Secondo episodio riguardante le truffe via Windows Live Messenger dopo un primo post tutto sommato apprezzato pubblicato giusto una settimana fa. Nuovo giro, nuovo tentativo di proporre contenuti pubblicitari agli utenti inesperti che decidono di cliccare su link non affidabili proposti da utenti “amici” infetti, quindi a loro insaputa.

Il protagonista di questa puntata è “my-new-cell.com” ed il messaggio riguardante alcune cartoline regalo Wal-Mart:

WOW $NOMECONTATTO this website is giving away free Wal-Mart Gift Cards, hurry and get yours before they’re all gone go here http://$VOSTROCONTATTO.my-new-cell.com

$NOMECONTATTO corrisponde al nickname del contatto vostro amico, a $VOSTROCONTATTO verrà sostituito il vostro nickname. La pagina di my-new-cell.com riporta solo ed esclusivamente pubblicità, esattamente ciò che riportava il precedentemente descritto cpacell.com! Inutile dire che anche in questo caso AdBlock Plus con X Files farà il suo sporco lavoro.

Sfortunatamente le informazioni sul dominio scarseggiano ancora una volta, come dimostrato dal whois.

A chi appartiene cpacell.com?

Ancora un servizio di Whois Guard, questo il risultato:

Registration Service Provided By: NameCheap.com
Contact:
Visit: http://www.namecheap.com/

Domain name: my-new-cell.com

Registrant Contact:
WhoisGuard
WhoisGuard Protected ()

Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Administrative Contact:
WhoisGuard
WhoisGuard Protected ()
+1.6613102107
Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Technical Contact:
WhoisGuard
WhoisGuard Protected ()
+1.6613102107
Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Status: Locked

Name Servers:
dns1.registrar-servers.com
dns2.registrar-servers.com
dns3.registrar-servers.com

Creation date: 07 Jan 2009 16:27:50
Expiration date: 07 Jan 2010 16:27:50

Non ho trovato ulteriori informazioni sulla rimozione di questo fastidioso messaggio automatico, ahimé. Chi volesse contribuire è pregato di lasciare un commento, aggiungerò in coda al post il “da farsi” in questi casi. Personalmente ho intrapreso l’azione dell’avvisare “la vittima” che però non può fare granché per lo stesso motivo appena descritto.

State sempre attenti a quello che utilizzate e dove navigate! ;)

Tra tutte le varie truffe esaminate su questo blog non ho mai trattato la pubblicità ed i tentativi di truffa provenienti da Windows Live Messenger e dai vari servizi che promettono di offrire particolari feature utili all’utente, quasi mai veritieri, utili solo per alimentare spam a più non posso. Eppure, pensandoci bene, questo tipo di pratica è sempre più diffusa e merita attenzione, utile soprattutto a tutti coloro che hanno ancora poca esperienza con il valido applicativo Microsoft.

Inauguro questa “branchia” della rubrica Truffe parlando di “cpacell.com” e lo strano messaggio riguardante alcune offerte vantaggiose e regali di Natale (arriva in ritardo, decisamente). Il messaggio nella finestra di Live Messenger potrebbe recitare:

WOW $VOSTROUTENTEMSN I found this great webpage that giving away a free Ipod Nano for the Holiday season, this is amazing go sign up for yours before they are all gone http://$VOSTROUTENTEMSN.cpacell.com

Inutile dire che al posto di $VOSTROUTENTEMSN bisognerà mettere il nickname utilizzato in Messenger. La pagina di cpacell.com riporta solo ed esclusivamente pubblicità, in particolare questa è la schermata di AdBlock:

Chiaramente essendo bloccate alla fonte ci si troverà davanti alla pagina bianca, vuota, niente da proporre all’utente, finti domini di terzo livello prontamente filtrati dall’ottima estensione di Firefox e dalla lista aggiornata dal sottoscritto (a breve la nuova versione, ndr).

A chi appartiene cpacell.com?

In questi casi basta un servizio di whois ed il dominio colpevole, peccato che almeno stavolta il proprietario sembra aver fatto le cose a regola d’arte proteggendo i propri dati attraverso un apposito servizio di Whois Guard:

Registration Service Provided By: NameCheap.com
Contact:
Visit: http://www.namecheap.com/

Domain name: cpacell.com

Registrant Contact:
WhoisGuard
WhoisGuard Protected ()

Fax:
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Administrative Contact:
WhoisGuard
WhoisGuard Protected ()
+1.6613102107
Fax: +1.6613102107
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Technical Contact:
WhoisGuard
WhoisGuard Protected ()
+1.6613102107
Fax: +1.6613102107
8939 S. Sepulveda Blvd. #110 - 732
Westchester, CA 90045
US

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 13 May 2007 03:03:34
Expiration date: 13 May 2009 03:03:34

Non ho trovato ulteriori informazioni sulla rimozione di questo fastidioso messaggio automatico, ahimé. Chi volesse contribuire è pregato di lasciare un commento, aggiungerò in coda al post il “da farsi” in questi casi. Personalmente ho intrapreso l’azione dell’avvisare “la vittima” che però non può fare granché per lo stesso motivo appena descritto.

State sempre attenti a quello che utilizzate e dove navigate! ;)

Torno a parlare di SKY in occasione (decisamente in ritardo ma vabé …) dell’offerta natalizia che scadrà tra qualche giorno. Si parla di 3 mesi di SKY a 45 euro tutto compreso, tutti i pacchetti, scegliendo poi cosa vedere dal quarto mese (a meno che non si voglia restituire tutto) pagando a prezzo di listino. Giusto stamane ho approfondito la questione con lo SkyCenter di Ravenna (RadioForniture, ndr) e volevo rendervi partecipi raccontandovi cosa si nasconde dietro l’offerta.

Attenzione: viste le incomprensioni varie derivate dal post qui di seguito, specifico immediatamente che si tratta di una casistica “Pacchetto 45 € con abbonamento annesso e automaticamente modificato dal quarto mese“. Nel caso in cui si voglia provare SKY per 3 mesi e poi restituirlo non c’è alcun problema, leggi qui!

La poco simpatica pubblicità di Pasquale con riferimenti subliminali alla Coca Cola (notato il camion?) e del suo regalo perfetto parla di uno SKY senza limiti. 3 mesi, tutti i pacchetti disponibili (Mondo, Cinema, Sport, Calcio & News), 45 euro (15 per tre) pagati in anticipo al momento di stipula del contratto. Due modalità di pagamento disponibili, vediamole insieme:

1. Pagamento attraverso carta di credito / CC postale o bancario
2. Pagamento attraverso bollettini postali

Nota: teoricamente l’offerta ha scadenza domenica 11 gennaio 2009 secondo il centro della mia città, sul sito di SKY si cita invece il primo giorno di febbraio.

#1 CC Bancario / Postale, RID, Carta di credito

Certamente il metodo più utilizzato e riconosciuto dalle aziende. Vantaggioso per coloro che non intendono passare una vita in posta a pagare i bollettini che arrivano mensilmente, inutilizzabile se non si possiede un conto.

Così facendo SKY chiederà al cliente:

• 45 euro da pagare all’atto della stipula contratto
• un RID / numero di Conto Corrente dove far arrivare (e prelevare) i pagamenti mensilmente
• un anno di contratto “consigliato” per evitare di incorrere in penali

Il centro SKY della propria città consegnerà immediatamente il Decoder e la Smart Card da utilizzare pressoché immediatamente (ci vogliono circa 2 ore per l’attivazione).

La fregatura: l’anno contrattuale “consigliato” si trasforma in “obbligatorio” se si pensa che inviando disdetta prima dei 12 mesi si andrà incontro alla penale identificata con “Costi dell’Operatore” equivalenti a € 11,44 senza considerare che sarà necessario rimborsare lo sconto fruito con la promozione. Nello specifico, se consideriamo il pacchetto da 63 euro al mese (completo: mondo 4 / news / cinema / sport / calcio) il calcolo sarà 63 x 3 – 45 (63 euro mensili per 3 mensilità meno le 3 mensilità pagate in promozione) per un totale di € 144 in più. Alla modica cifra di 155,44 euro sarà possibile quindi chiudere i rapporti con SKY Italia.

#2 Bollettino Postale

Funziona un pò come la “moda che fa tendenza“. Un individuo o un’azienda che riesce a trascinare la massa verso uno standard vince sempre. E’ successo con Microsoft Windows ed il monopolio delle installazioni SO nei PC, succede con i pagamenti dei contratti come SKY, Telecom o altro ancora. Chi sceglie il bollettino postale viene classificato come “fuori dalla massa” con un numero considerevoli di svantaggi.

SKY chiederà al cliente:

• 99 euro una tantum per l’attivazione del contratto
• un anno di contratto “consigliato” per evitare di incorrere in penali

Il centro SKY della propria città consegnerà immediatamente il Decoder ma non la Smart Card che arriverà invece via posta ordinaria direttamente da SKY (Roma? Milano?). La card sarà poi da attivare.

La fregatura: così facendo non sarà in alcun modo possibile accedere alle promozioni SKY, niente 3 mesi a 45 euro, bisogna scegliere i propri pacchetti e pagare mensilmente il bollettino in posta. L’anno contrattuale “consigliato” si trasforma in “obbligatorio” se si pensa che inviando disdetta prima dei 12 mesi si andrà incontro alla penale identificata con “Costi dell’Operatore” equivalenti a € 11,44. In ogni caso non sarà possibile recuperare i 99 euro visti come “Costi di Attivazione” e non caparra.

In conclusione

Due cose sono sicure nella vita: “La morte e le tasse“, come diceva qualcuno … l’immagine creata per la precedente inchiesta di SKY (arrivata a conclusione ieri e della quale vi parlerò tra un paio di giorni) non è mai stata così azzeccata. In ogni caso la società italiana non perderà un solo centesimo e nel 99% dei casi guadagnerà qualcosa a vostro discapito. Un solo consiglio che bisogna -IMHO- tenere sempre bene a mente: è preferibile stipulare il contratto consultando l’operatore del centro SKY della vostra città piuttosto che stipulare il contratto via internet, la presenza fisica dell’addetto “face-to-face” resta fondamentale per poter chiarire qualsiasi dubbio prima di apporre firme su carte delle quali potreste poi pentirvi successivamente ;)

E’ bello notare come i truffatori non smettano mai di provarci e come a distanza di svariato tempo colpiscano sempre gli stessi soggetti. Buffo, fino ad ora non ho ricevuto alcun tentativo di phishing da parte della Cassa di Risparmio di Ravenna, quando arriverà il suo momento? :P

L’ultima parte del titolo di questo post non è affatto sbagliata, è voluta. La mail con tanto di link a sito web contraffatto viene inviata da un indirizzo che finisce con @CarlaSi.it, forse si tratta dello slogan per promuovere Carla, la vicina del truffatore :mrgreen:

Nel momento in cui sto preparando questo report sia Mozilla Thunderbird che Mozilla Firefox rilevano al 100% il tentativo di truffa. Thunderbird segnala la mail come frode, l’account di eXtenZilla colpito ne ha ricevute 5 in poche ore. Firefox invita l’utente ad abbandonare l’indirizzo che si tenta di visitare.

Il contenuto della mail è il seguente:

Abbiamo identificato da poco tempo che diversi computer si sono stati collegati al Suo conto Online Banking e sono stati presenti molteplici errori di parola prima del collegamento. Adesso e’ necessario che Lei ci riconfermi le informazioni del Suo presente conto.

Se non riceviamo le informazioni entro il martedм 16 dicembre 2008 2008, saremo costretti a sospendere il Suo conto per un periodo indefinito, come se fosse stato usato in scopi fraudolenti. La ringraziamo per la Sua cooperazione in questo problema.

Per confirmare i dati del Suo conto Online Banking cliccare sul seguente link:

https://titolari.cartasi.it/portal/server.pt

La ringraziamo per la Sua pazienza riguardando questo inconveniente.

Copyright © 2008 CartaSi S.p.A. - P.IVA 04107060966

Per assistenza tecnica: numero verde 803.160 (segui le istruzioni della guida vocale e scegli l'opzione Servizi Internet) ..

Copyright © 2008 CartaSi S.p.A. - P.IVA 04107060966.

Come riconoscere la truffa?

Stavolta l’utente si trova davanti ad un testo con svariati errori ortografici e di forma, fin troppo facile fiutare quel “qualcosa che non va“. Giusto per dirne qualcuna:

• diversi computer si sono stati collegati
• sono stati presenti molteplici errori di parola prima del collegamento
• le informazioni del Suo presente conto
• Per confirmare i dati del Suo conto
• la Sua pazienza riguardando questo inconveniente

improbabile non notarli. Lo stesso vale per il sito web: teoricamente il collegamento dovrebbe riportare a titolari.cartasi.it/portal/server.pt ma in realtà punta ad un sito web hostato gratuitamente negli Stati Uniti (qui per l’esattezza) che in seguito redirige automaticamente all’IP 194.154.164.100 (cartella: ~quisuubis@quisuubis.com/cartasi/gtwpages/index.jsp)

A chi appartiene il sito web?

Verrebbe da pensare immediatamente ad un IP privato, assegnato ad un cittadino che evidentemente tiene tutto in piedi con un WebServer casalingo. In realtà si tratta di “linweb.atlas.pipex.net “, server molto probabilmente appartenente a PIPEX, azienda che si occupa di connettività e voce.

Il whois del dominio è disponibile all’indirizzo:

whois.domaintools.com/pipex.net

E la mail?

Indirizzo mail offuscato, arriva in realtà dalla Slovacchia, questo è il contenuto dell’header:

From - Wed Dec 17 05:45:00 2008
X-Account-Key: account9
X-UIDL: UID4492-1145689893
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <SpA@CarlaSi.it>
X-Original-To: info@extenzilla.org
Delivered-To: x3319792@homiemail-mx2.g.dreamhost.com
Received: from posta.avizo.sk (avizo1.rainside.sk [212.89.233.170])
by homiemail-mx2.g.dreamhost.com (Postfix) with ESMTP id 6A50FE6477
for <info@extenzilla.org>; Tue, 16 Dec 2008 10:02:30 -0800 (PST)
Received: from localhost (localhost [127.0.0.1])
by posta.avizo.sk (Postfix) with ESMTP id D3F9F4F5D;
Tue, 16 Dec 2008 19:02:28 +0100 (CET)
X-Virus-Scanned: amavisd-new at avizo.sk
Received: from posta.avizo.sk ([127.0.0.1])
by localhost (posta.avizo.sk [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id uWM+kdiUQXwM; Tue, 16 Dec 2008 19:02:28 +0100 (CET)
Received: from mail.prazenka.sk (unknown [84.245.71.111])
by posta.avizo.sk (Postfix) with ESMTP id 9C58F4F45;
Tue, 16 Dec 2008 19:02:28 +0100 (CET)
Received: from User ([88.56.195.66])
(authenticated user marcel@prazenka.sk)
by mail.prazenka.sk (Kerio MailServer 6.4.0);
Tue, 16 Dec 2008 19:02:27 +0100
Reply-To: <SpA@CarlaSi.it>
From: "CartaSi S.p.A" <SpA@CarlaSi.it>
Subject: Per confirmare i dati del Suo conto Online Banking
Date: Tue, 16 Dec 2008 20:02:28 +0200
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <20081216180228.9C58F4F45@posta.avizo.sk>
To: undisclosed-recipients: ;
X-EsetId: 54DE22240D4031310699

in particolare ciò che ci interessa è questo blocco:

Received: from User ([88.56.195.66])
(authenticated user marcel@prazenka.sk)
by mail.prazenka.sk (Kerio MailServer 6.4.0);
Tue, 16 Dec 2008 19:02:27 +0100

prazenka.sk, Bratislava, dominio appartenente ad un’azienda del posto:

Domain-name         prazenka.sk
Admin-id            PAVO-0581
Admin-name          Pavol Prazenka
Admin-legal-form    fyzicka osoba (nepodnikatel)
Admin-email
Tech-id             MBCI-0001
Tech-name           M.B.C s.r.o.
Tech-org.-ID        36521108
Tech-address        Mickiewiczova 2, Bratislava 811 07
Tech-telephone      02/52932910, 02/52932910,
Tech-email
dns_name            ns1.nexus.sk
dns_name            ns2.nexus.sk
Last-update         2008-11-21
Valid-date          2009-11-20
Domain-status       DOM_OK

qualche salto giusto per tenere quanto più nascosto la sorgente di partenza ma niente di particolarmente complicato da scoprire. Il mail server è stato probabilmente violato all’insaputa del reale proprietario del dominio.

La raccomandazione è sempre la stessa: state attenti a ciò che aprite e smettete di usare quella ciofeca di Outlook! ;)

La vittima preferita dai truffatori: Poste Italiane. Nuovo giro, nuova truffa, stavolta ancora più stupida ma che quasi certamente colpirà alcuni risparmiatori italiani che hanno scelto le Poste come istituto bancario di fiducia. Mail semplicissima, una singola immagine collegata al sito web truffaldino, nessun oggetto, indirizzo mail di partenza completamente “off topic“. Vi descrivo cosa arriva nella mailbox.

Contenuto della mail

Vuoto, immagine e collegamento ipertestuale. A questo punto incollo il codice sorgente della pagina:

<TABLE cellSpacing=0 cellPadding=0 width=600 border=0>
<TBODY>
<TR height=0>
<TD width=0><FONT face=verdana size=2></FONT></TD>
<TD width=300><FONT face=verdana size=2></FONT></TD>
<TD width=300><FONT face=verdana size=2></FONT></TD></TR>

<TR>
<TD width=0><FONT face=verdana size=2></FONT></TD>
<TD vAlign=top width=600 colSpan=2 col="1">
<TABLE cellSpacing=0 cellPadding=0 width=600 border=0>
<TBODY>
<TR>
<TD><FONT face=verdana size=2></FONT></TD>
<TD vAlign=center align=left colSpan=5><FONT face=verdana size=2></FONT></TD>

<TD><FONT face=verdana size=2></FONT></TD></TR>
<TR>
<TD>
<CENTER>
<TR>
<TD vAlign=top align=left colSpan=7>
<TABLE cellSpacing=0 cellPadding=0 width=600 border=0>
<TBODY>
<TR>
<TD align=right><FONT face=verdana size=2></FONT></TD></TR></TBODY></TABLE></TD></TR>

<TR>
<TD colSpan=7>
<TABLE cellSpacing=0 cellPadding=0 width=600 border=0>
<TBODY>
<TR>
<TD width=590><FONT face=verdana size=2><IMG height=529 src="http://photos4.hi5.com/0054/477/431/poKcpa477431-02.png"       width=650 border=0></FONT></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></TD></TR> <TR>

<TD width=0><FONT face=verdana size=2></FONT></TD>
<TD vAlign=top width=600 colSpan=2 col="1">
<BR><BR>

La pagina è stata prontamente segnalata e nel momento in cui sto scrivendo questo post è stata aggiornata e “resa innocua” da Mozilla Firefox:

Il link al quale è associata l’immagine in realtà riporta al sito web portfolio-hosting.net/www.posteitaliane.it/index.php, ancora funzionante (qui il whois).

Sorgente del messaggio

La mail proviene da un mailserver “lecito“, appartenente ad un utente privato di Torino, e l’immagine contenuta nel corpo è la seguente:

images.gxware.org/articoli/truffe/perfdev.com-allegato.png

Il dominio web interessato è “perfdev.com“, appartiene ad un’azienda di Herndon, in Virginia:

Registrant:
Performance Development Corp.
ATTN: PERFDEV.COM
c/o Network Solutions
P.O. Box 447
Herndon, VA.  20172-0447

Domain Name: PERFDEV.COM

Administrative Contact, Technical Contact:
davis, richard
performance development corp
ATTN: PERFDEV.COM
c/o Network Solutions
P.O. Box 447
Herndon, VA 20172-0447
570-708-8780

Record expires on 03-Aug-2017.
Record created on 02-Aug-1995.
Database last updated on 18-Dec-2008 05:00:04 EST.

Domain servers in listed order:

NS1.INFOTECH-NJ.COM          216.182.13.41
NS2.INFOTECH-NJ.COM          64.247.25.68

disponibile integralmente su: whois.domaintools.com/perfdev.com

Queste le informazioni trovate nell’header:

From - Thu Dec 18 10:10:07 2008
X-Account-Key: account8
X-UIDL: UID5503-1146272924
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <mail1@mail1.digitalriver.com.au>
X-Original-To: gioxx@extenzilla.org
Delivered-To: x3319781@homiemail-mx2.g.dreamhost.com
Received: from mail1.digitalriver.com.au (mailhosting1.digitalriver.com.au [202.80.177.51])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by homiemail-mx2.g.dreamhost.com (Postfix) with ESMTP id D8334E6445
for <gioxx@extenzilla.org>; Wed, 17 Dec 2008 22:48:21 -0800 (PST)
Received: by mail1.digitalriver.com.au (Postfix, from userid 1002)
id 3860013D039; Thu, 18 Dec 2008 16:14:46 +1100 (EST)
To: gioxx@extenzilla.org
bonus: Subiect
Message-ID: <1229577286.18712.source@bonus.it>
From: "PosteShop Gruppo Poste Italiane" <source@bonus.it>
Content-Type: text/html
Date: Thu, 18 Dec 2008 16:14:46 +1100 (EST)
X-EsetId: 54DE22240D403131079B

Il lavoro non è poi così buono, bisogna comunque prestare attenzione e cestinare immediatamente la mail, senza cliccare sull’immagine. La raccomandazione è sempre la stessa, tutte le volte: state attenti!