Gioxx’s Wall

Poste Italiane: 499 euro di accredito bloccato? Truffa!

Ci risiamo! Poste Italiane è vittima dell’ennesimo caso di phishing e a rimetterci sono sempre i clienti (e non solo). Questo è lo screenshot che ho fatto alla mail arrivata oggi pomeriggio in uno dei miei account di posta elettronica:

La cosa buffa è che io sto davvero aspettando l’accredito di una modesta somma di denaro per vendita di materiale hardware (il mio vecchio monitor) ma di certo non ho chiesto 499 euro (sarei un ladro ). Dando poi una occhiata più approfondita ho notato grossolani errori abbastanza facili da riconoscere e smascherare:

• “Ultime da Poste Italiane: Sai che da oggi offriamo il doppio dei servizi? Vi offriamo solo servizi sicuri e di alta qualità“: da quando Poste Italiane offre solo servizi sicuri e di alta qualità? troppo stupida la ripetizione, senza contare che non specificano nulla di quel “doppio nuovo servizio“.
• Mai e poi mai Poste Italiane si sognerebbe di mandarmi una mail per comunicarmi incongruenze nei miei dati (per qualsiasi comunicazione usano il classico pezzo di carta spedito a casa attraverso il servizio Postel).
• Il link “Acceda al servizio di verifica…” punta alla pagina blairscaravans.com/images/img/.dir/bancoposta.online.it/bpol/ (basta guardare nella barra inferiore di Thunderbird) e non a poste.it/*.

Ho quindi deciso di fare un whois del dominio di destinazione, si tratta di una azienda irlandese (con proprietario domiciliato in Inghilterra, che razza di giro!) quasi certamente all’oscuro di quanto accaduto:

domain: blairscaravans.com
created: 01-Jul-2004
last-changed: 02-Jul-2007
registration-expiration: 01-Jul-2008
nserver: ns33.1and1.co.uk
nserver: ns34.1and1.co.uk
status: CLIENT-TRANSFER-PROHIBITED
registrant-firstname: Colin
registrant-lastname: Mayrs
registrant-street1: Dhu Varren
registrant-street2: 29
registrant-pcode: BT56 8EW
registrant-city: Portrush
registrant-ccode: GB
registrant-phone: +44.2870822760
registrant-email: *****@blairscaravans.com
admin-c-firstname: Colin
admin-c-lastname: Mayrs
admin-c-street1: Dhu Varren
admin-c-street2: 29
admin-c-pcode: BT56 8EW
admin-c-city: Portrush
admin-c-ccode: GB
admin-c-phone: +44.2870822760
admin-c-email: *****@blairscaravans.com
tech-c-firstname: Hostmaster
tech-c-lastname: ONEANDONE
tech-c-organization: 1&1 Internet Ltd.
tech-c-street1: Herschel Street
tech-c-street2: The Nova Building
tech-c-pcode: SL1 1XS
tech-c-city: Slough
tech-c-ccode: GB
tech-c-phone: +44.8708503305
tech-c-fax: +44.1753490444
tech-c-email: **********@1and1.co.uk
bill-c-firstname: Hostmaster
bill-c-lastname: ONEANDONE
bill-c-organization: 1&1 Internet Ltd.
bill-c-street1: Herschel Street
bill-c-street2: The Nova Building
bill-c-pcode: SL1 1XS
bill-c-city: Slough
bill-c-ccode: GB
bill-c-phone: +44.8708503305
bill-c-fax: +44.1753490444
bill-c-email: **********@1and1.co.uk

Detto questo si può passare all’header della mail che custodisce tutte le informazioni riguardanti il mittente:

From - Wed Oct 31 19:37:17 2007
X-Account-Key: account4
X-UIDL: UID3617-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in05.email.it [127.0.0.1])
by smtp-in05.email.it (Postfix) with ESMTP id 15C374401A
for ; Wed, 31 Oct 2007 10:37:04 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
Received: from smtp-in05.email.it ([127.0.0.1])
by localhost (smtp-in05.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id nQTjXwnOKKTp for ;
Wed, 31 Oct 2007 10:37:03 +0100 (CET)
Received: from poczta.czajen.pl (poczta.czajen.pl [212.160.233.110])
by smtp-in05.email.it (Postfix) with ESMTP id B6B3A44014
for ; Wed, 31 Oct 2007 10:37:03 +0100 (CET)
Received: from nobody by poczta.czajen.pl with local (Exim 4.68)
(envelope-from )
id 1InA0U-00024O-D0
for ilgiova@email.it; Wed, 31 Oct 2007 10:37:02 +0100
To: ilgiova@email.it
Subject: Accredito temporaneamente bloccato
From: Poste Italiane
Reply-To: direzione@poste.it
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-Id:
Date: Wed, 31 Oct 2007 10:37:02 +0100
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - poczta.czajen.pl
X-AntiAbuse: Original Domain - email.it
X-AntiAbuse: Originator/Caller UID/GID - [99 32002] / [47 12]
X-AntiAbuse: Sender Address Domain - poczta.czajen.pl
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd
X-Source-Dir: markowa.pl:/public_html/Editor/assets
X-Antivirus: avast! (VPS 071031-1, 31/10/2007), Inbound message
X-Antivirus-Status: Clean

Veloce analisi:

• la mail è partita da un server polacco (Sender Address Domain - poczta.czajen.pl). Il server di Poste Italiane (62.241.4.35) è situato a Roma, proprio come la sede centrale della società.
• il mittente non è specificato e nell’header viene richiamato con un generico “nobody” (Received: from nobody by poczta.czajen.pl with local (Exim 4.68)).
• sullo stesso server di partenza (IP 212.160.233.110) è pubblicato il sito di un piccolo comune della polonia, markowa.pl (anche lui all’oscuro di tutto?).
• l’indirizzo di destinazione non è in alcun modo collegato a Poste Italiane ed al mio conto corrente. I clienti poste.it sanno benissimo che per questioni di sicurezza la società fornisce (all’atto della registrazione) una casella di posta elettronica nome.cognome@posteitaliane.it protetta e hostata presso i loro server. Su quest’ultima arriveranno comunicazioni interne di relativa importanza, avvisi di avvenute ricariche telefoniche (o postepay) e conferme di corrette transazioni effettuate sempre da pannello web.

Questi i dati del legittimo proprietario della macchina:

Wynik poszukiwań
DOMENA: nazwa
domeny: markowa.pl
id abonenta: nsk250308 (FIRMOWA)
serwery nazw: ns.czajen.pl.[212.160.233.98] dns.ppb.pl.[83.16.142.22]
ostatnia modyfikacja: 2007.03.19
opcja: brak opcji na nazwe domeny
ABONENT:
firma: URZĄD GMINY MARKOWA
ulica: MARKOWA 1399
miasto: 37-120 MARKOWA
lokalizacja: PL
identyfikator: nsk250308
telefon: +48.2265352
ostatnia modyfikacja: 2003.08.09
REGISTRAR:
NASK ul. Wąwozowa 18
02-796 Warszawa
Polska/Poland
+48.22 3808300
info@dns.pl
dane aktualne z dnia: 2007.11.01
Jeżeli brakuje Twoich danych lub są one nieaktualne przeczytaj FAQ http://www.dns.pl/whois.html

Questo è quanto, potete tranquillamente eliminare la mail e tornare al vostro lavoro. Come sempre raccomando prudenza e occhio vigile, di queste mail ne girano tantissime!

Segnala su: