Bufale On Line
Presentazione del migliore spam/phishing circolante (o almeno, che mi arriva in posta)
sabato 21 febbraio 2015
Gmail
domenica 23 giugno 2013
MasterCard Registrazione Secure Code
Quindi a parte tutto questo, riporto direttamente il testo della mail:
---------
Gentile cliente,
Per risolvere un problema che si e verificato con il tuo conto abbiamo bisogno della sua collaborazione.
Per la sua protezione, e necessario verificare questa attivita prima di poter continuare a utilizzare il vostro conto.
La procedura e molto semplice:
1 - Bisogna cliccare sul link qui sotto e segui le istruzioni.
<link ad un sito mai sentito, nascosto dietro la scritta 'Procedura di attivazione'>
Cordiali saluti,
MasterCard SPA
--------
dove ovviamente nell'originale gli errori non erano segnati in rosso... Il cambio dal tu al lei, non un verbo essere corretto a pagarlo oro... Anche gli asini ora ci provano...
Esilarante l'elenco che compone la procedura: il primo punto è numerato, il secondo... non esiste!
Molto bello, poi, che il signor MasterCard mi mandi i suoi saluti, con anche l'SPA dietro.
Da notare che persino il correttore ortografico di Blogger mi dà errore sull'attività senza accento: evidentemente lo scrittore è così sicuro di scrivere correttamente che ha disabilitato il suo...
Il mittente compare con il bellissimo indirizzo "wdxwfkm@...", che notoriamente indica il signor MasterCard in persona (e il buon Google mi avvisa che il messaggio è arrivato tramite un server di un dominio rumeno).
Ma la cosa ancora più buffa è che ho trovato un forum, in cui un po' di gente si sta chiedendo se questa mail sia proprio spam oppure no! Ho visto cose che voi umani... con quel che segue :-)
lunedì 4 marzo 2013
Guarda chi c'è! Ebay e PayPal!
Oggi invece ne è arrivato uno nuovo! Benvenuto!!!!
Si tratta di una (finta, naturalmente) fatturazione da EBay via PayPal: secondo questa avrei acquistato un non meglio definito orologio analogico/digitale () al prezzo di 149.49 dollari, da un utente (di cui non mi sono interessato di vedere se è vero o finto).
La mail è imitata molto bene, salvo tre indizi:
- la mail è in inglese, ma io sono iscritto alla sezione italiana di EBay.
- all'inizio c'è un generico "Hello", senza il mio nome. Infatti PayPal e EBay in ogni mail riportano il nome/cognome per esteso, indicando anche che è stato inserito come verifica che si tratta di una mail che arriva veramente da loro. Ovviamente un tentativo di frode viene spedito a chiunque, anche ad indirizzi non più esistenti, per cui il mittente non può conoscere il nome del destinatario; qui non hanno nemmeno provato, come fanno alcuni, a interpretare il nome della mail (che comunque nel mio caso è piuttosto difficile...)
- in fondo c'è un link: in caso di problemi con questo acquisto entrate sul sito di PayPal; come al solito il link a cui è collegato è un sito (questa volta tedesco), con un indirizzo che non c'entra nulla con PayPal.
domenica 4 marzo 2012
Nuovo! Untuit!
In questo caso, la scopiazzatura della mail ufficiale del sito è molto buona (in pratica dovrebbe essere identica, anche se non ho mai acquistato da loro); inoltre, i truffatori hanno fatto un bel lavoro: sono entrati nel codice HTML della mail e hanno cambiato tutti i link importanti, puntandoli al loro sito (hanno lasciato gli originali solo per quelli istituzionali, tipo privacy, legal, ecc...).
Così, se non facciamo attenzione agli indirizzi che vengono fuori, ogni link importante vi porta dove vogliono loro; non si sono sprecati invece a costruire indirizzi: appena li si evidenzia compaiono, falsi come una banconota da 50 centesimi! Fanno tutti riferimento a siti a mio dire incolpevoli: infatti la trappola si nasconde annidata sotto 3 o 4 livelli dal sito principale (anche se lasciare un sito accessibile in quel modo è, sì, colpevole).
Ciliegina sulla torta: ogni mail di Intuit riporta in fondo un avviso che, tradotto, dice: "Se pensate che questo sia un avviso fraudolento, avvisate Intuit alla seguente mail...". Hanno quindi voluto restare fedeli in tutto all'originale! Ma la ciliegina consiste in questo: il link si presenta come... un link ad una mail nel dominio Inuit, ma è finto! Cioè non spedisce nulla!
L'unico modo è di fare il forward copiando l'indirizzo: in quel modo siamo sicuri che arriva l'avviso al servizio anti-phishing di Intuit (ed è proprio quello che ho appena fatto).
sabato 17 settembre 2011
Aggiunta mail a PayPal??
Pensata: se cambiamo o aggiungiamo una mail all'account Paypal, ci arriva un messaggio sia al vecchio indirizzo che al nuovo, per confermare e dare la possibilità di annullare il cambiamento.
Ed ecco arrivare una mail, in cui Paypal (ricordate che è facile far comparire quel che si vuole nel campo del mittente) ci avvisa che è stata inserita una nuova mail (con nome a caso) nel nostro account; ci viene persino consigliato di chiedere ad eventuali altri che vi abbiano accesso e di entrare nell'account per confermare o cancellare l'inserimento.
La cosa buffa è che ci viene fornito in allegato un modulo html (insomma, una pagina web, che guarda caso è proprio una copia di quella di Paypal) da lanciare, compilare e spedire! Questo significa che non si sono nemmeno sprecati a costruire un finto sito Paypal, che avrebbe avuto il solito indirizzo buffo: avrebbe pensato il file html a spedire i nostri dati al furfante!
Come si capisce che è una truffa? Beh, a parte che Paypal, avendo un proprio sito, non manderebbe mai una copia della propria pagina di login da lanciare in locale, notiamo che ogni mail che Paypal ci manda contiene esplicitamente il nostro nome e cognome, riportato proprio per identificarsi: qui ovviamente non c'è.
venerdì 9 settembre 2011
Abbiamo vinto con ShangChannel.net! ?
L'indirizzo è pulito, cioè quello che compare coincide con quello a cui si è indirizzati.
Ok, che il mittente rimandi ad un vero dominio, mentre sta scrivendo da un account hotmail spagnolo darebbe da dire comunque, ma non sempre si fa attenzione al mittente.
Nella mail sono indicati utente e password appositi per accedere alla rivendicazione del premio ed effettivamente funzionano: il sito risponde che siete il secondo vincitore e... qui casca l'asino!
Bisogna infatti compilare un form dove sono richiesti tutti i nostri dati: ovvio, vien da pensare; se dobbiamo ritirare un premio bisogna far vedere che siamo proprio noi!
Dicevo infatti che il tentativo è fatto proprio bene: l'unico indizio è la mail del mittente!
A parte l'ovvio: il sito dice di essere una società di forniture elettriche e che non si tratta di una lotteria, ma di un incentivo ai propri clienti. Ma chi di noi si è mai fornito da loro? Io no!
È allora sufficiente una veloce ricerca su Google per scoprire che di vincitori del secondo premio ce ne sono proprio un bel po'!
Il meccanismo prevede che si forniscano i propri dati, completi di un documento di identità; al momento buono verranno chiesti gli estremi del proprio conto bancario (ovvio, se vogliamo il premio) e a quel punto avranno tutto, compreso il modo di dimostrare di essere noi.
Dal primo Whois che si trova, si verifica che quel dominio è stato registrato il 22 agosto di quest'anno: sono una ditta ottimista: appena creata ha già fatto vincere i clienti che non ha!
martedì 26 aprile 2011
Moneta OnLine
Questa volta il tentativo è fatto quasi bene; la mail arrivata, con titolo "Carta SuperFlash: disponibili nuovi documenti" recita così:
Gentile Cliente,
La informiamo che da oggi, nella sezione Documenti Online della sua banca via Internet, e´ disponibile il suo nuovo estratto conto. Le ricordiamo che puo´ visualizzarlo in tutta sicurezza, salvarlo sul suo PC, ordinarlo in cartelle personali e stampare quello di suo interesse. Sempre nella sezione Documenti Online trovera´ anche ulteriori documenti e contabili relativi alle disposizioni effettuate sui suoi rapporti bancari attivati al servizio.
Clicca qui per poter visualizzare (qui c'è il link, di un dominio .ca)
La ringraziamo per aver scelto questo servizio di Moneta Online - Carta FLASH.
Cordialmente,
Moneta Online - Gruppo IntesaSanpaolo
Il tono è corretto e non ci sono errori di ortografia. Come al solito, si cade sul link: difficile pensare che il gruppo Intesa abbia registrato un dominio .ca con un nome ridicolo; però si sono dati da fare: sono riusciti ad entrare sul sito e perfino a creare un sottodominio, visto che il sito presenta offerte di noleggio auto! Tramite un redirect si viene spediti ad un indirizzo che a fatica si vede come falso (compare l'indirizzo ufficiale della banca, solo alla fine si vede il .info!).
Comunicato tramite Firefox il sito di phishing, ma ci vorrà qualche giorno prima che venga registrato come tale.
Come sempre, occhio all'indirizzo!
sabato 5 marzo 2011
Sciacallaggio ridicolo
Non so a voi, ma mi stanno arrivando un certo numero di mail (in inglese) in cui vari personaggi, con in comune soltanto il cognome (Mubarak!), mi chiedono di aiutarli a far uscire dal loro paese una somma di denaro (qualcuno scrive "ingente", altri dicono soltanto "alta") per salvarla dal crack del governo.
Indubbiamente non si può dire che questi phisher non si aggiornino velocemente, cercando di creare nuove occasioni per fregare soldi al prossimo. Il fatto è che nessun parente di dittatore si troverebbe mai nella condizione di non saper cosa fare per esportare denaro all'estero...
sabato 12 febbraio 2011
Wind
Questa in effetti è una novità: non mi era mai arrivato un tentativo di phishing su una compagnia telefonica!
Si tratta di Wind: la mail si presenta molto bene, con tutta la grafica che identifica Wind, gli stessi sponsor. Quello che fa dubitare è il mittente: come sappiamo è semplice truccare e inserire un indirizzo qualunque, ma questo si chiama "Ricarica telefonica effettuata" con un indirizzo effettivo piuttosto strano (di solito gli avvisi arrivano da cose tipo "no_reply" o simili); inoltre, dovrebbe apparire sospetto che in un avviso di ricarica effettuata ci sia un'offerta per una ricarica :-)
L'offerta irripetibile afferma che se si effettua una ricarica di 10€ se ne otterrà una di 40€; certo, con i guadagni che hanno, le compagnie telefoniche ci hanno abituati a offerte strane, ma qui ci perderebbero un bel po': le offerte vere sono di solito convenienti solo ad una prima occhiata.
Comunque, la mail è ben congegnata e può indurre all'errore; al solito, l'asino casca sull'indirizzo a cui si è spediti: un sito tedesco dal nome esplicito (erotikon!), dove compare il solito tentativo di mascherare il vero (nell'indirizzo compare 'windshop'). In questo caso, la mail mi è arrivata quando già gli amministratori se ne sono accorti, tanto che Safari presenta il dialogo di sito sospetto; anche proseguendo, la cartella non esiste più.
Alla prossima!
sabato 27 novembre 2010
Attenzione alle postePay!
Questa volta ci si sono messi di buzzo buono, tanto che stavo per eliminare la mail come una delle solite di pubblicità che ormai arrivano anche da fonti sicure (non per questo rompono meno).
Ma poi, solo per curiosità, ho voluto portare il mouse sul link di accesso... et voila!
Bisogna dire che qualcosa che puzzava c'era: dal titolo (PostePay ti regala 50 euro) e soprattutto il mittente (un improbabile Hai Ricevuto Una Ricarica Telefonica Omaggio, che oltre alle maiuscole all'inglese - nessun italiano scriverebbe in questo modo - fa riferimento ad un altro improbabile indirizzo di libero.it, come se le Poste Italiane non avessero un dominio proprio).
Ma poi il contenuto della mail è fatto veramente bene, con logo istituzionale e concorso a premi collegato: si partecipa usando almeno una volta la PostePay, con possibilità finale di vincere una Vespa. Addirittura ci sono le note (quelle in fondo, che non trovi mai: forse questo è un po' troppo - di solito le note sono illeggibili e poste in punti difficili da trovare...) e l'avvertenza che la ricarica da 10 euro è valida per una volta sola.
L'indirizzo vero a cui si viene spediti è ridicolo, come al solito (parte dal dominio mywinner, sito in vendita o comunque messo su solo per guadagnare qualche soldino dai motori di ricerca; non ha altro contenuto visibile se questo costruito apposta), ma la visione è eccellente: un sito che potrebbe essere quello corretto, dove i link che non richiedono un login rimandano al sito vero, dando l'impressione di realtà. Invece tutti i link che hanno bisogno del login (bollettini, ricariche, ecc...) sono tutti all'interno del finto sito, quindi pronti a carpire le credenziali di ingresso.
Ho già avvisato il tool di Google tramite Firefox, c'è da sperare che l'aggiornamento sia veloce, perché una lettura superficiale potrebbe ingannare chiunque (sempre che abbia una PostePay, ovviamente!)
L'utilizzo della mail di Libero.it (anche se è facile truccare questo campo), il perfetto italiano della mail e la conoscenza della carta fa pensare che l'autore sia italiano; inoltre deve avere una buona conoscenza di come modificare un sito: infatti la pagina proviene dall'originale, con molti elementi annidati, come è di moda fare oggi e trovare l'indirizzo originale da sostituire per puntare alla finta pagina di login non è proprio semplice.
Come non mi stanco di ripetere, se proprio ci state cascando, date un'occhiata all'indirizzo che il vostro browser vi fa vedere in alto e vi potrete fermare in tempo.