Phishing: che @@ non se ne può più

[Neo257]

mi è arrivata pure a me un' e.mail del genere.. io non l'ho aperta.. sopratutto x mananza di voglia.. poi visto l'italiano e tutti i nomi sbagliati..

ma cosa fa??

[Stereogab]

Quote:

Originariamente inviato da Neo257

ma cosa fa??

semplice,
quei link ti indirizzano a siti fasulli dove mettendo i tuoi dati sensibili ti vengono fregati..

[pines]

la mia mente sta elaborando qualcosa del genere in asp ...
fare un programma bomber che riempie i campi in automatico di questi link pishing cosi da farli scemunire un poco anche a loro, sai quandi si trovano con un database con 10000 accessi a caso ma con nomi e password false ......................

eheheheheheheheheheh

[raceman]

Da un paio di mesi si hanno segnalazioni di truffe perpetrate a seguito del furto informatico dei codici di accesso home banking, meglio conosciuto come phishing.
Un esempio di truffa: una volta acquisiti i codici di più utenti con i metodi sopra descritti da wgator, si utilizzano due utenti, uno come soggetto attivo e l'altro come passivo.
Per semplificare chiameremo il truffatore come X; il soggetto attivo A e quello passivo B.
X (truffatore) con l'account di A (utente attivo) effettua un bonifico a B (soggetto passivo) per es. 5.000 euro. Poi sempre X contatta B spacciandosi per il soggetto attivo A e informandolo di aver disposto un bonifico a suo favore per sbaglio e che la banca non è più in grado di stornarlo. Quindi chiede a B se "gentilmente" gli restituisce la somma a lui non dovuta e ringraziandolo della disponibilità e scusandosi per il disagio a lui recato gli lascia come mancia per es. 50 o 100 euro.
Sceglie come metodo di pagamento i contanti.
Così B, allettato da una lauta mancia, si reca ad uno sportello bancario per effettuare il prelevamento in contanti e materializzare il bottino di una truffa virtuale che lo vede inconsapevolmente complice.
ATTENZIONE! Se dovesse accadervi una cosa simile contattate sempre il vostro istituto bancario.
Alcuni istituti sono già dotati di procedure automatizzate che, a fronte di richieste di prelievi oltre una certa cifra significativa, verificano se giorni prima su quel conto corrente è transitato un bonifico per vie telematiche.

[riccese]

Quote:

Originariamente inviato da wgator

Ciao,

boh... scusate ma... qualcuno sa spiegarmi questo meccanismo?

http://%77%77%77.%77g%61%54%4fr.i%54

Cliccate tranquillamente, si tratta di un mio sito... il problema è che sto tentando di capire la tecnica usata da quei "pescatori"

me lo apre solo con explorer...fire fox nn mi ci va!
buone ricerke!

[allex71]

ragazzi chi mi spiega questa cosa assurda che mi sta succcedendo da ieri sera:anche a me era arrivata la mail fasulla delle poste che reindirizzava al sito farlocco delle poste italiane ed io l'avevo inesorabilmente cestinata ma da ieri notte succede che se digito nella barra degli indirizzi www.poste.it come ho sempre fatto mi si apre proprio quel sito farlocco(la grafica è diversa e se si va nelle connessioni protette manca addirittura il lucchetto),ma come è possibile!!!
non c'è verso di accedere al sito originale di poste italiane!ho scansionato con ewido,ad-aware1.06,micros antispyware e nod32 ma nulla!
che cavolo ho nel mio pc?
é successo a qualcunaltro?

[wgator]

Ciao,

ti conviene postare il log hi hijackthis nell'apposito thread in sticky, analizzandolo vediamo cosa può essere successo

[allex71]

ho postato il log nell'analizzatore di log riportato nel thread ma mi da tutti pallini verdi con qualche punto di domanda,sembra tutto ok,però non riesco più ad accedere al sito poste.it,mi esce sempre il sito clone taroccato!!!
qualcuno mi sa spiegere che è successo?

[wgator]

Ciao,

hai anche provato a cancellare tutto il contenuto della cache di Internet Explorer, cookies e cronologia compresi?

Hai indagato sulle voci con "punto interrogativo" segnalate da Hijackthis? Si tratta di cose che conosci?

[allex71]

la chache la svuoto sempre con ccleaner quando esco da internet e poi i punti interrogativi alcuni li ho eliminati altri no,ma mi spiegheresti come postare il log di hijackthis insieme al mess in questa discussione ,grazie

[wgator]

Ciao,

per postare il log ti basta fare un semplice "copia/incolla" qui sul forum, ovvero selezioni il file di testo generato da Hijackthis e lo incolli pari-pari sul forum

[allex71]

ok questo Logfile of HijackThis v1.99.1
Scan saved at 19.44.27, on 10/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\Trust\Ami Mouse 250S Series 2.0\mouse32a.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\HPQ\SHARED\HPQWMI.exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Programmi\TIM UMTS Turbo Manager\TIM Turbo Manager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\ALESSA~1\IMPOST~1\Temp\Directory temporanea 5 per hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/forum/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...lion&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.virgilio.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programmi\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programmi\Trust\Ami Mouse 250S Series 2.0\mouse32a.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Invia a &Bluetooth - c:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q305&bd=pavilion&pf=laptop
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn...taller_gmn.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1126212483796
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2597E03E-D1BF-478C-9943-3321D6FC638C}: NameServer = 213.230.128.222 213.230.129.94
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - c:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe