Oggi ho ricevuto l’ennesima comunicazione riguardante la necessità di confermare un mio recapito al quale Unicredit potesse mandare tutte le comunicazioni inerenti il mio conto corrente. Partendo dal presupposto che io non sono cliente di Unicredit e che per l’ennesima volta ci si trovasse davanti ad un tentativo di truffa, ho voluto analizzare rapidamente l’attacco, scoprendo un paio di cose interessanti.

La mail che mi è arrivata, sorpassando agilmente i controlli di sicurezza di GMail è questa:

COMUNICAZIONE IMPORTANTE

MODIFICA INDIRIZZO E-MAIL

Gentile Cliente,
dalle nostre verifiche risulta che non hai specificato un indirizzo e-mail univoco per tutti i servizi offerti dal Portale.

Per motivi di sicurezza e per uniformare i nostri archivi, ti chiediamo di confermare un unico indirizzo e-mail, che verrà utilizzato per tutti i Servizi e le comunicazioni da parte di Unicredit Banca (ad es. e/c online, newsletter, 3D Secure).

Premi QUI per confermare il tuo indirizzo email

Grazie della collaborazione,
Francesca Mazzetti
Servizio Clienti

Un italiano corretto, privo di grossolani errori grammaticali e di forma (considerando il non-formalismo utilizzato nel testo, forse un po’ strano per questo tipo di comunicazioni), fatta eccezione per il “Cliente” con la “C” maiuscola, “Portale” con la “P” maiuscola,  “e/c online” quasi certamente al posto di “c/c online“, il punto mancante alla fine della frase “Premi QUI per …“.

Inutile dire che cliccando dove indicato si viene riportati ad un clone della vecchia interfaccia di login utente di Unicredit, vero?

Questa è la mail originale, header compresi:

Delivered-To: gioxx.gxware@gmail.com
Received: by 10.223.81.68 with SMTP id w4cs206040fak;
        Fri, 4 Nov 2011 06:25:50 -0700 (PDT)
Received: by 10.204.145.151 with SMTP id d23mr12013201bkv.100.1320413148770;
        Fri, 04 Nov 2011 06:25:48 -0700 (PDT)
Return-Path: <me@localhost.com>
Received: from yoda.techtemple.org (yoda.techtemple.org. [78.46.21.8])
        by mx.google.com with ESMTPS id k5si5597359faa.20.2011.11.04.06.25.48
        (version=TLSv1/SSLv3 cipher=OTHER);
        Fri, 04 Nov 2011 06:25:48 -0700 (PDT)
Received-SPF: neutral (google.com: 78.46.21.8 is neither permitted nor denied by best guess record for domain of me@localhost.com) client-ip=78.46.21.8;
Authentication-Results: mx.google.com; spf=neutral (google.com: 78.46.21.8 is neither permitted nor denied by best guess record for domain of me@localhost.com) smtp.mail=me@localhost.com
Received: from localhost (localhost [IPv6:::1])
	by yoda.techtemple.org (Postfix) with ESMTP id 7BD2F99F
	for <gioxx@gxware.org>; Fri,  4 Nov 2011 14:25:48 +0100 (CET)
X-Relay-Countries: IT IT **
X-Spam-ASN: AS31034 62.149.128.0/19
X-Virus-Scanned: amavisd-new at yoda.techtemple.org
X-Spam-Flag: YES
X-Spam-Score: 7.332
X-Spam-Level: *******
X-Spam-Status: Yes, score=7.332 tagged_above=0.1 required=5
	tests=[FROM_MISSP_DKIM=0.001, FROM_MISSP_URI=0.001,
	HTML_MESSAGE=0.001, MIME_HEADER_CTYPE_ONLY=1.996,
	MIME_HTML_ONLY=1.105, RAZOR2_CHECK=1.729, TO_NO_BRKTS_FROM_MSSP=2.499]
	autolearn=no
X-Greylist: from auto-whitelisted by SQLgrey-1.8.0-rc2
Received: from smtpsmart3.aruba.it (smtpweb114.aruba.it [62.149.158.114])
	by yoda.techtemple.org (Postfix) with SMTP id 2B56D99B
	for <gioxx@gxware.org>; Fri,  4 Nov 2011 14:25:42 +0100 (CET)
Received: (qmail 15310 invoked by uid 89); 4 Nov 2011 13:25:40 -0000
Received: by simscan 1.2.0 ppid: 14984, pid: 15004, t: 1.3232s
         scanners: clamav: 0.88.4/m:40/d:1945 spam: 3.1.4
Received: from unknown (HELO webs2028.aruba.it) (62.149.132.38)
  by smtpsmart3.fe.aruba.it with SMTP; 4 Nov 2011 13:25:39 -0000
Received: from webs2028 ([127.0.0.1]) by webs2028.aruba.it with Microsoft SMTPSVC(7.5.7601.17514);
	 Fri, 4 Nov 2011 14:24:45 +0100
Date: Fri, 04 Nov 2011 14:24:45 +0100
Subject: [SPAM] Comunicazioni: documento n.D946M00153641
To: gioxx@gxware.org
From:UniCredit Banca<info.ucfin@unicreditgroup.it>
Content-Type: text/html
Message-ID: <WEBS20289W1IpMKX9ss00018aee@webs2028.aruba.it>
X-OriginalArrivalTime: 04 Nov 2011 13:24:45.0812 (UTC) FILETIME=[1E9C3340:01CC9AF5]

<HTML>

<BODY>
<DIV
style="Z-INDEX: 0; POSITION: absolute; WIDTH: 758px; HEIGHT: 290px; OVERFLOW: hidden; TOP: 29px; LEFT: 44px"
id=text1>
<DIV>
<DIV><FONT color=#ff0000 face=Arial>COMUNICAZIONE IMPORTANTE
</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>MODIFICA INDIRIZZO E-MAIL </FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Gentile Cliente, </FONT></DIV>
<DIV><FONT face=Calibri>dalle nostre verifiche risulta che non hai
specificato un indirizzo e-mail univoco per tutti i servizi offerti dal Portale.
</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Per motivi di sicurezza e per uniformare i
nostri archivi, ti chiediamo di confermare un unico indirizzo e-mail, che verr&agrave;
utilizzato per tutti i Servizi e le comunicazioni da parte di Unicredit Banca (ad es.
e/c online, newsletter, 3D Secure). </FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Premi </FONT><FONT face=Arial><a href="http://www.privaticartasionline.info/images/web/loginClr_js.htm">QUI</A></FONT><FONT
class=ws11 face=Calibri> per confermare il tuo indirizzo email</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV>
<DIV><FONT face=Calibri>Grazie della collaborazione,</FONT></DIV>
<DIV><FONT face=Calibri>Francesca Mazzetti</FONT></DIV>
<DIV><FONT face=Calibri>Servizio Clienti</FONT></DIV>
<DIV><FONT face=Calibri><BR></FONT></DIV></DIV></DIV></BODY></HTML>

E queste sono le informazioni riguardanti il sito web al quale si appoggia il tentativo di phishing operato:

Domain ID:D37160236-LRMS
Domain Name:PRIVATICARTASIONLINE.INFO
Created On:11-Mar-2011 15:04:34 UTC
Last Updated On:10-May-2011 20:34:34 UTC
Expiration Date:11-Mar-2012 15:04:34 UTC
Sponsoring Registrar:Directi Internet Solutions Pvt. Ltd. dba PublicDomainRegistry.com (R159-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:PP-SP-001
Registrant Name:Domain Admin
Registrant Organization:PrivacyProtect.org
Registrant Street1:ID#10760, PO Box 16
Registrant Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Registrant Street3:
Registrant City:Nobby Beach
Registrant State/Province:
Registrant Postal Code:QLD 4218
Registrant Country:AU
Registrant Phone:+45.36946676
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:contact@privacyprotect.org
Admin ID:PP-SP-001
Admin Name:Domain Admin
Admin Organization:PrivacyProtect.org
Admin Street1:ID#10760, PO Box 16
Admin Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Admin Street3:
Admin City:Nobby Beach
Admin State/Province:
Admin Postal Code:QLD 4218
Admin Country:AU
Admin Phone:+45.36946676
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:contact@privacyprotect.org
Billing ID:PP-SP-001
Billing Name:Domain Admin
Billing Organization:PrivacyProtect.org
Billing Street1:ID#10760, PO Box 16
Billing Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Billing Street3:
Billing City:Nobby Beach
Billing State/Province:
Billing Postal Code:QLD 4218
Billing Country:AU
Billing Phone:+45.36946676
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:contact@privacyprotect.org
Tech ID:PP-SP-001
Tech Name:Domain Admin
Tech Organization:PrivacyProtect.org
Tech Street1:ID#10760, PO Box 16
Tech Street2:Note - All Postal Mails Rejected, visit Privacyprotect.org
Tech Street3:
Tech City:Nobby Beach
Tech State/Province:
Tech Postal Code:QLD 4218
Tech Country:AU
Tech Phone:+45.36946676
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:contact@privacyprotect.org
Name Server:NS1.HOST-CARE.COM
Name Server:NS2.HOST-CARE.COM

Intelligentemente protetto affinché il reale proprietario non venga dichiarato (basta pagare, è un servizio che ormai offrono in tanti).

La cosa curiosa è che provando a visitare la radice del sito web interessato, si possono scoprire altri due cloni pronti per essere utilizzati: PostePay e CartaSi.

Ho volutamente evitato di segnalarvi in chiaro il sito in questione (anche se lo si può comunque notare dal whois sopra dichiarato) e nel frattempo ho già inviato una segnalazione a Google affinché possa farvi comparire il solito messaggio di sito contraffatto in Firefox o Chrome, qui maggiori informazioni direttamente da Mozilla.

Occhio a quello che visitate! ;-)

Ho pubblicato l’articolo originale in Home Page su Mozilla Italia:

mozillaitalia.it/home/2010/09/08/firefox-4-beta-5-html5-direct2d-e-hsts

Firefox 4 tocca quota 5. L’ultima versione beta rilasciata rivoluziona l’integrazione dei contenuti multimediali sul Web: le nuove API Audio rendono accessibili i dati audio non elaborati contenuti negli elementi HTML5 <video> e <audio>, permettendo agli sviluppatori di leggere e scrivere queste informazioni in modo semplice utilizzando JavaScript.

Altra novità succulenta è l’accelerazione Direct2D su Windows (Vista e 7) resa possibile grazie all’utilizzo delle DirectX 10 su hardware compatibile, che vi regalerà un’esperienza di navigazione più veloce senza impiegare le risorse della vostra macchina più del dovuto, come mostrato nel video disponibile nella pagina riepilogativa della release.

Per concludere, Firefox 4 beta 5 include inoltre HSTS, protocollo attraverso il quale i siti possono fare in modo che il browser stabilisca automaticamente una connessione sicura ai propri server, impedendo quindi intercettazioni di dati sensibili che potrebbero risultare a rischio durante la quotidiana navigazione. Ai più curiosi proponiamo la lettura di questo approfondimento pubblicato una manciata di giorni fa (in inglese).

Prima di chiudere vi ricordiamo che

Maggiori saranno i feedback, migliore sarà la versione finale del browser.

Come sempre Firefox 4 beta include il componente aggiuntivo Test Pilot, appositamente realizzato per raccogliere le opinioni degli utilizzatori, salvate senza richiedere alcun dato personale sull’utente che potrà quindi restare completamente anonimo. Mozilla Italia mette inoltre a disposizione un apposito forum dedicato ai suoi utenti attuali e futuri, che potranno dire la loro riguardo le versioni beta di Firefox 4, correte ad utilizzarlo!

Coloro che già utilizzano Firefox 4 beta riceveranno automaticamente questo aggiornamento. Restate sintonizzati per i futuri rilasci previsti per le prossime settimane!

maxkava.com/2009/12/attenti-mediaset-premium-2-euro-di.html

Occhio alla bolletta quindi, magari armatevi di sacrosanta pazienza e preparate la raccomandata A/R, dopo di che protestate con le associazioni dei consumatori, ormai non c’è limite al peggio …

fcvg.it/?p=360

Motivo: presunte «affermazioni false e lesive dell’onore» contenute in una al denunciante

(Blog di Digital PR)

Tutti possiamo contribuire, sia che siate comodamente seduti in poltrona, sia “fisicamente” il prossimo 19 settembre (questo sabato) a Roma. Sarebbe bello se gli amici della capitale che leggono questo blog (e non solo questo) potessero prendere parte all’evento, descritto nella pagina ufficiale su Wikipedia stessa:

http://it.wikipedia.org/wiki/Wikipedia:Bar/Discussioni/Sabato_19,_a_Roma,_abbiamo_bisogno_di_te

Con la speranza che non la spunti ancora una volta il furto (perché di furto si tratta) legalizzato.

Il protagonista di questa puntata è “my-new-cell.com” ed il messaggio riguardante alcune cartoline regalo Wal-Mart:

WOW $NOMECONTATTO this website is giving away free Wal-Mart Gift Cards, hurry and get yours before they’re all gone go here http://$VOSTROCONTATTO.my-new-cell.com

$NOMECONTATTO corrisponde al nickname del contatto vostro amico, a $VOSTROCONTATTO verrà sostituito il vostro nickname. La pagina di my-new-cell.com riporta solo ed esclusivamente pubblicità, esattamente ciò che riportava il precedentemente descritto cpacell.com! Inutile dire che anche in questo caso AdBlock Plus con X Files farà il suo sporco lavoro.

Sfortunatamente le informazioni sul dominio scarseggiano ancora una volta, come dimostrato dal whois.

A chi appartiene cpacell.com?

Ancora un servizio di Whois Guard, questo il risultato:

Registration Service Provided By: NameCheap.com
Contact:
Visit: http://www.namecheap.com/

Domain name: my-new-cell.com

Registrant Contact:
WhoisGuard
WhoisGuard Protected ()

Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Administrative Contact:
WhoisGuard
WhoisGuard Protected ()
+1.6613102107
Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Technical Contact:
WhoisGuard
WhoisGuard Protected ()
+1.6613102107
Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Status: Locked

Name Servers:
dns1.registrar-servers.com
dns2.registrar-servers.com
dns3.registrar-servers.com

Creation date: 07 Jan 2009 16:27:50
Expiration date: 07 Jan 2010 16:27:50

Non ho trovato ulteriori informazioni sulla rimozione di questo fastidioso messaggio automatico, ahimé. Chi volesse contribuire è pregato di lasciare un commento, aggiungerò in coda al post il “da farsi” in questi casi. Personalmente ho intrapreso l’azione dell’avvisare “la vittima” che però non può fare granché per lo stesso motivo appena descritto.

State sempre attenti a quello che utilizzate e dove navigate! ;)

Inauguro questa “branchia” della rubrica Truffe parlando di “cpacell.com” e lo strano messaggio riguardante alcune offerte vantaggiose e regali di Natale (arriva in ritardo, decisamente). Il messaggio nella finestra di Live Messenger potrebbe recitare:

WOW $VOSTROUTENTEMSN I found this great webpage that giving away a free Ipod Nano for the Holiday season, this is amazing go sign up for yours before they are all gone http://$VOSTROUTENTEMSN.cpacell.com

Inutile dire che al posto di $VOSTROUTENTEMSN bisognerà mettere il nickname utilizzato in Messenger. La pagina di cpacell.com riporta solo ed esclusivamente pubblicità, in particolare questa è la schermata di AdBlock:

Chiaramente essendo bloccate alla fonte ci si troverà davanti alla pagina bianca, vuota, niente da proporre all’utente, finti domini di terzo livello prontamente filtrati dall’ottima estensione di Firefox e dalla lista aggiornata dal sottoscritto (a breve la nuova versione, ndr).

A chi appartiene cpacell.com?

In questi casi basta un servizio di whois ed il dominio colpevole, peccato che almeno stavolta il proprietario sembra aver fatto le cose a regola d’arte proteggendo i propri dati attraverso un apposito servizio di Whois Guard:

Registration Service Provided By: NameCheap.com
Contact:
Visit: http://www.namecheap.com/

Domain name: cpacell.com

Registrant Contact:
WhoisGuard
WhoisGuard Protected ()

Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Administrative Contact:
WhoisGuard
WhoisGuard Protected ()
+1.6613102107
Fax: +1.6613102107
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Technical Contact:
WhoisGuard
WhoisGuard Protected ()
+1.6613102107
Fax: +1.6613102107
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 13 May 2007 03:03:34
Expiration date: 13 May 2009 03:03:34

Non ho trovato ulteriori informazioni sulla rimozione di questo fastidioso messaggio automatico, ahimé. Chi volesse contribuire è pregato di lasciare un commento, aggiungerò in coda al post il “da farsi” in questi casi. Personalmente ho intrapreso l’azione dell’avvisare “la vittima” che però non può fare granché per lo stesso motivo appena descritto.

State sempre attenti a quello che utilizzate e dove navigate! ;)

Attenzione: viste le incomprensioni varie derivate dal post qui di seguito, specifico immediatamente che si tratta di una casistica “Pacchetto 45 € con abbonamento annesso e automaticamente modificato dal quarto mese“. Nel caso in cui si voglia provare SKY per 3 mesi e poi restituirlo non c’è alcun problema, leggi qui!

La poco simpatica pubblicità di Pasquale con riferimenti subliminali alla Coca Cola (notato il camion?) e del suo regalo perfetto parla di uno SKY senza limiti. 3 mesi, tutti i pacchetti disponibili (Mondo, Cinema, Sport, Calcio & News), 45 euro (15 per tre) pagati in anticipo al momento di stipula del contratto. Due modalità di pagamento disponibili, vediamole insieme:

1. Pagamento attraverso carta di credito / CC postale o bancario
2. Pagamento attraverso bollettini postali

Nota: teoricamente l’offerta ha scadenza domenica 11 gennaio 2009 secondo il centro della mia città, sul sito di SKY si cita invece il primo giorno di febbraio.

#1 CC Bancario / Postale, RID, Carta di credito

Certamente il metodo più utilizzato e riconosciuto dalle aziende. Vantaggioso per coloro che non intendono passare una vita in posta a pagare i bollettini che arrivano mensilmente, inutilizzabile se non si possiede un conto.

Così facendo SKY chiederà al cliente:

• 45 euro da pagare all’atto della stipula contratto
• un RID / numero di Conto Corrente dove far arrivare (e prelevare) i pagamenti mensilmente
• un anno di contratto “consigliato” per evitare di incorrere in penali

Il centro SKY della propria città consegnerà immediatamente il Decoder e la Smart Card da utilizzare pressoché immediatamente (ci vogliono circa 2 ore per l’attivazione).

La fregatura: l’anno contrattuale “consigliato” si trasforma in “obbligatorio” se si pensa che inviando disdetta prima dei 12 mesi si andrà incontro alla penale identificata con “Costi dell’Operatore” equivalenti a € 11,44 senza considerare che sarà necessario rimborsare lo sconto fruito con la promozione. Nello specifico, se consideriamo il pacchetto da 63 euro al mese (completo: mondo 4 / news / cinema / sport / calcio) il calcolo sarà 63 x 3 – 45 (63 euro mensili per 3 mensilità meno le 3 mensilità pagate in promozione) per un totale di € 144 in più. Alla modica cifra di 155,44 euro sarà possibile quindi chiudere i rapporti con SKY Italia.

#2 Bollettino Postale

Funziona un pò come la “moda che fa tendenza“. Un individuo o un’azienda che riesce a trascinare la massa verso uno standard vince sempre. E’ successo con Microsoft Windows ed il monopolio delle installazioni SO nei PC, succede con i pagamenti dei contratti come SKY, Telecom o altro ancora. Chi sceglie il bollettino postale viene classificato come “fuori dalla massa” con un numero considerevoli di svantaggi.

SKY chiederà al cliente:

• 99 euro una tantum per l’attivazione del contratto
• un anno di contratto “consigliato” per evitare di incorrere in penali

Il centro SKY della propria città consegnerà immediatamente il Decoder ma non la Smart Card che arriverà invece via posta ordinaria direttamente da SKY (Roma? Milano?). La card sarà poi da attivare.

La fregatura: così facendo non sarà in alcun modo possibile accedere alle promozioni SKY, niente 3 mesi a 45 euro, bisogna scegliere i propri pacchetti e pagare mensilmente il bollettino in posta. L’anno contrattuale “consigliato” si trasforma in “obbligatorio” se si pensa che inviando disdetta prima dei 12 mesi si andrà incontro alla penale identificata con “Costi dell’Operatore” equivalenti a € 11,44. In ogni caso non sarà possibile recuperare i 99 euro visti come “Costi di Attivazione” e non caparra.

In conclusione

Due cose sono sicure nella vita: “La morte e le tasse“, come diceva qualcuno … l’immagine creata per la precedente inchiesta di SKY (arrivata a conclusione ieri e della quale vi parlerò tra un paio di giorni) non è mai stata così azzeccata. In ogni caso la società italiana non perderà un solo centesimo e nel 99% dei casi guadagnerà qualcosa a vostro discapito. Un solo consiglio che bisogna -IMHO- tenere sempre bene a mente: è preferibile stipulare il contratto consultando l’operatore del centro SKY della vostra città piuttosto che stipulare il contratto via internet, la presenza fisica dell’addetto “face-to-face” resta fondamentale per poter chiarire qualsiasi dubbio prima di apporre firme su carte delle quali potreste poi pentirvi successivamente ;)

L’ultima parte del titolo di questo post non è affatto sbagliata, è voluta. La mail con tanto di link a sito web contraffatto viene inviata da un indirizzo che finisce con @CarlaSi.it, forse si tratta dello slogan per promuovere Carla, la vicina del truffatore :mrgreen:

Nel momento in cui sto preparando questo report sia Mozilla Thunderbird che Mozilla Firefox rilevano al 100% il tentativo di truffa. Thunderbird segnala la mail come frode, l’account di eXtenZilla colpito ne ha ricevute 5 in poche ore. Firefox invita l’utente ad abbandonare l’indirizzo che si tenta di visitare.

Il contenuto della mail è il seguente:

Abbiamo identificato da poco tempo che diversi computer si sono stati collegati al Suo conto Online Banking e sono stati presenti molteplici errori di parola prima del collegamento. Adesso e’ necessario che Lei ci riconfermi le informazioni del Suo presente conto.

Se non riceviamo le informazioni entro il martedм 16 dicembre 2008 2008, saremo costretti a sospendere il Suo conto per un periodo indefinito, come se fosse stato usato in scopi fraudolenti. La ringraziamo per la Sua cooperazione in questo problema.

Per confirmare i dati del Suo conto Online Banking cliccare sul seguente link:

https://titolari.cartasi.it/portal/server.pt

La ringraziamo per la Sua pazienza riguardando questo inconveniente.

Copyright © 2008 CartaSi S.p.A. - P.IVA 04107060966

Per assistenza tecnica: numero verde 803.160 (segui le istruzioni della guida vocale e scegli l'opzione Servizi Internet) ..

Copyright © 2008 CartaSi S.p.A. - P.IVA 04107060966.

Come riconoscere la truffa?

Stavolta l’utente si trova davanti ad un testo con svariati errori ortografici e di forma, fin troppo facile fiutare quel “qualcosa che non va“. Giusto per dirne qualcuna:

• diversi computer si sono stati collegati
• sono stati presenti molteplici errori di parola prima del collegamento
• le informazioni del Suo presente conto
• Per confirmare i dati del Suo conto
• la Sua pazienza riguardando questo inconveniente

improbabile non notarli. Lo stesso vale per il sito web: teoricamente il collegamento dovrebbe riportare a titolari.cartasi.it/portal/server.pt ma in realtà punta ad un sito web hostato gratuitamente negli Stati Uniti (qui per l’esattezza) che in seguito redirige automaticamente all’IP 194.154.164.100 (cartella: ~quisuubis@quisuubis.com/cartasi/gtwpages/index.jsp)

A chi appartiene il sito web?

Verrebbe da pensare immediatamente ad un IP privato, assegnato ad un cittadino che evidentemente tiene tutto in piedi con un WebServer casalingo. In realtà si tratta di “linweb.atlas.pipex.net “, server molto probabilmente appartenente a PIPEX, azienda che si occupa di connettività e voce.

Il whois del dominio è disponibile all’indirizzo:

whois.domaintools.com/pipex.net

E la mail?

Indirizzo mail offuscato, arriva in realtà dalla Slovacchia, questo è il contenuto dell’header:

From - Wed Dec 17 05:45:00 2008
X-Account-Key: account9
X-UIDL: UID4492-1145689893
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <SpA@CarlaSi.it>
X-Original-To: info@extenzilla.org
Delivered-To: x3319792@homiemail-mx2.g.dreamhost.com
Received: from posta.avizo.sk (avizo1.rainside.sk [212.89.233.170])
by homiemail-mx2.g.dreamhost.com (Postfix) with ESMTP id 6A50FE6477
for <info@extenzilla.org>; Tue, 16 Dec 2008 10:02:30 -0800 (PST)
Received: from localhost (localhost [127.0.0.1])
by posta.avizo.sk (Postfix) with ESMTP id D3F9F4F5D;
Tue, 16 Dec 2008 19:02:28 +0100 (CET)
X-Virus-Scanned: amavisd-new at avizo.sk
Received: from posta.avizo.sk ([127.0.0.1])
by localhost (posta.avizo.sk [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id uWM+kdiUQXwM; Tue, 16 Dec 2008 19:02:28 +0100 (CET)
Received: from mail.prazenka.sk (unknown [84.245.71.111])
by posta.avizo.sk (Postfix) with ESMTP id 9C58F4F45;
Tue, 16 Dec 2008 19:02:28 +0100 (CET)
Received: from User ([88.56.195.66])
(authenticated user marcel@prazenka.sk)
by mail.prazenka.sk (Kerio MailServer 6.4.0);
Tue, 16 Dec 2008 19:02:27 +0100
Reply-To: <SpA@CarlaSi.it>
From: "CartaSi S.p.A" <SpA@CarlaSi.it>
Subject: Per confirmare i dati del Suo conto Online Banking
Date: Tue, 16 Dec 2008 20:02:28 +0200
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <20081216180228.9C58F4F45@posta.avizo.sk>
To: undisclosed-recipients: ;
X-EsetId: 54DE22240D4031310699

in particolare ciò che ci interessa è questo blocco:

Received: from User ([88.56.195.66])
(authenticated user marcel@prazenka.sk)
by mail.prazenka.sk (Kerio MailServer 6.4.0);
Tue, 16 Dec 2008 19:02:27 +0100

prazenka.sk, Bratislava, dominio appartenente ad un’azienda del posto:

Domain-name         prazenka.sk
Admin-id            PAVO-0581
Admin-name          Pavol Prazenka
Admin-legal-form    fyzicka osoba (nepodnikatel)
Admin-email
Tech-id             MBCI-0001
Tech-name           M.B.C s.r.o.
Tech-org.-ID        36521108
Tech-address        Mickiewiczova 2, Bratislava 811 07
Tech-telephone      02/52932910, 02/52932910,
Tech-email
dns_name            ns1.nexus.sk
dns_name            ns2.nexus.sk
Last-update         2008-11-21
Valid-date          2009-11-20
Domain-status       DOM_OK

qualche salto giusto per tenere quanto più nascosto la sorgente di partenza ma niente di particolarmente complicato da scoprire. Il mail server è stato probabilmente violato all’insaputa del reale proprietario del dominio.

La raccomandazione è sempre la stessa: state attenti a ciò che aprite e smettete di usare quella ciofeca di Outlook! ;)

Contenuto della mail

Vuoto, immagine e collegamento ipertestuale. A questo punto incollo il codice sorgente della pagina:

<TABLE cellSpacing=0 cellPadding=0 width=600 border=0>
<TBODY>
<TR height=0>
<TD width=0><FONT face=verdana size=2></FONT></TD>
<TD width=300><FONT face=verdana size=2></FONT></TD>
<TD width=300><FONT face=verdana size=2></FONT></TD></TR>

<TR>
<TD width=0><FONT face=verdana size=2></FONT></TD>
<TD vAlign=top width=600 colSpan=2 col="1">
<TABLE cellSpacing=0 cellPadding=0 width=600 border=0>
<TBODY>
<TR>
<TD><FONT face=verdana size=2></FONT></TD>
<TD vAlign=center align=left colSpan=5><FONT face=verdana size=2></FONT></TD>

<TD><FONT face=verdana size=2></FONT></TD></TR>
<TR>
<TD>
<CENTER>
<TR>
<TD vAlign=top align=left colSpan=7>
<TABLE cellSpacing=0 cellPadding=0 width=600 border=0>
<TBODY>
<TR>
<TD align=right><FONT face=verdana size=2></FONT></TD></TR></TBODY></TABLE></TD></TR>

<TR>
<TD colSpan=7>
<TABLE cellSpacing=0 cellPadding=0 width=600 border=0>
<TBODY>
<TR>
<TD width=590><FONT face=verdana size=2><IMG height=529 src="http://photos4.hi5.com/0054/477/431/poKcpa477431-02.png"       width=650 border=0></FONT></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></TD></TR> <TR>

<TD width=0><FONT face=verdana size=2></FONT></TD>
<TD vAlign=top width=600 colSpan=2 col="1">
<BR><BR>

La pagina è stata prontamente segnalata e nel momento in cui sto scrivendo questo post è stata aggiornata e “resa innocua” da Mozilla Firefox:

Il link al quale è associata l’immagine in realtà riporta al sito web portfolio-hosting.net/www.posteitaliane.it/index.php, ancora funzionante (qui il whois).

Sorgente del messaggio

La mail proviene da un mailserver “lecito“, appartenente ad un utente privato di Torino, e l’immagine contenuta nel corpo è la seguente:

images.gxware.org/articoli/truffe/perfdev.com-allegato.png

Il dominio web interessato è “perfdev.com“, appartiene ad un’azienda di Herndon, in Virginia:

Registrant:
Performance Development Corp.
ATTN: PERFDEV.COM
c/o Network Solutions
P.O. Box 447
Herndon, VA.  20172-0447

Domain Name: PERFDEV.COM

Administrative Contact, Technical Contact:
davis, richard
performance development corp
ATTN: PERFDEV.COM
c/o Network Solutions
P.O. Box 447
Herndon, VA 20172-0447
570-708-8780

Record expires on 03-Aug-2017.
Record created on 02-Aug-1995.
Database last updated on 18-Dec-2008 05:00:04 EST.

Domain servers in listed order:

NS1.INFOTECH-NJ.COM          216.182.13.41
NS2.INFOTECH-NJ.COM          64.247.25.68

disponibile integralmente su: whois.domaintools.com/perfdev.com

Queste le informazioni trovate nell’header:

From - Thu Dec 18 10:10:07 2008
X-Account-Key: account8
X-UIDL: UID5503-1146272924
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <mail1@mail1.digitalriver.com.au>
X-Original-To: gioxx@extenzilla.org
Delivered-To: x3319781@homiemail-mx2.g.dreamhost.com
Received: from mail1.digitalriver.com.au (mailhosting1.digitalriver.com.au [202.80.177.51])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by homiemail-mx2.g.dreamhost.com (Postfix) with ESMTP id D8334E6445
for <gioxx@extenzilla.org>; Wed, 17 Dec 2008 22:48:21 -0800 (PST)
Received: by mail1.digitalriver.com.au (Postfix, from userid 1002)
id 3860013D039; Thu, 18 Dec 2008 16:14:46 +1100 (EST)
To: gioxx@extenzilla.org
bonus: Subiect
Message-ID: <1229577286.18712.source@bonus.it>
From: "PosteShop Gruppo Poste Italiane" <source@bonus.it>
Content-Type: text/html
Date: Thu, 18 Dec 2008 16:14:46 +1100 (EST)
X-EsetId: 54DE22240D403131079B

Il lavoro non è poi così buono, bisogna comunque prestare attenzione e cestinare immediatamente la mail, senza cliccare sull’immagine. La raccomandazione è sempre la stessa, tutte le volte: state attenti!

Circa due settimane fa ho messo in vendita la Canon PowerShot S3 IS acquistata un annetto fa. Il “Compra Subito” si è concluso dopo poco: una gentile ragazza appena iscritta, apparentemente tedesca, mi invita a farle conoscere il costo totale di macchina ed invio del pacco in Nigeria, un regalo di compleanno per un suo caro amico. Che bella idea eh?

Hi seller

My name is Claire White  i saw your item and intrested in buying it to my online friend in Nigeria for his Birthday Gift which is coming soon and i will like to pay through Paypal   ..Get back to me with your Paypal email address and the quoation for the total cost of item and shipment to Nigeria through UPS www.ups.com/DHL www.dhl.com /FEDEX www.fedex.com  so that i can make the payment fast and this is my friend address below

Name:Damilola Eniola
Addres:8 Okebola Street
City:Ikeja
State:Lagos State
Country:Nigeria
Postal Code:23401
Phone No:234524115

Hope to hear from u soon so that i can make the payment fast
Regard
Claire White

Sapevo già di truffatori perditempo nelle lande di eBay ma non avevo mai avuto l’occasione di “beccarne uno” con il quale scambiare quattro chiacchiere. Accetto quindi di informarmi e procedo con l’analisi dei costi. Il giorno dopo contatto TNT e chiedo quanto denaro server per mandare il pacco nel paese segnalato. Si parla di 150 euro circa per un viaggio in aereo comprensivo di assicurazione, io sono un bravo ragazzo e avviso la cortese donzella, si tratta di una spesa davvero alta per un regalo di compleanno!

Hi.

If I use TNT International the price of all is:

250 € / Canon PowerShot S3 Is
149 € / Air Shipping (10 days) (with Insurance)
147 € / Truck Shipping (14 days) (with Insurance)

2 KG / 25 cm x 25 cm x 25 cm

Greetings.

Eppure la ragazza sembra davvero intenzionata a saldare il debito, ecco quindi comparire “come per magia” un finto report PayPal che conferma l’avvenuto pagamento. La cifra verrà depositata sul proprio conto solo dopo aver specificato il numero della spedizione. Bisogna quindi fidarsi, anticipare l’intera cifra della spedizione più il costo dell’oggetto e attendere che la venga effettuato l’accredito sul proprio conto PayPal!

Dear Giovanni Francesco Solone,

This email confirms that you have been paid by Mrs Claire White whiteshopp.2@kittymail.com EUR 399.00 using PayPal.

This credit card transaction will appear on your bill as “PAYPAL TREVOSEM”.

Payment Details

Purchased by:cskdjksd7878,.

Item Number                Item Title     Quantity     Price     Subtotal
250299977683     Fotocamera Digitale Canon S3 IS     1

EUR
250.00

EUR
250.00

Postage & Packing Via TNT:
(includes any seller packing fees)

EUR
149.00
Postage Insurance (optional):       00,00
Total:

EUR
399.00
Note:

Delivery Information

Postage Info:

Damilola Eniola
8 okebola Street,off maternity
Ifako-Ijaiye,Ogba,
Ikeja.
Lagos State..
Nigeria..
23401

Address Status:
Confirmed

Note:The Shipment tracking Should be mail to Us only for the Verification of the Shipment through our service, please contact Us  through Verification_secure@mail2Consultant.com

This PayPal® payment has been deducted from the buyer’s account and has been “APPROVED” but will not be credited to your account until the shipment tracking number is sent to our customer’s service for shipment verification so as to secure both the buyer and the seller. Below are the necessary information requested before your account will be credited.

1: Make sure you receive the PayPal® Payment confirmation before any shipment.
2 : Make sure the approved mail contains the total amount for the item bought.
3 : Make sure you ship the item to the address the buyer gave to you which is written above, immediately you receive the approved confirmation.
4 : Make sure the shipment tracking number is sent to our customer’s service for shipment verification so as to secure both the buyer and the seller.  Make sure the shipment tracking number is sent to us ONLY through
Verification_secure@mail2Consultant.com

Credit or debit card through PayPal

Thank you for using PayPal!
The PayPal Team.

Tralasciando il fatto che l’indirizzo di destinazione dove è stato mandato il report non sia quella utilizzato per gestire il mio conto (preferisco tenere le cose ben separate), PayPal non chiederà mai il codice di spedizione di un pacco prima che il pagamento venga effettuato.

La mail proviene da “whiteshopp.2@kittymail.com“. Kittymail è un provider che permette di registrare gratuitamente una casella di posta elettronica con 10 MB di storage, accessibile e gestibile via interfaccia web. Chiunque può liberamente farne uso. A questo punto, giusto per curiosità, scopro qualche altra informazione riguardo il vero mittente del falso report PayPal.

Received: from icweb02oc.mail2world.com (icweb02oc.mail2world.com [209.67.128.184])
by voyager.techtemple.org (Postfix) with ESMTP id 2E7B86F7BB
for <gioxx@gxware.org>; Fri, 26 Sep 2008 12:40:41 +0200 (CEST)
Received: from mail pickup service by icweb02oc.mail2world.com with Microsoft SMTPSVC;
Fri, 26 Sep 2008 03:22:42 -0700
auth-sender: Verification_secure@mail2Consultant.com
Received: from 10.1.106.2 unverified ([10.1.106.2]) by icweb02oc.mail2world.com with Mail2World SMTP Server;
Fri, 26 Sep 2008 03:22:41 -0700
Received: from [193.219.226.20] by mail2Consultant.com with HTTP; 9/26/2008 3:23:00 AM PST
thread-index: Ackfwdncisn/l6DcSY6rSIgjTBN/3Q==
Thread-Topic: PayPal Payment Approved Confirmation (Routing Code: C826-L003-Q999-T5365).
From: "Service@ PayPal it" <Verification_secure@mail2Consultant.com>

mail2Consultant.com è un dominio di Los Angeles (qui il whois completo) registrato a nome dell’azienda Mail2World Inc.

Registrant:
Mail2World Inc.
Domain Administrator
10960 Wilshire Blvd.
990
Los Angeles, CA 90024
US

+1.3102090060  Fax: +1.3102090079

Domain Name: MAIL2CONSULTANT.COM
Registrar of Record: Corporate Domains, Inc.

Administrative Contact:
Mail2World Inc.
Domain Administrator
10960 Wilshire Blvd.
990
Los Angeles, CA 90024
US

+1.3102090060  Fax: +1.3102090079
Technical Contact:
Mail2World Inc.
Domain Administrator
10960 Wilshire Blvd.
990
Los Angeles, CA 90024
US

+1.3102090060  Fax: +1.3102090079

Domain servers in listed order:

NS01.MAIL2WORLD.COM
NS02.MAIL2WORLD.COM

Created on..............: 27-Oct-99
Expires on..............: 27-Oct-08
Record last updated on..: 18-Jun-08

Inutile dire che il gioco termina qui. Segnalazione ad eBay per mancato pagamento causa tentativo di frode (spedizione verso indirizzo non confermato), segnalazione alla Polizia Postale (anche se poco può contro questo tipo di truffe) e mail di cortesia verso il truffatore per informarlo che “sarebbe stato meglio eliminare la propria iscrizione da eBay” (cacchio lo ha fatto!).

La raccomandazione rimane sempre la stessa: state attenti!