Sono passate circa 24 ore dalla mia segnalazione di truffa riguardante una falsa fattura eBay ancora da pagare, il truffatore non contento ci riprova! Stamane è arrivata la stessa identica mail di ieri sulla stessa mailbox ma stavolta, chiaramente, cambia il sito web che ospita -molto probabilmente a sua insaputa- la piattaforma di furto credenziali.

Il nuovo indirizzo punta su accediutente.info/www_ebay_it/index.html ancora perfettamente funzionante in questo momento. Si presenta così come vi mostro qui di seguito, notare che stavolta Firefox 3.0 rileva il sito contraffatto e lo segnala (invitando l’utilizzatore a non visitarlo affatto):

Anche stavolta server italiano, fisicamente posizionato in quel di Torino:

whois.domaintools.com/accediutente.info

Non mi spiego come mai questo accanirsi contro siti italiani conservati su server nostrani … particolare antipatia o totale insicurezza delle nostre macchine? :)

Fate attenzione!

Seconda delle due truffe descritte tra ieri e oggi. Protagonista di quest’ultima è PayPal, noto sistema di trasferimento fondi appartenente al gruppo eBay ed utilizzato principalmente per pagare aste vinte o una moltitudine di servizi disponibili su internet. La mail che arriva ha come argomento principale una banale richiesta di cambio password e commette un errore nell’indirizzo di provenienza non offuscandolo con un alias fake. Contrariamente al solito nel corpo non ci sono errori di forma (solo qualche stupidata di ortografia), il testo è stato quasi sicuramente copiato da una reale richiesta di cambio credenziali.

Il gioco finisce nel momento in cui si passa il mouse sopra al link riportato in mail e si scopre che punta in realtà da tutt’altra parte. Mozilla Thunderbird rileva immediatamente la truffa e la segnala a video invitando l’utente a cancellare la mail.

Il contenuto della mail è il seguente:

Gentile Cliente,

Hai dichiarato di aver dimenticato la tua password PayPal.

Clicca sul link qui di seguito per verificare questo indirizzo email e creare una nuova password:

https://www.paypal.it/fq/ac=AwE17N6BCXdrYTua39MA&t=pr

Grazie.

Cordiali saluti,
PayPal

----------------------------------------------------------------
PROTEGGI LA TUA PASSWORD

Non rivelare MAI la tua password ad altre persone, anche se sono dipendenti PayPal. Mettiti al riparo dall'attacco dei siti web fraudolenti aprendo una nuova finestra del browser web (Internet Explorer o Netscape) e immettendo l'URL di PayPal ogni volta che accedi al tuo conto.

----------------------------------------------------------------

Non rispondere a questa email. Questa casella di posta non e monitorata e quindi non riceverai alcuna risposta. Per ricevere assistenza, accedi al tuo conto PayPal e clicca sul link Aiuto situato nell'angolo superiore destro di qualsiasi pagina PayPal.

----------------------------------------------------------------
Copyright © 1999-2008 PayPal. Tutti i diritti riservati.

PayPal (Europe) S.a r.l. & Cie, S.C.A.
Societe en Commandite par Actions
Sede sociale: 5th Floor 22-24 Boulevard Royal L-2449, Luxembourg
RCS Luxembourg B 118 349

ID dell'email PayPal PP315

Come riconoscere la truffa?

Come detto ad inizio post il testo è impeccabile se non fosse per qualche accentata mancata. L’errore lo si rileva nel momento in cui si passa il puntatore sul link che in realtà riporta l’utente al sito eco-ads.com/www.paypal.it/ ancora funzionante (state quindi attenti). Firefox 3 rileva immediatamente il sito contraffatto e lo segnala all’utente. Qui di seguito inserisco un paio di screenshot fatti alla pagina incriminata:

cliccare sulle immagini per ingrandirle

Il lavoro è fatto particolarmente bene e nonostante l’indirizzo ufficiale della pagina sia visibile al 100% e si dovrebbe capire immediatamente che si tratta di truffa, c’è sempre qualche utente che ci casca. Ancora una volta si nota che:

• manca completamente un certificato valido di protezione sessione
• la connessione viene effettuata in http e non in https

PayPal, quello vero, possiede un certificato Verisign:

A chi appartiene eco-ads?

Ad un’azienda / privato del Massachusetts, Stati Uniti d’America. Il whois riporta:

Registrant:
Charles W. Trainer d/b/a ARTISTIC LICENSE
19 Lafayette Road
Unit #2
Ipswich, Massachusetts 01938
United States

Domain Name: ECO-ADS.COM
Created on: 23-Aug-02
Expires on: 23-Aug-12
Last Updated on: 23-Aug-02

Administrative Contact:
Trainer, Charles
Charles W. Trainer d/b/a ARTISTIC LICENSE
19 Lafayette Road
Unit #2
Ipswich, Massachusetts 01938
United States
(617) 504-0600      Fax -- (978) 356-6228

Technical Contact:
Trainer, Charles
Charles W. Trainer d/b/a ARTISTIC LICENSE
19 Lafayette Road
Unit #2
Ipswich, Massachusetts 01938
United States
(617) 504-0600      Fax -- (978) 356-6228

Domain servers in listed order:
NS1.SPIDERWEBHOST.NET
NS2.SPIDERWEBHOST.NET

Disponibile integralmente all’indirizzo: whois.domaintools.com/eco-ads.com

E la mail?

Apparentemente fatta passare da un indirizzo “italo-tedesco“. Pay.it è infatti hostato in Germania ma “gestito” (?) da un italiano. Mandata dall’indirizzo assistenza@pay.it il quale dominio è assegnato a:

Domain:             pay.it
Status:             ACTIVE
Created:            1999-12-16 00:00:00
Last Update:        2008-06-30 15:53:01
Expire Date:        2009-03-20

Registrant
Name:             Marcin Olczykowski
ContactID:        MO1176-ITNIC

Admin Contact
Name:             Marcin Olczykowski
ContactID:        MO1176-ITNIC

Technical Contacts
Name:             Andrea Fava
ContactID:        AF1392-ITNIC
Organization:     Lilium di Andrea Fava
Address:          Via C. Battisti, 67
Castiglione Olona
21043
VA
IT
Created:          2000-07-14 00:00:00
Last Update:      2007-07-26 08:57:41

Registrar
Organization:     Lilium di Andrea Fava
Name:             LILIUM-MNT

Nameservers
ns1.secure.net
ns2.secure.net

nell’header è possibile trovare le informazioni riguardanti il reale server di partenza:

Received: from smtp3.uk2.net (smtp3.uk2.net [83.170.81.183])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by spunkymail-mx3.g.dreamhost.com (Postfix) with ESMTP id 90C1E8DC93
for <info@extenzilla.org>; Wed,  9 Jul 2008 05:30:33 -0700 (PDT)
Received: from [85.17.177.6] (helo=User)
by smtp3.uk2.net with esmtpa (Exim 4.60)
(envelope-from <assistenza@pay.it>)
id 1KGYoK-0005eY-OB; Wed, 09 Jul 2008 13:30:17 +0100

From: <assistenza@pay.it>

X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

• smtp3.uk2.net è un server di posta appartenente ad un’azienda che offre servizi web
• il traceroute effettuato sull’IP di partenza (85.17.177.6) porta ad un’azienda olandese (Amsterdam per la precisione)
• è stato utilizzato un bot o un Microsoft Outlook Express per dare inizio alle danze

il lavoro di offuscamento è davvero notevole e ci sono parecchi salti che fanno perdere le tracce del reale mittente / truffatore. A questo punto non mi resta che pregarvi di fare attenzione e cestinare immediatamente le mail provenienti da quell’indirizzo. Il consiglio ancora una volta è quello di utilizzare un client di posta elettronica ed un browser sicuri e che possano proteggervi realmente durante la navigazione.

Buon lavoro! :)

E’ quasi passata una settimana dalla rilassante (ed altamente calorica) trasferta toscana per il consueto incontro annuale dello staff Mozilla Italia, mea culpa, ho fatto slittare il resoconto :P

Che dire? Tralasciando i grandi assenti (giusto Giuliano, Giacomo, Gabriele, Michele? :mrgreen: ) il gruppo è sempre il solito ammasso di cazzari che messi insieme sanno come divertirsi e non pensare a nulla, fermamente convinti che ogni tanto sia necessario staccare la spina e disconnettersi dal mondo “costantemente informato e sempre troppo veloce“. Ora, escludendo quel Nokia E90 con tariffa flat del bresciano, il massimo della tecnologia consisteva in cellulari con i quali chiamare casa e confermare che si stava bene, ho evitato di portarmi dietro anche il Mac rimandando la modifica e la pubblicazione delle foto a lunedì mattina! :)

Due i nuovi ingressi di cui solo uno presente: Sokak, già visto e sopportato a Milano durante Fa La Cosa Giusta 2008. Sandro AKA gialloporpora ha dovuto rinunciare. Tra gli “infiltrati” del palazzo di fronte Pedro & Godai71 già sodomizzati abbondantemente come “regalo per l’ingresso in squadra” :P

Ancora una volta l’ottimo e abbondante sole ci ha regalato ore favolose all’insegna del buon cibo, delle stupidate che succedono quotidianamente dietro le quinte, dei futuri sviluppi della comunità e del progetto e, chiaramente, del dolce far nulla.

Appuntamento quindi all’anno prossimo, con la speranza di esserci proprio tutti per festeggiare come si deve una splendida comunità della quale sono fiero di far parte da 4 anni ormai :)

L’intero set di foto è disponibile all’indirizzo:

http://flickr.com/photos/gioxxswall/sets/72157606023051896/

Buona visione :P

Prendo e amplifico:

Ultim’ora da far circolare il più possibile, considerati i tempi molto stretti: se non lo fate vi tolgo il saluto, oppure comincio a salutarvi, scegliete voi la minaccia più efficace

Venerdì 11 luglio alle 21.30, in quel di Roma, avrete la possibilità di incontrare e scambiare quattro chiacchiere con Aza Raskin. Se vi state chiedendo “Aza chiiiii?”, vi basti pensare a Songza e Humanized, oppure a Firefox Mobile

Per i dettagli riporto la notizia pubblicata su Mozilla Italia. Accorrete numerosi

Mozilla Italia è lieta di annunciare un incontro con Aza Raskin di Mozilla Labs, dove verranno illustrate alcune novità riguardo l’interfaccia grafica di Firefox e soprattutto di Fennec, la versione mobile del noto browser.

Avrete la possibilità di togliervi qualche curiosità e di fare quattro chiacchiere amichevoli (e magari fare un brindisi) con chi ogni giorno si sforza di darvi un prodotto all’avanguardia.

QUANDO: venerdì 11 Luglio 2008, ore 21.30
DOVE: La Cantina – Music Box, Via Lucrino 28b (via Eritrea/Piazza Santa Emerenziana)
COME: per facilitare l’organizzazione in così poco tempo, vi preghiamo di inviare una mail di conferma di partecipazione a: incontro.aza@gmail.com
QUANTO: ingresso gratuito

via: PseudoTecnico