AIUTO MAIL / PHISHING ?

[Alefdr]

Buongiorno a tutti.

E' da circa 1 mese che sono preso di mira da una serie di tentativi di truffa che arrivano nella mia mail microsoft.

Queste mail purtroppo non vengono identificate automaticamente dal filtro antispam come posta indesiderata.

I primi tentativi fraudolenti attraverso l'utilizzo di queste mail che non vengono identificate come spam risalgono in realtà già ad un periodo precedente ma erano sporadicissime.

Hanno cominciato comunicandomi il presunto blocco del mio account APPLE indicandomi modalità fasulle per lo sblocco etc.

Nell'ultimo mese pero' queste mail sono diventate veramente invasive.

Più mail inviatemi riguardavano la presunta vincita di un samsung Galaxy S9 Edge dove i criminali mi chiedevano di mandare i miei documenti.

Ma quelle più strane sono 5 mail uguali inviatemi da 5 indirizzi diversi nell'arco di 10 minuti... e anche questo mi sembra strano perchè i bot non si dovrebbero comportare in questo modo per l'invio

Ecco una delle 5 Mail:



Indagando in rete già altri utenti hanno segnalato la medesima mail che è stata catalogata come SPAM.

Quello che non mi torna è pero' l'URL del link "ACCEDI al sito di Poste" che indirizza al seguente sito:

-http://sevensunssevenmoons.com/sup/

Il sito sembra clean su virus total.

Ecco il mittente della mail nello specifico:


Quello che mi domando io se fosse una truffa non dovrebbe comparire un sito fraudolento di poste italiane ? Come mai il link conduce a questo sito ? (_http://sevensunssevenmoons.com/sup/)
Potrebbe essere lo scherzo di qualche imbecille stalker che mi ha preso di mira secondo voi visto anche l'invio di 5 mail uguali nell'arco di 10 minuti ? O è una "normale" finalità criminale attraverso i classici bot phishing ?

Qui altri indirizzi dei mittenti della medesima mail:
info@vintaque.com
info@incentecotradingltd.com
office@ideosign.co.uk

Allego sorgente del messaggio in .txt

Grazie in anticipo per gli eventuali pareri.

[bio.hazard]

IMHO, l'invio di 5 mail uguali nell'arco di 10 minuti è normale, dato che di solito si utilizzano, per queste attività, dei programmi che eseguono automaticamente gli invii.

[Alefdr]

Quote:

Originariamente inviato da bio.hazard

IMHO, l'invio di 5 mail uguali nell'arco di 10 minuti è normale, dato che di solito si utilizzano, per queste attività, dei programmi che eseguono automaticamente gli invii.

Capisco grazie infinite per l'interessamento caro bio.hazard

ad ogni modo mi sembrano strani i link a cui conducono

_http://sevensunssevenmoons.com/sup/ questo è il link "accedi al sito di poste" che fa un redirect su google...

Ieri me ne sono arrivate altrettante....



Questa volta il link "centro risoluzioni" punta a questo dominio _http://autosocium.com/its/ che fa redirect su Youtube....




cosa ne dite ? tutto normale secondo i canoni del phishing ?

Piccolo edit altro messaggio ricevuto da poco che conduce a _http://autoscuolemargiotta.com/its/ ... ulteriore redirect su youtube... normale ?

[xcdegasp]

il sito autosocium sembra sia russo

Codice:

Domain Information
Domain:
autosocium.com
Registrar:
PDR Ltd. d/b/a PublicDomainRegistry.com
Registration Date:
2009-11-28
Expiration Date:
2018-11-28
Updated Date:
2015-11-21
Status:
ok
Name Servers:
ns1.r01.ru
ns2.r01.ru
Registrant Contact
Name:
Mars A Kosatkin
Street:
Mayakovskogo ul., 19-28
City:
Ulyanovsk
State:
Ulyanovskaya Oblast
Postal Code:
432025
Country:
RU
Phone:
+7.9603604360
Email:
email@ya.ru
Administrative Contact
Name:
Mars A Kosatkin
Street:
Mayakovskogo ul., 19-28
City:
Ulyanovsk
State:
Ulyanovskaya Oblast
Postal Code:
432025
Country:
RU
Phone:
+7.9603604360
Email:
email@ya.ru
Technical Contact
Name:
Mars A Kosatkin
Street:
Mayakovskogo ul., 19-28
City:
Ulyanovsk
State:
Ulyanovskaya Oblast
Postal Code:
432025
Country:
RU
Phone:
+7.9603604360
Email:
email@ya.ru
Raw Whois Data

Domain Name: AUTOSOCIUM.COM
Registry Domain ID: 1577287558_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.publicdomainregistry.com
Registrar URL: www.publicdomainregistry.com
Updated Date: 2015-11-21T17:53:54Z
Creation Date: 2009-11-28T22:10:46Z
Registrar Registration Expiration Date: 2018-11-28T22:10:46Z
Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com
Registrar IANA ID: 303
Domain Status: OK https://icann.org/epp#OK
Registry Registrant ID: Not Available From Registry
Registrant Name: Mars A Kosatkin
Registrant Organization: 
Registrant Street: Mayakovskogo ul., 19-28   
Registrant City: Ulyanovsk
Registrant State/Province: Ulyanovskaya Oblast
Registrant Postal Code: 432025
Registrant Country: RU
Registrant Phone: +7.9603604360
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: email@ya.ru
Registry Admin ID: Not Available From Registry
Admin Name: Mars A Kosatkin
Admin Organization: 
Admin Street: Mayakovskogo ul., 19-28  
Admin City: Ulyanovsk
Admin State/Province: Ulyanovskaya Oblast
Admin Postal Code: 432025
Admin Country: RU
Admin Phone: +7.9603604360
Admin Phone Ext: 
Admin Fax: 
Admin Fax Ext: 
Admin Email: email@ya.ru
Registry Tech ID: Not Available From Registry
Tech Name: Mars A Kosatkin
Tech Organization: 
Tech Street: Mayakovskogo ul., 19-28  
Tech City: Ulyanovsk
Tech State/Province: Ulyanovskaya Oblast
Tech Postal Code: 432025
Tech Country: RU
Tech Phone: +7.9603604360
Tech Phone Ext: 
Tech Fax: 
Tech Fax Ext: 
Tech Email: email@ya.ru
Name Server: ns1.r01.ru
Name Server: ns2.r01.ru
DNSSEC: Unsigned
Registrar Abuse Contact Email: email@publicdomainregistry.com
Registrar Abuse Contact Phone: +1.2013775952
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2018-08-31T16:16:13Z <<<

For more information on Whois status codes, please visit https://icann.org/epp

Registration Service Provided By: REGISTRAR R01

The data in this whois database is provided to you for information purposes 
only, that is, to assist you in obtaining information about or related to a 
domain name registration record. We make this information available "as is",
and do not guarantee its accuracy. By submitting a whois query, you agree 
that you will use this data only for lawful purposes and that, under no 
circumstances will you use this data to: 
(1) enable high volume, automated, electronic processes that stress or load 
this whois database system providing you this information; or 
(2) allow, enable, or otherwise support the transmission of mass unsolicited, 
commercial advertising or solicitations via direct mail, electronic mail, or 
by telephone. 
The compilation, repackaging, dissemination or other use of this data is 
expressly prohibited without prior written consent from us. The Registrar of 
record is PDR Ltd. d/b/a PublicDomainRegistry.com. 
We reserve the right to modify these terms at any time. 
By submitting this query, you agree to abide by these terms.

mentre il sito sevensunssevenmoons è a toronto

Codice:

Domain Information
Domain:
sevensunssevenmoons.com
Registrar:
Tucows Domains Inc.
Registration Date:
2008-12-08
Expiration Date:
2020-12-08
Updated Date:
2018-08-14
Status:
ok
Name Servers:
dns.site5.com
dns2.site5.com
Registrant Contact
Name:
Data Protected Data Protected
Organization:
Data Protected
Street:
123 Data Protected
City:
Toronto
State:
ON
Postal Code:
M6K 3M1
Country:
CA
Phone:
+1.0000000000
Fax:
+1.0000000000
Email:
email@data-protected.net
Administrative Contact
Name:
Data Protected Data Protected
Organization:
Data Protected
Street:
123 Data Protected
City:
Toronto
State:
ON
Postal Code:
M6K 3M1
Country:
CA
Phone:
+1.0000000000
Fax:
+1.0000000000
Email:
email@data-protected.net
Technical Contact
Name:
Data Protected Data Protected
Organization:
Data Protected
Street:
123 Data Protected
City:
Toronto
State:
ON
Postal Code:
M6K 3M1
Country:
CA
Phone:
+1.0000000000
Fax:
+1.0000000000
Email:
email@data-protected.net
Raw Whois Data

Domain Name: SEVENSUNSSEVENMOONS.COM
Registry Domain ID: 1532049728_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.tucows.com
Registrar URL: http://tucowsdomains.com
Updated Date: 2018-08-14T00:32:06
Creation Date: 2008-12-08T22:42:05
Registrar Registration Expiration Date: 2020-12-08T22:42:05
Registrar: TUCOWS, INC.
Registrar IANA ID: 69
Reseller: Smartyhost Pty Ltd
Domain Status: ok https://icann.org/epp#ok
Registry Registrant ID: 
Registrant Name: Data Protected Data Protected
Registrant Organization: Data Protected
Registrant Street: 123 Data Protected 
Registrant City: Toronto
Registrant State/Province: ON
Registrant Postal Code: M6K 3M1
Registrant Country: CA
Registrant Phone: +1.0000000000
Registrant Phone Ext: 
Registrant Fax: +1.0000000000
Registrant Fax Ext: 
Registrant Email: email@data-protected.net
Registry Admin ID: 
Admin Name: Data Protected Data Protected
Admin Organization: Data Protected
Admin Street: 123 Data Protected 
Admin City: Toronto
Admin State/Province: ON
Admin Postal Code: M6K 3M1
Admin Country: CA
Admin Phone: +1.0000000000
Admin Phone Ext: 
Admin Fax: +1.0000000000
Admin Fax Ext: 
Admin Email: email@data-protected.net
Registry Tech ID: 
Tech Name: Data Protected Data Protected
Tech Organization: Data Protected
Tech Street: 123 Data Protected 
Tech City: Toronto
Tech State/Province: ON
Tech Postal Code: M6K 3M1
Tech Country: CA
Tech Phone: +1.0000000000
Tech Phone Ext: 
Tech Fax: +1.0000000000
Tech Fax Ext: 
Tech Email: email@data-protected.net
Name Server: dns.site5.com
Name Server: dns2.site5.com

Registrar Abuse Contact Email: email@tucows.com
Registrar Abuse Contact Phone: +1.4165350123
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2018-08-14T00:32:06 <<<

"For more information on Whois status codes, please visit https://icann.org/epp"

Registration Service Provider:
    Smartyhost Pty Ltd, email@smartyhost.com.au
    +61.399559351
    +61.396200442 (fax)
    http://www.smartyhost.com.au
    Please contact SmartyHost Pty Ltd on 1300 721 465 and option 1 if you
    are having difficulty with your domain name.

The Data in the Tucows Registrar WHOIS database is provided to you by Tucows
for information purposes only, and may be used to assist you in obtaining
information about or related to a domain name's registration record.

Tucows makes this information available "as is," and does not guarantee its
accuracy.

By submitting a WHOIS query, you agree that you will use this data only for
lawful purposes and that, under no circumstances will you use this data to:
a) allow, enable, or otherwise support the transmission by e-mail,
telephone, or facsimile of mass, unsolicited, commercial advertising or
solicitations to entities other than the data recipient's own existing
customers; or (b) enable high volume, automated, electronic processes that
send queries or data to the systems of any Registry Operator or
ICANN-Accredited registrar, except as reasonably necessary to register
domain names or modify existing registrations.

The compilation, repackaging, dissemination or other use of this Data is
expressly prohibited without the prior written consent of Tucows.

Tucows reserves the right to terminate your access to the Tucows WHOIS
database in its sole discretion, including without limitation, for excessive
querying of the WHOIS database or for failure to otherwise abide by this
policy.

Tucows reserves the right to modify these terms at any time.

By submitting this query, you agree to abide by these terms.

NOTE: THE WHOIS DATABASE IS A CONTACT DATABASE ONLY.  LACK OF A DOMAIN
RECORD DOES NOT SIGNIFY DOMAIN AVAILABILITY.

[Alefdr]

Quote:

Originariamente inviato da xcdegasp

il sito autosocium sembra sia russo

Si e il sito http://sevensunssevenmoons.com/sup/ tra ieri e oggi è stato classificato da goolge come sito frode ed è stato tirato giù... guarda caso da che ho segnalato la cosa su più forum...

solo non capisco come mai autosocium.com/its mi dava redirect su youtube mentre invece ad un mio amico girava verso un sito fraudolento di poste italiane...

[xcdegasp]

si uno dei due era etichettato come fraudolento mentre l'altro mi portava a un sito fasullo di posteitaliane.

non è che hai dato la tua email in qualche strana pubblicità come alcune che circolano su facebook acchiappa like e per inoltri?
altrimenti avranno pescato la tua email in qualche sito violato..

[Alefdr]

Quote:

Originariamente inviato da xcdegasp

si uno dei due era etichettato come fraudolento mentre l'altro mi portava a un sito fasullo di posteitaliane.

non è che hai dato la tua email in qualche strana pubblicità come alcune che circolano su facebook acchiappa like e per inoltri?
altrimenti avranno pescato la tua email in qualche sito violato..

Confermo che potrebbe essere la mail pescata ho appena controllato su https://haveibeenpwned.com/ e il mio indirizzo compare su diversi servizi hackerati...

Il primo data breach risale al 2012 su last.fm da allora ho cambiato la psswd un sacco di volte.

Mi sembra comunque un po' anomalo e sfortunato questo incremento esponenziale di mail ricevute solo nell'ultimo mese non vorrei sia stato qualche imbelle di mia conoscenza a farmi lo scherzetto e nel caso saprei anche dove puntare il dito... comunque cosi ad occhio e croce quasi sicuramente queste mail sono legate tra loro da lo stesso meccanismo criminale.

Vorrei riuscire a capire se altri utenti sono stati bersagliati dalle medesime identiche mail con gli stessi link... già questo mi darebbe un po' di solievo così da escludere l'eventuale infastidimento "ad personam"

E poi se continuano sarei veramente mezzo tentato di chiudere l'account...

[FulValBot]

aggiungerei anche questo https://www.hwupgrade.it/forum/showthread.php?t=2864464


comunque anche la mia mail risulta su https://haveibeenpwned.com/ per 7 servizi, tra l'altro su uno di questi (il forum di AVAST!!) ho notato che la mia mail nemmeno gli risulta... (o magari avevo rimosso l'account e non lo ricordo io o non so cosa sia successo)