Gioxx’s Wall

Phishing: CartaSi e utente verificato

Nuovo caso di phishing arrivato prepotentemente su 5 delle mie caselle di posta elettronica (ne uso 11 in totale). Ancora una volta si parla di banche, furto di credenziali e aggiornamento / conferma dati per la propria “sicurezza“.

Protagonista di questa vicenda è CartaSi. Quando arriva una mail da un qualsiasi istituto bancario occorrerebbe farsi qualche domanda prima di procedere, così da evitare potenziali errori di distrazione e grane al tecnico che dovrà sopportare le vostre lamentele per cambiare le credenziali che “qualche cattivone vi ha rubato a causa del vostro stupido PC“:

• Sono cliente di quell’istituto? (al 90% non lo sarete)
• L’italiano è corretto ortograficamente e sintatticamente?
• Mi chiedono di confermare mie credenziali di accesso? (99,9% delle volte)

Le risposte potrebbero essere molteplici ma hanno un punto in comune: le banche (così come le Poste Italiane colpite poco tempo fa) non richiederanno mai e poi mai credenziali di accesso ai servizi web utilizzando una semplice mail. Manderanno, solo se necessario per l’effettiva sicurezza del cliente, comunicazione scritta a mezzo posta ordinaria. Analizzo quindi l’attacco verso CartaSi arrivato due giorni fa.

Questo l’oggetto della mail:

Gentile Cliente,
Una nuova gamma completa di servizi online è adesso disponibile !
Per poter usufruire dei nuovi servizi online di CartaSi.it occorre prima diventare UTENTE VERIFICATO.
Accedi ai servizi online di Cartasi.it e diventa UTENTE VERIFICATO »
Cordiali Saluti

Il reale dominio di partenza è ccex.net, azienda (a dire della loro home page) “esperta in soluzioni tecnologiche di rete” forse non troppo attenta alle falle presenti nel proprio webserver:

Return-Path: <ftpuser@ccex.net>
X-Original-To: gioxx@extenzilla.org
Delivered-To: m5924512@spunkymail-mx2.g.dreamhost.com
Received: from ccex.net (ccex.net [66.104.28.10])
by spunkymail-mx2.g.dreamhost.com (Postfix) with ESMTP id D8E37720C5
for <gioxx@extenzilla.org>; Sun, 25 Nov 2007 18:32:04 -0800 (PST)
Received: from ccex.net (ftpuser@localhost [127.0.0.1])
by ccex.net (8.12.10/8.12.10) with ESMTP id lAQ2W0mB000378
for <gioxx@extenzilla.org>; Sun, 25 Nov 2007 21:32:00 -0500
Received: (from ftpuser@localhost)
by ccex.net (8.12.10/8.12.10/Submit) id lAQ2W0kf000377
for gioxx@extenzilla.org; Sun, 25 Nov 2007 21:32:00 -0500
Date: Sun, 25 Nov 2007 21:32:00 -0500
To: gioxx@extenzilla.org
Subject: FPA NOTICE: verificare l’autenticità delle informazioni personali fornite
Message-ID: <1196044320.13529.qmail@init.cartasi.it>
From: “servizio@cartasi.it” <servizio@cartasi.it>

Nel testo ho trovato due collegamenti che -a distanza di 72 ore dal massiccio spam- portano ad un’area vuota di un sito tedesco (avranno scoperto l’inghippo). Qualche informazione sul sito web:

Domain name: wtnet.net
Registrant Contact:
NA
The data in Bulkregister.com's WHOIS database is p (NA)
+1.11
Fax:
Bulkregister.com for information purposes only, that is, to
obtaining information about or related to a domain name regi
does not guarantee its ac,
Administrative Contact:
Denit Internet Services bv
Hostmaster Denit (support@denit.net)
+31.203371801
Fax: +31.203371802
Contactweg 131
Amsterdam, Nederland 1014 BJ
Amsterdam, 1014
NL
Technical Contact:
Denit Internet Services bv
Hostmaster Denit (support@denit.net)
+31.203371801
Fax: +31.203371802
Contactweg 131
Amsterdam, Nederland 1014 BJ
Amsterdam, 1014
NL
Status: Locked
Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com
Creation date: 30 Oct 2001 11:26:24
Expiration date: 30 Oct 2007 11:26:24

Chiaramente, così come successe per l’attacco a Poste Italiane, il reale proprietario del dominio sarà stato colto a sua insaputa da questa sgradita sorpresa che ha potuto eliminare così da evitare altre possibili vittime alle prime armi con questa tecnica di furto telematica
Come sempre: attenzione!