Nonostante io mi auguri che nessuno più caschi in questi trucchetti, ci tengo ogni tanto a pubblicare tentativi di phishing che passano anche dalle caselle di posta del sottoscritto, colpendo -la maggior parte delle volte- istituti di credito italiani tra i quali le Poste, ultimamente sempre più in voga, soprattutto quando si parla di PostePay.

Oggi ho ricevuto l’ennesima comunicazione riguardante la necessità di confermare un mio recapito al quale Unicredit potesse mandare tutte le comunicazioni inerenti il mio conto corrente. Partendo dal presupposto che io non sono cliente di Unicredit e che per l’ennesima volta ci si trovasse davanti ad un tentativo di truffa, ho voluto analizzare rapidamente l’attacco, scoprendo un paio di cose interessanti.

La mail che mi è arrivata, sorpassando agilmente i controlli di sicurezza di GMail è questa:

COMUNICAZIONE IMPORTANTE

MODIFICA INDIRIZZO E-MAIL

Gentile Cliente,
dalle nostre verifiche risulta che non hai specificato un indirizzo e-mail univoco per tutti i servizi offerti dal Portale.

Per motivi di sicurezza e per uniformare i nostri archivi, ti chiediamo di confermare un unico indirizzo e-mail, che verrà utilizzato per tutti i Servizi e le comunicazioni da parte di Unicredit Banca (ad es. e/c online, newsletter, 3D Secure).

Premi QUI per confermare il tuo indirizzo email

Grazie della collaborazione,
Francesca Mazzetti
Servizio Clienti

Un italiano corretto, privo di grossolani errori grammaticali e di forma (considerando il non-formalismo utilizzato nel testo, forse un po’ strano per questo tipo di comunicazioni), fatta eccezione per il “Cliente” con la “C” maiuscola, “Portale” con la “P” maiuscola,  “e/c online” quasi certamente al posto di “c/c online“, il punto mancante alla fine della frase “Premi QUI per …“.

Inutile dire che cliccando dove indicato si viene riportati ad un clone della vecchia interfaccia di login utente di Unicredit, vero?

Questa è la mail originale, header compresi:

Delivered-To: gioxx.gxware@gmail.com
Received: by 10.223.81.68 with SMTP id w4cs206040fak;
        Fri, 4 Nov 2011 06:25:50 -0700 (PDT)
Received: by 10.204.145.151 with SMTP id d23mr12013201bkv.100.1320413148770;
        Fri, 04 Nov 2011 06:25:48 -0700 (PDT)
Return-Path: <me@localhost.com>
Received: from yoda.techtemple.org (yoda.techtemple.org. [78.46.21.8])
        by mx.google.com with ESMTPS id k5si5597359faa.20.2011.11.04.06.25.48
        (version=TLSv1/SSLv3 cipher=OTHER);
        Fri, 04 Nov 2011 06:25:48 -0700 (PDT)
Received-SPF: neutral (google.com: 78.46.21.8 is neither permitted nor denied by best guess record for domain of me@localhost.com) client-ip=78.46.21.8;
Authentication-Results: mx.google.com; spf=neutral (google.com: 78.46.21.8 is neither permitted nor denied by best guess record for domain of me@localhost.com) smtp.mail=me@localhost.com
Received: from localhost (localhost [IPv6:::1])
	by yoda.techtemple.org (Postfix) with ESMTP id 7BD2F99F
	for <gioxx@gxware.org>; Fri,  4 Nov 2011 14:25:48 +0100 (CET)
X-Relay-Countries: IT IT **
X-Spam-ASN: AS31034 62.149.128.0/19
X-Virus-Scanned: amavisd-new at yoda.techtemple.org
X-Spam-Flag: YES
X-Spam-Score: 7.332
X-Spam-Level: *******
X-Spam-Status: Yes, score=7.332 tagged_above=0.1 required=5
	tests=[FROM_MISSP_DKIM=0.001, FROM_MISSP_URI=0.001,
	HTML_MESSAGE=0.001, MIME_HEADER_CTYPE_ONLY=1.996,
	MIME_HTML_ONLY=1.105, RAZOR2_CHECK=1.729, TO_NO_BRKTS_FROM_MSSP=2.499]
	autolearn=no
X-Greylist: from auto-whitelisted by SQLgrey-1.8.0-rc2
Received: from smtpsmart3.aruba.it (smtpweb114.aruba.it [62.149.158.114])
	by yoda.techtemple.org (Postfix) with SMTP id 2B56D99B
	for <gioxx@gxware.org>; Fri,  4 Nov 2011 14:25:42 +0100 (CET)
Received: (qmail 15310 invoked by uid 89); 4 Nov 2011 13:25:40 -0000
Received: by simscan 1.2.0 ppid: 14984, pid: 15004, t: 1.3232s
         scanners: clamav: 0.88.4/m:40/d:1945 spam: 3.1.4
Received: from unknown (HELO webs2028.aruba.it) (62.149.132.38)
  by smtpsmart3.fe.aruba.it with SMTP; 4 Nov 2011 13:25:39 -0000
Received: from webs2028 ([127.0.0.1]) by webs2028.aruba.it with Microsoft SMTPSVC(7.5.7601.17514);
	 Fri, 4 Nov 2011 14:24:45 +0100
Date: Fri, 04 Nov 2011 14:24:45 +0100
Subject: [SPAM] Comunicazioni: documento n.D946M00153641
To: gioxx@gxware.org
From:UniCredit Banca<info.ucfin@unicreditgroup.it>
Content-Type: text/html
Message-ID: <WEBS20289W1IpMKX9ss00018aee@webs2028.aruba.it>
X-OriginalArrivalTime: 04 Nov 2011 13:24:45.0812 (UTC) FILETIME=[1E9C3340:01CC9AF5]

<HTML>

<BODY>
<DIV
style="Z-INDEX: 0; POSITION: absolute; WIDTH: 758px; HEIGHT: 290px; OVERFLOW: hidden; TOP: 29px; LEFT: 44px"
id=text1>
<DIV>
<DIV><FONT color=#ff0000 face=Arial>COMUNICAZIONE IMPORTANTE
</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>MODIFICA INDIRIZZO E-MAIL </FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Gentile Cliente, </FONT></DIV>
<DIV><FONT face=Calibri>dalle nostre verifiche risulta che non hai
specificato un indirizzo e-mail univoco per tutti i servizi offerti dal Portale.
</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Per motivi di sicurezza e per uniformare i
nostri archivi, ti chiediamo di confermare un unico indirizzo e-mail, che verr&agrave;
utilizzato per tutti i Servizi e le comunicazioni da parte di Unicredit Banca (ad es.
e/c online, newsletter, 3D Secure). </FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Premi </FONT><FONT face=Arial><a href="http://www.privaticartasionline.info/images/web/loginClr_js.htm">QUI</A></FONT><FONT
class=ws11 face=Calibri> per confermare il tuo indirizzo email</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Grazie della collaborazione,</FONT></DIV>
<DIV><FONT face=Calibri>Francesca Mazzetti</FONT></DIV>
<DIV><FONT face=Calibri>Servizio Clienti</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV></DIV></DIV></BODY></HTML>

E queste sono le informazioni riguardanti il sito web al quale si appoggia il tentativo di phishing operato:

Domain ID:D37160236-LRMS
Domain Name:PRIVATICARTASIONLINE.INFO
Created On:11-Mar-2011 15:04:34 UTC
Last Updated On:10-May-2011 20:34:34 UTC
Expiration Date:11-Mar-2012 15:04:34 UTC
Sponsoring Registrar:Directi Internet Solutions Pvt. Ltd. dba PublicDomainRegistry.com (R159-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:PP-SP-001
Registrant Name:Domain Admin
Registrant Organization:PrivacyProtect.org
Registrant Street1:ID#10760, PO Box 16
Registrant Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Registrant Street3:
Registrant City:Nobby Beach
Registrant State/Province:
Registrant Postal Code:QLD 4218
Registrant Country:AU
Registrant Phone:+45.36946676
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:contact@privacyprotect.org
Admin ID:PP-SP-001
Admin Name:Domain Admin
Admin Organization:PrivacyProtect.org
Admin Street1:ID#10760, PO Box 16
Admin Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Admin Street3:
Admin City:Nobby Beach
Admin State/Province:
Admin Postal Code:QLD 4218
Admin Country:AU
Admin Phone:+45.36946676
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:contact@privacyprotect.org
Billing ID:PP-SP-001
Billing Name:Domain Admin
Billing Organization:PrivacyProtect.org
Billing Street1:ID#10760, PO Box 16
Billing Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Billing Street3:
Billing City:Nobby Beach
Billing State/Province:
Billing Postal Code:QLD 4218
Billing Country:AU
Billing Phone:+45.36946676
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:contact@privacyprotect.org
Tech ID:PP-SP-001
Tech Name:Domain Admin
Tech Organization:PrivacyProtect.org
Tech Street1:ID#10760, PO Box 16
Tech Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Tech Street3:
Tech City:Nobby Beach
Tech State/Province:
Tech Postal Code:QLD 4218
Tech Country:AU
Tech Phone:+45.36946676
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:contact@privacyprotect.org
Name Server:NS1.HOST-CARE.COM
Name Server:NS2.HOST-CARE.COM

Intelligentemente protetto affinché il reale proprietario non venga dichiarato (basta pagare, è un servizio che ormai offrono in tanti).

La cosa curiosa è che provando a visitare la radice del sito web interessato, si possono scoprire altri due cloni pronti per essere utilizzati: PostePay e CartaSi.

Ho volutamente evitato di segnalarvi in chiaro il sito in questione (anche se lo si può comunque notare dal whois sopra dichiarato) e nel frattempo ho già inviato una segnalazione a Google affinché possa farvi comparire il solito messaggio di sito contraffatto in Firefox o Chrome, qui maggiori informazioni direttamente da Mozilla.

Occhio a quello che visitate! ;-)

Ho pubblicato l’articolo originale in Home Page su Mozilla Italia:

mozillaitalia.it/home/2010/09/08/firefox-4-beta-5-html5-direct2d-e-hsts

Firefox 4 tocca quota 5. L’ultima versione beta rilasciata rivoluziona l’integrazione dei contenuti multimediali sul Web: le nuove API Audio rendono accessibili i dati audio non elaborati contenuti negli elementi HTML5 <video> e <audio>, permettendo agli sviluppatori di leggere e scrivere queste informazioni in modo semplice utilizzando JavaScript.

Altra novità succulenta è l’accelerazione Direct2D su Windows (Vista e 7) resa possibile grazie all’utilizzo delle DirectX 10 su hardware compatibile, che vi regalerà un’esperienza di navigazione più veloce senza impiegare le risorse della vostra macchina più del dovuto, come mostrato nel video disponibile nella pagina riepilogativa della release.

Per concludere, Firefox 4 beta 5 include inoltre HSTS, protocollo attraverso il quale i siti possono fare in modo che il browser stabilisca automaticamente una connessione sicura ai propri server, impedendo quindi intercettazioni di dati sensibili che potrebbero risultare a rischio durante la quotidiana navigazione. Ai più curiosi proponiamo la lettura di questo approfondimento pubblicato una manciata di giorni fa (in inglese).

Prima di chiudere vi ricordiamo che

Maggiori saranno i feedback, migliore sarà la versione finale del browser.

Come sempre Firefox 4 beta include il componente aggiuntivo Test Pilot, appositamente realizzato per raccogliere le opinioni degli utilizzatori, salvate senza richiedere alcun dato personale sull’utente che potrà quindi restare completamente anonimo. Mozilla Italia mette inoltre a disposizione un apposito forum dedicato ai suoi utenti attuali e futuri, che potranno dire la loro riguardo le versioni beta di Firefox 4, correte ad utilizzarlo!

Coloro che già utilizzano Firefox 4 beta riceveranno automaticamente questo aggiornamento. Restate sintonizzati per i futuri rilasci previsti per le prossime settimane!

Siete clienti Mediaset Premium? Se non lo siete buon per voi, faccio parte (orgoglioso) del vostro gruppo. In caso contrario posso consigliare la lettura dell’articolo di Max riguardo un prossimo aumento della bolletta piuttosto anomalo e mal annunciato che l’amministrazione di Mr. Berlusconi fa pervenire nelle vostre case a fine mese?

maxkava.com/2009/12/attenti-mediaset-premium-2-euro-di.html

Occhio alla bolletta quindi, magari armatevi di sacrosanta pazienza e preparate la raccomandata A/R, dopo di che protestate con le associazioni dei consumatori, ormai non c’è limite al peggio …

… tentando di scucirli a Frieda ed a Wikimedia Italia tutta, che si trova a combattere l’ennesima presa di posizione e prepotenza gratuita da parte del politico povero di turno. La sintesi? Wikimedia Italia (Frieda in prima persona) è stata citata in giudizio a causa di due voci “scomode” pubblicate su Wikipedia, causa civile con tanto di richiesta di qualche spicciolo: 20 milioni di euro.

fcvg.it/?p=360

Motivo: presunte «affermazioni false e lesive dell’onore» contenute in una al denunciante

(Blog di Digital PR)

Tutti possiamo contribuire, sia che siate comodamente seduti in poltrona, sia “fisicamente” il prossimo 19 settembre (questo sabato) a Roma. Sarebbe bello se gli amici della capitale che leggono questo blog (e non solo questo) potessero prendere parte all’evento, descritto nella pagina ufficiale su Wikipedia stessa:

http://it.wikipedia.org/wiki/Wikipedia:Bar/Discussioni/Sabato_19,_a_Roma,_abbiamo_bisogno_di_te

Con la speranza che non la spunti ancora una volta il furto (perché di furto si tratta) legalizzato.

Secondo episodio riguardante le truffe via Windows Live Messenger dopo un primo post tutto sommato apprezzato pubblicato giusto una settimana fa. Nuovo giro, nuovo tentativo di proporre contenuti pubblicitari agli utenti inesperti che decidono di cliccare su link non affidabili proposti da utenti “amici” infetti, quindi a loro insaputa.

Il protagonista di questa puntata è “my-new-cell.com” ed il messaggio riguardante alcune cartoline regalo Wal-Mart:

WOW $NOMECONTATTO this website is giving away free Wal-Mart Gift Cards, hurry and get yours before they’re all gone go here http://$VOSTROCONTATTO.my-new-cell.com

$NOMECONTATTO corrisponde al nickname del contatto vostro amico, a $VOSTROCONTATTO verrà sostituito il vostro nickname. La pagina di my-new-cell.com riporta solo ed esclusivamente pubblicità, esattamente ciò che riportava il precedentemente descritto cpacell.com! Inutile dire che anche in questo caso AdBlock Plus con X Files farà il suo sporco lavoro.

Sfortunatamente le informazioni sul dominio scarseggiano ancora una volta, come dimostrato dal whois.

A chi appartiene cpacell.com?

Ancora un servizio di Whois Guard, questo il risultato:

Registration Service Provided By: NameCheap.com
Contact:
Visit: http://www.namecheap.com/

Domain name: my-new-cell.com

Registrant Contact:
WhoisGuard
WhoisGuard Protected ()

Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Administrative Contact:
WhoisGuard
WhoisGuard Protected ()
+1.6613102107
Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Technical Contact:
WhoisGuard
WhoisGuard Protected ()
+1.6613102107
Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Status: Locked

Name Servers:
dns1.registrar-servers.com
dns2.registrar-servers.com
dns3.registrar-servers.com

Creation date: 07 Jan 2009 16:27:50
Expiration date: 07 Jan 2010 16:27:50

Non ho trovato ulteriori informazioni sulla rimozione di questo fastidioso messaggio automatico, ahimé. Chi volesse contribuire è pregato di lasciare un commento, aggiungerò in coda al post il “da farsi” in questi casi. Personalmente ho intrapreso l’azione dell’avvisare “la vittima” che però non può fare granché per lo stesso motivo appena descritto.

State sempre attenti a quello che utilizzate e dove navigate! ;)