A.
Billing Street1:Piazza Garibaldi 8
Billing Street2:
Billing Street3:
Billing City:Soci
Billing State/Province:AR
Billing Postal Code:52010
Billing Country:IT
Billing Phone:+39.057551571
Billing Phone Ext.:
Billing FAX:+39.0575515790
Billing FAX Ext.:
Billing Email:
Tech Name:*****
Tech Organization:*****
Tech Street1:*****
Tech Street2:
Tech Street3:
Tech City:*****
Tech State/Province:*****
Tech Postal Code:*****
Tech Country:IT
Tech Phone:*****
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:
Name Server:DNS.TECHNORAIL.COM
Name Server:DNS2.TECHNORAIL.COM

Tutte disponibili, insieme ad altri dettagli, alla pagina:

whois.domaintools.com/riepilogobay.info

Allo stato attuale, come anticipato ad inizio post, la pagina è stata completamente oscurata. Ieri si presentava così:

cliccare per ingrandire

Cosa si nota subito?

• la pagina non aveva un certificato di protezione valido
• il collegamento veniva effettuato in http e non https (sessione non sicura)

Contenuto e provenienza reale della mail

Analizzando l’header della mail arrivata nella casella di posta si ottengono queste informazioni:

<pre id="line1">Received: from sd0002.solodomini.com (unknown [85.18.11.68])
	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by spunkymail-mx5.g.dreamhost.com (Postfix) with ESMTP id 3F03141D0C
	for <info@extenzilla.org>; Tue,  8 Jul 2008 04:47:03 -0700 (PDT)
Received: (qmail 1419 invoked from network); 8 Jul 2008 13:44:52 +0200
Received: from adsl-70-237-23-38.dsl.bcvloh.sbcglobal.net (HELO User) (70.237.23.38)
  by 85.18.11.68 with SMTP; 8 Jul 2008 13:44:52 +0200

From: "eBay" <serv@ebay.it>

X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
</pre>

Ergo:

• l’utilizzatore è un poco simpatico utente casalingo appartenente agli Stati Uniti d’America
• ha mandato la mail passando da un server di posta appartenente a solodomini.com (“220 sd0002.solodomini.com ESMTP” facendo telnet sulla 25)
• ha utilizzato Outlook Express 6 per fare il tutto (e non si vergogna solo per questo? :mrgreen: )
• ha usato l’alias serv@ebay.it ma il portale sfrutta billing@ebay.it per mandare gli avvisi di fattura da pagare

Mail cestinata, truffa evitata. Un grazie personalissimo ad Aruba per essere intervenuta tempestivamente.