Gioxx’s Wall

Truffa: Operazione di ricarica PostePay

Non so se ridere o piangere: per la prima volta mi vedo recapitare su 5 caselle di posta differenti un tentativo di phishing fatto davvero bene tranne che per qualche piccolo dettaglio (errori grossolani direi) che immediatamente mi ha fatto cestinare le prime due mail arrivate. Protagonista ancora una volta è Poste Italiane ma stavolta niente BancoPosta, si passa sulla PostePay, la carta ricaricabile.

Il contenuto della mail è il seguente:

Le confermiamo che l'operazione di ricarica della carta postepay,
richiesta in data 05/09/2008 alle ore 012.31.00, e' stata effettuata con
successo.
L'importo ricaricato e' stato addebitato sulla sua carta postepay.

Riepilogo informazioni ricarica carta postepay:
Importo ricaricato: 120,00
Commissioni: 1,00
Importo totale: 121,00

Se pensate che sia qualcosa male con la ricarica prego seguire il collegamento qui sotto ed anullare la transzatione
Accedi ai servizi online
La ringraziamo per aver scelto i nostri servizi.

Distinti Saluti
BancoPosta

Gli errori?

• la mail non è arrivata sull’account nomecliente.cognome@poste.it dove le Poste Italiane inoltrano tutte le comunicazioni che riguardano le operazioni fatte tramite il portale poste.it
• poste.it inoltra comunicazione iniziando sempre con “Gentile sig. NOME COGNOME del CLIENTE“ e non con un semplice “Gentile cliente“
• la data di ricarica viene indicata con la modalità americana mm/gg/aaaa anziché gg/mm/aaaa utilizzata da poste.it (modalità italiana)
• l’ora è alquanto improbabile a meno che non si parli di futuro, Star Trek o simili (quello zero di troppo prima del 12 è un errore che poste.it non commetterebbe in quanto utilizza un sistema automatico di tracciamento operazioni)

ed in particolare: la mail non finisce mai con un link allo sportello telematico ma semplicemente con “La ringraziamo per aver scelto i nostri servizi“. Ecco quindi che analizzando proprio l’ultimo paragrafo si notano gli errori grossolani:

• Errore di forma su “Se pensate che sia qualcosa male …”
• Errori di ortografia su “qui sotto ad anullare la transzatione“

Il link riporta alla pagina “zeltverleih-hochstein.de/bancopostaonline.poste.it/bpol/CARTEPRE/” attualmente -fortunatamente- inaccessibile. Firefox chiaramente riconosce il sito contraffatto:

A questo punto parte l’analisi dell’header:

Return-Path: <nonesecure@aol.com>
X-Original-To: info@extenzilla.org
Delivered-To: m6999862@spunkymail-mx10.g.dreamhost.com
Received: from server1037.isdg.de (server1037.isdg.de [217.114.219.163])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by spunkymail-mx10.g.dreamhost.com (Postfix) with ESMTP id 62D78FE19
for <info@extenzilla.org>; Fri,  9 May 2008 07:41:29 -0700 (PDT)
Received: from User (adsl-065-015-027-248.sip.mia.bellsouth.net [65.15.27.248])
(authenticated bits=0)
by server1037.isdg.de (8.12.11.20060308/8.12.11) with ESMTP id m49Ebsha031948;
Fri, 9 May 2008 16:37:56 +0200
Message-Id: <200805091437.m49Ebsha031948@server1037.isdg.de>
From: "BancoPosta Postemail" <nonesecure@aol.com>

Si nota quindi che:

• il reale mittente è probabilmente un utente che non ha nulla di meglio da fare con la sua connettività at&t (adsl-065-015-027-248.sip.mia.bellsouth.net)
• ha usato un server con dominio tedesco per mandare la mail (server1037.isdg.de)

Alla pagina aboutus.org/Isdg.de sarà possibile trovare ulteriori informazioni sul server e sul reale proprietario che quasi certamente è all’oscuro di tutto.

Come sempre, state attenti!