Gmail

È un po' che non inserisco altri esempi, ma ora è proprio il caso: mi è arrivata una mail (su più account) da un contatto conosciuto, che suona all'incirca così:

"Ho provato a spedirti un documento, ma ho verificato che non è arrivato. Lo rispedisco, clicca qui per entrare nella tua mail e vederlo".

Tralasciamo alcuni errori grammaticali nel testo originale, spesso i più giovani li commettono normalmente e lasciamo perdere che l'indirizzo a cui punta il link sia tutto meno che l'indirizzo del proprio server di posta.

Il fatto è che ad una prima lettura frettolosa potrebbe sembrare una mail autentica; l'unico problema è che pochi di noi vanno direttamente sul server web, invece di usare un client di posta. Tuttavia il tentativo non è proprio maldestro, anche se, come al solito, un minimo di attenzione ci fa evitare anche questo tranello. 

MasterCard Registrazione Secure Code

A parte il fatto sul perché dovrei registrare il Secure Code della carta di credito... se si chiama così, è proprio perché nessuno, tranne me, dovrebbe saperlo... A parte che il modo corretto di scriverlo è SecureCode, senza lo spazio e a parte che ci vuole il simbolo di Trade Mark (TM)...

Quindi a parte tutto questo, riporto direttamente il testo della mail:
---------

Gentile cliente,
Per risolvere un problema che si e verificato con il tuo conto abbiamo bisogno della sua collaborazione. 
Per la sua protezione, e necessario verificare questa attivita prima di poter continuare a utilizzare il vostro conto.
La procedura e molto semplice: 
1 - Bisogna cliccare sul link qui sotto e segui le istruzioni.
<link ad un sito mai sentito, nascosto dietro la scritta 'Procedura di attivazione'>
Cordiali saluti,
MasterCard SPA
--------
dove ovviamente nell'originale gli errori non erano segnati in rosso... Il cambio dal tu al lei, non un verbo essere corretto a pagarlo oro... Anche gli asini ora ci provano...
Esilarante l'elenco che compone la procedura: il primo punto è numerato, il secondo... non esiste!
Molto bello, poi, che il signor MasterCard mi mandi i suoi saluti, con anche l'SPA dietro.
Da notare che persino il correttore ortografico di Blogger mi dà errore sull'attività senza accento: evidentemente lo scrittore è così sicuro di scrivere correttamente che ha disabilitato il suo...
Il mittente compare con il bellissimo indirizzo "wdxwfkm@...", che notoriamente indica il signor MasterCard in persona (e il buon Google mi avvisa che il messaggio è arrivato tramite un server di un dominio rumeno).

Ma la cosa ancora più buffa è che ho trovato un forum, in cui un po' di gente si sta chiedendo se questa mail sia proprio spam oppure no! Ho visto cose che voi umani... con quel che segue :-)

Guarda chi c'è! Ebay e PayPal!

Da un po' non trovavo motivo per aggiungere altri tentativi di frode, erano sempre tutti uguali...
Oggi invece ne è arrivato uno nuovo! Benvenuto!!!!

Si tratta di una (finta, naturalmente) fatturazione da EBay via PayPal: secondo questa avrei acquistato un non meglio definito orologio analogico/digitale () al prezzo di 149.49 dollari, da un utente (di cui non mi sono interessato di vedere se è vero o finto).
La mail è imitata molto bene, salvo tre indizi:

• la mail è in inglese, ma io sono iscritto alla sezione italiana di EBay.
• all'inizio c'è un generico "Hello", senza il mio nome. Infatti PayPal e EBay in ogni mail riportano il nome/cognome per esteso, indicando anche che è stato inserito come verifica che si tratta di una mail che arriva veramente da loro. Ovviamente un tentativo di frode viene spedito a chiunque, anche ad indirizzi non più esistenti, per cui il mittente non può conoscere il nome del destinatario; qui non hanno nemmeno provato, come fanno alcuni, a interpretare il nome della mail (che comunque nel mio caso è piuttosto difficile...)
• in fondo c'è un link: in caso di problemi con questo acquisto entrate sul sito di PayPal; come al solito il link a cui è collegato è un sito (questa volta tedesco), con un indirizzo che non c'entra nulla con PayPal.

Quindi, occhio.

Nuovo! Untuit!

Negli ultimi giorni c'è stata un'evoluzione del phishing: mi sono infatti arrivate 12 mail (c'è evidentemente un passa parola tra questi truffatori di terz'ordine) di avvertimento che il mio ordine su Intuit.
In questo caso, la scopiazzatura della mail ufficiale del sito è molto buona (in pratica dovrebbe essere identica, anche se non ho mai acquistato da loro); inoltre, i truffatori hanno fatto un bel lavoro: sono entrati nel codice HTML della mail e hanno cambiato tutti i link importanti, puntandoli al loro sito (hanno lasciato gli originali solo per quelli istituzionali, tipo privacy, legal, ecc...).
Così, se non facciamo attenzione agli indirizzi che vengono fuori, ogni link importante vi porta dove vogliono loro; non si sono sprecati invece a costruire indirizzi: appena li si evidenzia compaiono, falsi come una banconota da 50 centesimi! Fanno tutti riferimento a siti a mio dire incolpevoli: infatti la trappola si nasconde annidata sotto 3 o 4 livelli dal sito principale (anche se lasciare un sito accessibile in quel modo è, sì, colpevole).
Ciliegina sulla torta: ogni mail di Intuit riporta in fondo un avviso che, tradotto, dice: "Se pensate che questo sia un avviso fraudolento, avvisate Intuit alla seguente mail...". Hanno quindi voluto restare fedeli in tutto all'originale! Ma la ciliegina consiste in questo: il link si presenta come... un link ad una mail nel dominio Inuit, ma è finto! Cioè non spedisce nulla!
L'unico modo è di fare il forward copiando l'indirizzo: in quel modo siamo sicuri che arriva l'avviso al servizio anti-phishing di Intuit (ed è proprio quello che ho appena fatto).

Aggiunta mail a PayPal??

Qualcuno si è ricordato che, in effetti, anche Paypal è un punto di attacco per rubare soldi: basta usare delle credenziali corrette per acquistare qualsiasi cosa da siti internet.
Pensata: se cambiamo o aggiungiamo una mail all'account Paypal, ci arriva un messaggio sia al vecchio indirizzo che al nuovo, per confermare e dare la possibilità di annullare il cambiamento.
Ed ecco arrivare una mail, in cui Paypal (ricordate che è facile far comparire quel che si vuole nel campo del mittente) ci avvisa che è stata inserita una nuova mail (con nome a caso) nel nostro account; ci viene persino consigliato di chiedere ad eventuali altri che vi abbiano accesso e di entrare nell'account per confermare o cancellare l'inserimento.
La cosa buffa è che ci viene fornito in allegato un modulo html (insomma, una pagina web, che guarda caso è proprio una copia di quella di Paypal) da lanciare, compilare e spedire! Questo significa che non si sono nemmeno sprecati a costruire un finto sito Paypal, che avrebbe avuto il solito indirizzo buffo: avrebbe pensato il file html a spedire i nostri dati al furfante!
Come si capisce che è una truffa? Beh, a parte che Paypal, avendo un proprio sito, non manderebbe mai una copia della propria pagina di login da lanciare in locale, notiamo che ogni mail che Paypal ci manda contiene esplicitamente il nostro nome e cognome, riportato proprio per identificarsi: qui ovviamente non c'è.

Abbiamo vinto con ShangChannel.net! ?

Questa è veramente fatta bene: vi arriva una mail che vi dice che la vostra casella di posta, identificata con un codice che ricorda quelli veri, ha vinto un premio di 485$ ed una Range Rover (premi dovuti alla seconda posizione - è la prima volta che mi dicono che ho vinto un secondo premio invece del primo!).
L'indirizzo è pulito, cioè quello che compare coincide con quello a cui si è indirizzati.
Ok, che il mittente rimandi ad un vero dominio, mentre sta scrivendo da un account hotmail spagnolo darebbe da dire comunque, ma non sempre si fa attenzione al mittente.
Nella mail sono indicati utente e password appositi per accedere alla rivendicazione del premio ed effettivamente funzionano: il sito risponde che siete il secondo vincitore e... qui casca l'asino!
Bisogna infatti compilare un form dove sono richiesti tutti i nostri dati: ovvio, vien da pensare; se dobbiamo ritirare un premio bisogna far vedere che siamo proprio noi!
Dicevo infatti che il tentativo è fatto proprio bene: l'unico indizio è la mail del mittente!
A parte l'ovvio: il sito dice di essere una società di forniture elettriche e che non si tratta di una lotteria, ma di un incentivo ai propri clienti. Ma chi di noi si è mai fornito da loro? Io no!
È allora sufficiente una veloce ricerca su Google per scoprire che di vincitori del secondo premio ce ne sono proprio un bel po'!
Il meccanismo prevede che si forniscano i propri dati, completi di un documento di identità; al momento buono verranno chiesti gli estremi del proprio conto bancario (ovvio, se vogliamo il premio) e a quel punto avranno tutto, compreso il modo di dimostrare di essere noi.
Dal primo Whois che si trova, si verifica che quel dominio è stato registrato il 22 agosto di quest'anno: sono una ditta ottimista: appena creata ha già fatto vincere i clienti che non ha!

Moneta OnLine

Questa volta il tentativo è fatto quasi bene; la mail arrivata, con titolo "Carta SuperFlash: disponibili nuovi documenti" recita così:

Gentile Cliente,

La informiamo che da oggi, nella sezione Documenti Online della sua banca via Internet, e´ disponibile il suo nuovo estratto conto. Le ricordiamo che puo´ visualizzarlo in tutta sicurezza, salvarlo sul suo PC, ordinarlo in cartelle personali e stampare quello di suo interesse. Sempre nella sezione Documenti Online trovera´ anche ulteriori documenti e contabili relativi alle disposizioni effettuate sui suoi rapporti bancari attivati al servizio.

Clicca qui per poter visualizzare (qui c'è il link, di un dominio .ca)

La ringraziamo per aver scelto questo servizio di Moneta Online - Carta FLASH.

Cordialmente,

Moneta Online - Gruppo IntesaSanpaolo

Il tono è corretto e non ci sono errori di ortografia. Come al solito, si cade sul link: difficile pensare che il gruppo Intesa abbia registrato un dominio .ca con un nome ridicolo; però si sono dati da fare: sono riusciti ad entrare sul sito e perfino a creare un sottodominio, visto che il sito presenta offerte di noleggio auto! Tramite un redirect si viene spediti ad un indirizzo che a fatica si vede come falso (compare l'indirizzo ufficiale della banca, solo alla fine si vede il .info!).

Comunicato tramite Firefox il sito di phishing, ma ci vorrà qualche giorno prima che venga registrato come tale.

Come sempre, occhio all'indirizzo!

Sciacallaggio ridicolo

Non so a voi, ma mi stanno arrivando un certo numero di mail (in inglese) in cui vari personaggi, con in comune soltanto il cognome (Mubarak!), mi chiedono di aiutarli a far uscire dal loro paese una somma di denaro (qualcuno scrive "ingente", altri dicono soltanto "alta") per salvarla dal crack del governo.

Indubbiamente non si può dire che questi phisher non si aggiornino velocemente, cercando di creare nuove occasioni per fregare soldi al prossimo. Il fatto è che nessun parente di dittatore si troverebbe mai nella condizione di non saper cosa fare per esportare denaro all'estero...

Wind

Questa in effetti è una novità: non mi era mai arrivato un tentativo di phishing su una compagnia telefonica!

Si tratta di Wind: la mail si presenta molto bene, con tutta la grafica che identifica Wind, gli stessi sponsor. Quello che fa dubitare è il mittente: come sappiamo è semplice truccare e inserire un indirizzo qualunque, ma questo si chiama "Ricarica telefonica effettuata" con un indirizzo effettivo piuttosto strano (di solito gli avvisi arrivano da cose tipo "no_reply" o simili); inoltre, dovrebbe apparire sospetto che in un avviso di ricarica effettuata ci sia un'offerta per una ricarica :-)

L'offerta irripetibile afferma che se si effettua una ricarica di 10€ se ne otterrà una di 40€; certo, con i guadagni che hanno, le compagnie telefoniche ci hanno abituati a offerte strane, ma qui ci perderebbero un bel po': le offerte vere sono di solito convenienti solo ad una prima occhiata.

Comunque, la mail è ben congegnata e può indurre all'errore; al solito, l'asino casca sull'indirizzo a cui si è spediti: un sito tedesco dal nome esplicito (erotikon!), dove compare il solito tentativo di mascherare il vero (nell'indirizzo compare 'windshop'). In questo caso, la mail mi è arrivata quando già gli amministratori se ne sono accorti, tanto che Safari presenta il dialogo di sito sospetto; anche proseguendo, la cartella non esiste più.

Alla prossima!

Attenzione alle postePay!

Questa volta ci si sono messi di buzzo buono, tanto che stavo per eliminare la mail come una delle solite di pubblicità che ormai arrivano anche da fonti sicure (non per questo rompono meno).

Ma poi, solo per curiosità, ho voluto portare il mouse sul link di accesso... et voila!

Bisogna dire che qualcosa che puzzava c'era: dal titolo (PostePay ti regala 50 euro) e soprattutto il mittente (un improbabile Hai Ricevuto Una Ricarica Telefonica Omaggio, che oltre alle maiuscole all'inglese - nessun italiano scriverebbe in questo modo - fa riferimento ad un altro improbabile indirizzo di libero.it, come se le Poste Italiane non avessero un dominio proprio).

Ma poi il contenuto della mail è fatto veramente bene, con logo istituzionale e concorso a premi collegato: si partecipa usando almeno una volta la PostePay, con possibilità finale di vincere una Vespa. Addirittura ci sono le note (quelle in fondo, che non trovi mai: forse questo è un po' troppo - di solito le note sono illeggibili e poste in punti difficili da trovare...) e l'avvertenza che la ricarica da 10 euro è valida per una volta sola.

L'indirizzo vero a cui si viene spediti è ridicolo, come al solito (parte dal dominio mywinner, sito in vendita o comunque messo su solo per guadagnare qualche soldino dai motori di ricerca; non ha altro contenuto visibile se questo costruito apposta), ma la visione è eccellente: un sito che potrebbe essere quello corretto, dove i link che non richiedono un login rimandano al sito vero, dando l'impressione di realtà. Invece tutti i link che hanno bisogno del login (bollettini, ricariche, ecc...) sono tutti all'interno del finto sito, quindi pronti a carpire le credenziali di ingresso.

Ho già avvisato il tool di Google tramite Firefox, c'è da sperare che l'aggiornamento sia veloce, perché una lettura superficiale potrebbe ingannare chiunque (sempre che abbia una PostePay, ovviamente!)

L'utilizzo della mail di Libero.it (anche se è facile truccare questo campo), il perfetto italiano della mail e la conoscenza della carta fa pensare che l'autore sia italiano; inoltre deve avere una buona conoscenza di come modificare un sito: infatti la pagina proviene dall'originale, con molti elementi annidati, come è di moda fare oggi e trovare l'indirizzo originale da sostituire per puntare alla finta pagina di login non è proprio semplice.

Come non mi stanco di ripetere, se proprio ci state cascando, date un'occhiata all'indirizzo che il vostro browser vi fa vedere in alto e vi potrete fermare in tempo.