Segnala l'email di phishing e spam che hai ricevuto - NON VISITARE I SITI PUBBLICATI
 

Oggi dopo l'ennesima email di phishing veramente ben congeniata, senza errori grammaticali e con un linguaggio appropriato, ho pensato: "perchè non aprire un thread dove gli utenti possano raccoglierle così da evitare che altri meno smaliziati ne rimangano vittime?"

Ed ecco quindi la risposta :)


Nota BENE: i link segnalati in questa discussione sono link che danneggiano il PC, possono anche sfruttare debolezze del PC per inoculare a insaputa del visitatore codice infetto e dare corso ad un infezione virale! si raccomanda di prestare la massima attenzione a NON PUBBLICARE LINK ATTIVI (togliere il prefisso http:// cambiandolo con xxx:// ) e a NON VISITARE QUESTI INDIRIZZI.
visitare tali link vi pone come unici responsabili da eventuali danni derivanti.



Il Phishing è una tecnica informatica utilizzata per indurre la vittima con tecniche di inganno a rilasciare di sua spontanea iniziativa i dati sensibili, accessi a portali web, carte di credito, telefono, e tutti i dati personali utili per ricondurre a questa persona eventuali attività svolte a posteriori dall'attaccante.
In parole povere avranno tutte le informazioni per far qualsiasi cosa a danni della vittima.
Per approfonddire rimando all'ottimo articolo di wikipedia: http://it.wikipedia.org/wiki/Phishing


Come regole base di pubblicazione direi che sia necessario un copia incolla del testo e intestazione dell'email, più uno screenshot del contenuto o comunque rappresentante il link incriminato.

Incomincio con questa bellissima email mattutina che è un ottimo esempio:
oggetto dell'email: AVVISO - Nuovo sistema Sicurezza Web Postepay


il link evidenziato in rosso porta a che poi attiva degli script da


come potete notare, clickare sul link nel corpo dell'email non porta al sito ufficiale di PosteItaliane bensì su un sito con dominio Christmas Island.

rif. http://www.hwupgrade.it/forum/showthread.php?t=2405286


l'header:


testo:

aggiungo le due scansioni:

continua con cadenza giornaliera ad arrivarmi una mail praticamente identica a quella sopra.. link e mittenti sempre diversi, ma concettualmente la stessa mail

come posso "istruire" l'antispam per droppare questa zizzania ? a grandi linee..
appliance

boh.. non ne vengo fuori.. continuano ad arrivarmi giornalmente un paio di queste mail.. scritte in italiano e il link con il file zippato contenente un virus...


l'appliance watchguard non riesce a filtrarle.



dettagli

il link evidenziato dalla freccia porta a:

sono un pò impedito con Whois, ma sembra che il sito di riferimento sia questo qua:



(non ho visitato il link)

NON ho il c/c con Unicredit :ciapet:

il link evidenziato in blu "COMPLETA LA PROCEDURA PER RITIRARE IL PREMIO UniCredit S.p.A.", porta a

che poi diventa:

da notare la schermata di login fatta molto bene



che poi l'unica differenza sta nel riquadro evidenziato in rosso, presente solo in quella originale



whois punta a un sito turco:

stanno migliorando molto ddal punto di vista qualitativo :muro:

Sono nuovo di questo forum e vorrei alcuni chiarimenti riguardo al phishing. Oggi ho fatto un bonifico online usando il c/c di mia moglie, cliente Unicredit e pochi minuti dopo ho ricevuto la mail a nome "Unicredit - Francesca Mazzetti" che è discussa in questo topic. Il caso ha voluto che io sia entrato in quel sito, ingannato dal fatto che nella maschera del bonifico è richiesta una e-mail di riferimento che io non ho digitato.
All'apertura ho inserito il codice cliente ed il pin che però la maschera fasulla non ha accettato.
Ora, visto che la cosa mi ha destato sospetto e da un'ora sto cercando riferimenti su internet, sono arrivato al vostro forum e volevo sapere secondo voi, visto che comunque io personalmente non ho alcun riferimento con Unicredit, ma mia moglie sì, se sia stato sufficiente modificare il pin.
Quali sono i rischi a cui si può andare incontro? Chi fa phishing può entrare in un conto corrente e sottrarre denaro o lo possono fare solo su carte di credito (che noi non abbiamo)?
Grazie per le gentili risposte che vorrete darmi.

in questo 3D siamo :ot:

se hai cambiato il pin che hai fornito al sito di phishing dovresti essere al sicuro, in genere i c/c online oltre al pin per accedere al conto richiedono un altro pin dispositivo (per effettuare le operazioni), quindi se è diverso dovresti essere a posto.
Segnala la cosa ad unicredit e chiedi consiglio a loro, secondo me è meglio cambiare il codice di identificazione utente.
(se ti cambiano il codice utente e ti fanno pagare per questo, fagli presente che la tua mail è stata probabilmente sottratta dai loro archivi quindi te lo devono fare gratis; a me è arrivata probabilmente perchè da quando ho chiuso il c/c con loro è rimasto il mio indirizzo mail presso la banca)

Facci sapere.

per tornare intema ecco una nuova email di "pesca"


il link punta a:






header:

Ho ricevuto anch'io una mail simile che ho subito inviato a spam vista l'ora in cui mi è arrivata (02.24).

Questo è l'header:
Purtroppo non è la prima volta che ricevo mail simili.
Tempo fa me n'è arrivata una, sempre da Poste Italiane, in cui c'era scritto che non era stato possibile effettuare l'accredito di 200€ poichè il servizio Postepay di notte è disattivato. Peccato solo che nessuno doveva accreditarmi nulla ed il link non portava certo al sito delle Poste :D

Domanda.
Ho sentito più di un "utonto" che, senza pensarci 2 volte visto il corposo importo, ha cliccato sui link nelle mail di spam. In quel caso, il solo fatto di aver cliccato cosa comporta? Cosa dovrebbe fare in quei casi?

cosa succeda clickando sul link di un'email di phishing dipende dal sito al quale si viene dirottati, ogni sito è un caso a sè ed è disegnato per scopi decisi dal truffatore.
nel caso migliore può essere un sito creato solo per memorizzare le credenziali d'accesso di uno sventurato e per qualche errore di programmazione magari nemmeno le registra (purtroppo è difficile che un sito creato ad hoc per attività fraudolente sia non funzionante, diciamo estremamente difficile), mentre nel caso peggiore potrebbe non essere limitato alla memorizzazione di password e quindi avere anche los copo di infettare i pc delle vittime per prenderne controllo e aumentare il pc zombie della botnet che sucessivamente sarà uusata per varie attività sempre a scopo fraudolento.

purtroppo ogni caso è un caso a sè quindi nessuno può dire con certezza cosa succeda a priori, la prevenzione rimane il miglior sistema quindi l'uso di un browser che non esegua script vari delle pagine web (vedasi firefox con estensione noscript e adblockplus attive) e un opportuno muro difensivo lato software (windows aggiornato con tutte le pacth e service pak rilasciati, antivirus aggiornato costantemente e all'ultima versione, firewall software di terze parti all'ultima versione disponibile, software antimalware/antispyware con controllo realtime attivo o un software hips, e tutti i programmi di cornice aggiornati all'ultima versione disponibile: acrobat reader, real player, quick time, flash player, etc..) e sempre grossa attenzione a cosa si stia facendo al pc sommata a una buona dose di senso critico :)

stanno diventando proprio bravi :ncomment:



il link evidenziato dalla freccia porta a:

che poi diventa:

devo ammettere che questa volta mi stavano per fregare, sia perchè sono cliente wind, sia perchè ho letto la mail di fretta e di questi tempi le offerte/promozioni si moltiplicano come i funghi. Poi leggendo meglio: l'offerta era esageratamente positiva e l'avvertimento di Noscript, ho guardato nella barra degli indirizzi :Prrr:



con gli script attivati è identitico al sito originale



whois punta a un sito turco:

Queste mail non le ho capite... :wtf:

Non ci sono link, ma solo indirizzi mail...
A che scopo tutto cio? :wtf:

Altro esempio di mail più che sospetta:

Da: Supportpay [mailto:cogarcia@arts.ucla.edu]
Inviato: martedì 21 febbraio 2012 19.01

Oggetto: Ordinate 2244.


Gentile utente, Monte Biz
La tua richiesta e stata completata.
Scusa per il report in ritardo.

Dettagli possono essere trovati in un documento qui:
hxxp://www.touristikallegro.com/adviser/Dettagli.???.

Non usare il link


Io da diverso tempo segnalo al sito sottostante ogni mail sospetta ricevuta:

http://www.anti-phishing.it/segnalaz...gnalazioni.php

http://www.anti-phishing.it/segnalazioni2

http://database.anti-phishing.it/

Buonasera,

mi servirebbe un consiglio per capire solo di cosa si tratta.

Riguarda "semplice" spam, spedito da diverse settimane ( forse mesi ) alla mia mail, ma dallo stesso gruppo/azienda o roba simile. Fin qui nulla di strano, perchè la maggioranza viene automaticamente cestinato ( ho libero.it ) e manco ci faccio caso.

Stasera però ho notato la frequenza ( solitamente ricevo poco spam ) nelle precedenti settimane e che i basso c'è un trafiletto che dice:"Avete ricevuto questa e-mail perchè vi siete iscritto al nostro programma di relazione.I suoi dati non sono stati trasmessi all'inserzionista di questo messaggio. Se non desidera più ricevere le offerte dei nostri partner, puo disabbonarsi.. ( questa parte era un link ad un certo sito...che non ho clikkato ovviamente ma evidenziato da un //mail.gfhsgfhf.sggshhds o roba simile ).
Conformemente al decreto legislativo del 30 Giugno 2003, n° 196 Codice in materia di protezione dei dati personali, lei ha il diritto di modifica, integrazione o concellazione dei dati che la riguardano."

da: "nome pubblicità" via Spazio privilegi
oppure mail da: spazio privilegi ( direttamente )
mail: service-client@"nome sito a caso" che appartiene a "MiCS"
in questo caso è @mail-offerteitalia.it

Ogni spam ha un dicitura service-client@"nome sito casuale.xyz" ( .it, .com o altri ) ma TUTTI si rifanno ad un gruppo di "pseudo siti" chiamati "MiCS"

infatti se andate su google e cercate MiCS 8.1.0.2 localhost localip ..... vi viene fuori tutta una serie di siti "fantasma", nel senso che provando ad accedervi via google ( io ho provato mail-offerteitalia.it ) c'è solo pagina bianca con scritto:
MiCS 8.1.0.2
localhost localip "num IP"...tipo 178.33.172.212 per "mail-offerteitalia.it" ( non clikkate sito...anche se io non ho trovato nulla e nessun malware, visto che è "vuoto"...MA non si sa mai ).
remoteip edit

Facendo 2 ricerche ho scoperto che:
- il tutto nasce ed è hostato nell stesso paese in cui vivo ( che non è l'Italia MA le mail sono tutte in Italiano... )
- il fornitore siti è Ovh Systems
- diversi di questi IP si rifanno alla stessa persona che abita a Parigi ( nome, cognome e pure cell... ) e non ho idea se sia il capo, un singolo o portanome.


Ora, non ci dovrebbero essere problemi MA volevo sapere:
-che cavolo sono sti "MiCS", ovvero gruppo di siti "fantasma"?
- cos'è sto 8.1.0.2 dopo MiCS?
-accedendo ad uno di questi via google e trovando esclusivamente una pagina bianca ( tipo blank ) con solo quelle scritte....ho rischiato/rischio qlc? tipo IP raccolto etc
-il fatto che dica che sono iscritto al "nostro programma relazione" è solamente una spammata, visto che non sono iscritto a nulla??

grassie :)


edit: il remote ip corrisponde al MIO IP in quel momento..è normale?? :eek:
sorgente di://mail-offerteitalia.it
<head><title>MiCS</title></head><body>MiCS 8.1.0.2<br>localhost<br>localip 178.33.172.214<br>remoteip "mio IP"</body>

ecco una nuova email di phishing molto facile da individuare, le lettere accentate sono sostituite da punti, il testo in realtà è un'immagine png ancora ad un link quindi funziona solo nel caso il destinatario abbia attiva la visualizzazione delle email in formato html
l'email è stata inviata da
dettagli:
ovviamente i link li ho modificati in hxxp://

Arrivata anche a me poco fa da infosicure44821 (at) sicurezza.it :D


ed anche questa da otppassword38141(at) online.it qualche giorno fa

.