Truffa: polizia@postale.it
ATTENZIONE: Questo post e' stato scritto piu' di 3 mesi fa. Potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a scrivere un commento per chiedere delucidazioni! :)Ultima modifica: 20/12/2007 ore 18.52
Nuova truffa, stesso obiettivo: clienti di Poste Italiane e utenti inesperti in generale. A distanza di pochissimo tempo dall’ultimo caso di phishing ecco arrivare la nuova mail contenente grossolani errori di forma ed un indirizzo di partenza alquanto ridicolo: polizia@postale.it (notare che il sito postale.it non c’entra assolutamente nulla con la vera Polizia).
Gentile Cliente,
Nell'ambito delle misure di sicurezza da noi adottate, controlliamo costantemente le attività del sistema. Durante una recente verifica, abbiamo rilevato un problema riguardante il tuo conto.
Attività insolite del conto hanno reso necessaria una limitazione dell'accesso al conto fino a quando non verranno raccolte ulteriori informazioni di verifica.
Abbiamo deciso di limitare l'accesso al tuo conto fino a quando non verrà completata l'implementazione di misure di sicurezza aggiuntive.
Per controllare il tuo conto e le informazioni che Poste italiane ha utilizzato per decretare di limitare l'accesso al conto, visita il link qui sotto:
https://www.poste.it/online/personale/login-home.fcc?VERIFICA
Se, dopo aver controllato le informazioni sul conto, desideri ulteriori chiarimenti riguardo all'accesso al conto, contatta in nostro sito utilizzando il modulo Contattaci nell'Aiuto.
Nel ringraziarti per la collaborazione, ti ricordiamo che questa è una misura di sicurezza il cui scopo è quello di garantire la tutela degli utenti e dei conti.
Ci scusiamo per gli eventuali disagi.
Cordiali saluti,
Assistenza clienti Poste italiane
----------------------------------------------------------------
© Poste italiane 2007. Tutti i diritti riservati.
Ho volutamente disattivato il link contenuto nel testo in quanto questo puntava a bancopostaonline.mify.net/entra.php, pagina appositamente realizzata per raccogliere le credenziali delle vittime cadute nella trappola.
Gli errori da notare:
- l’oggetto della mail è privo di senso: “Nell’ambito delle misure di sicurezza da noi adottate“.
- “un problema riguardante il tuo conto“: le comunicazioni ufficiali di Poste Italiane riportano sempre e comunque la terza persona. Al cliente viene dato del “lei“.
- ripetizione di conto / limitazione / nuove misure di sicurezza: basterebbe un’unica frase ben impostata ma viene ripetuta per ben 3 volte la stessa cosa utilizzando parole identiche poste in differenti modi.
- “contatta in nostro sito“: tipica traduzione da Google Translate o simili. Se provate a leggere bene la frase noterete che è priva di senso logico.
Ancora una volta l’errore più grosso è sempre lo stesso: Poste Italiane (così come qualsiasi altro istituto bancario italiano) non richiederà mai la conferma delle proprie credenziali con una mail. Se necessario (mai fino ad ora) invierà comunicazione scritta a mezzo posta ordinaria.
Qui di seguito il reale header della mail con tanto di indirizzo e server di partenza:
From - Thu Dec 20 16:45:31 2007
X-Account-Key: account4
X-UIDL: UID3854-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in06.email.it [127.0.0.1])
by smtp-in06.email.it (Postfix) with ESMTP id EE6A444018
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
X-Spam-Score: 4.519
X-Spam-Level: ****
X-Spam-Status: No, score=4.519 tagged_above=3 required=7 tests=[AWL=-0.773,
DATE_IN_PAST_03_06=0.478, HTML_10_20=1.351, HTML_MESSAGE=0.001,
MIME_HEADER_CTYPE_ONLY=0, MIME_HTML_ONLY=0.001, NO_REAL_NAME=0.961,
RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E4_51_100=1.5,
RAZOR2_CHECK=0.5]
Received: from smtp-in06.email.it ([127.0.0.1])
by localhost (smtp-in06.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id l6ms6TFDq-qO for ;
Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: from mail2.kitz.net (217-14-229-34.users.kitz.net [217.14.229.34])
by smtp-in06.email.it (Postfix) with SMTP id A3A9044015
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: (qmail 25588 invoked by uid 0); 20 Dec 2007 02:24:12 -0000
Date: 20 Dec 2007 02:24:12 -0000
Message-ID:
To: ilgiova@email.it
Subject: Nell'ambito delle misure di sicurezza da noi adottate.
From: polizia@postale.it
Content-Type: text/html
X-Antivirus: avast! (VPS 071219-0, 19/12/2007), Inbound message
X-Antivirus-Status: Clean
Riepilogo:
- la mailbox di partenza è un fake, non è stato coinvolto in nessun caso postale.it
- server di partenza: mail2.kitz.net (217-14-229-34.users.kitz.net)
- ip: 217.14.229.34
- whois del dominio: disponibile cliccando qui
Il sito al quale si viene rediretti in caso di click sul link è ora irraggiungibile. Se usate Firefox noterete l’avviso di sicurezza che vi invita ad abbandonare il sito contraffatto. Qui di seguito voglio comunque proporvi le solite informazioni riguardanti la registrazione del dominio:
Registrant:
none
Crone Ave
Anaheim, California 92800
United States
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: MIFY.NET
Created on: 21-Apr-03
Expires on: 21-Apr-13
Last Updated on: 01-Nov-05
Administrative Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Technical Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Domain servers in listed order:
NS1.MIFY.NET
NS2.MIFY.NET
La home page contiene solo due link che puntano a siti in giapponese (credo), funzionanti e che hanno ben poco a che fare con le truffe online.
La raccomandazione è sempre la stessa: STATE ATTENTI.
To Punish And Enslave - © 2007-2012 
Era arrivata anche nella mia mail list ma non ci ho mai creduto non avendo un conto alla posta XD l’aria di truffa si sentiva lontano un miglio,
Ottimo post complimenti per come hai trattato l’argomento mettendo anche i whois e gli indirizzi di fake di origine :P
Servono per far capire un minimo il funzionamento di queste “vaccate gratuite” ;)
Bisogna anche dire che la polizia postale non c’entra con Poste Italiane, sono due cose separate.
Poste Italiane è un’azienda.
La polizia postale è una divisione della polizia di stato.
Il problema è che la gente ci casca spesso e son “fatte bene” per gli utenti generici.
Io personalmente sui link delle mail non clicco … li scrivo nel browser. Esempio idiota: mi arriva una email del sito abcdefg.it … vado nel browser e lo digito… nn clicco… si sà mai che capita :P
Sbronzo: hai perfettamente ragione ed è un’altra cosa della quale tenere conto quando arrivano mail come queste!
innovatel: magari tutti usassero il tuo ottimo metodo!
Sarà che sono informatico e che conosco queste problematiche … ma mi sembra una cosa abbastanza naturale da fare :)
e se tutti i provider italiani quando si trovano di fronte ad un link tipo bancopostaonline.eccetera reindirizzassero al vero sito delle Poste?
oppure potrebbe essere fatto a livello di browser, ad esempio in firefox versione italiana se scrivete nella barra degli indirizzi bancopostaonline e premete invio si viene indirizzati al vero sito delle poste e per giunta in https, se scrivete poste andate al sito poste.it
dato che questi siti di phishing si trovano sempre in domini stranieri per ovvie ragioni si potrebbe programmare i browser in maniera tale che anche cliccando su un link fasullo in automatico si venga portati nel sito vero.
mi arrivano queste mail dalle finte poste e dalle finte banche. Io non le ho mai aperte, le cancello e svuoto il bidone. Prima o poi si stuferanno
Sbronzo: in Firefox è già compreso l’ottimo filtro contro le truffe e i siti contraffatti.
sì lo so ma io intendevo qualcosa di ancora più automatico, adesso tu vai su un sito di phishing e vieni avvertito se è presente nel database.
Dovrebbero programmare i browser in modo che quando uno clicca su un link tarocco, il browser stesso vede che si tratta di un dominio straniero ed automaticamente ti porta al dominio italiano di poste o di un’altra banca.
Ad esempio il link che citi tu bancopostaonline.mify.net/entra.php porta a http://www.poste.it.oninawa.net, il browser nella mia idea dovrebbe riconoscere il taroccamento e reindirizzarti automaticamente al vero sito delle poste, in altre parole non deve portarti sul sito tarocco e dopo avvisarti ma impedirti del tutto di andarci.
Inoltre, con Firefox, hai la barra degli indirizzi gialla quando sei in https e becchi subito al volo eventuali siti truffa che simulano il sito originale. Ovviamente devi sapere che il sito originale è in https e sperare che la truffa “non sia fatta in sicurezza” (=ovvero sotto https)
Lo sò che IE ti dà i messaggi di errore ogni volta che passi da https a http però molti li disattivano “perchè rompono” … mentre il giallo lì non è da rottura.