Truffa: Accessi indesiderati a CartaSi (@CarlaSi.it)

È bello notare come i truffatori non smettano mai di provarci e come a distanza di svariato tempo colpiscano sempre gli stessi soggetti. Buffo, fino ad ora non ho ricevuto alcun tentativo di phishing da parte della Cassa di Risparmio di Ravenna, quando arriverà il suo momento? :P

L’ultima parte del titolo di questo post non è affatto sbagliata, è voluta. La mail con tanto di link a sito web contraffatto viene inviata da un indirizzo che finisce con @CarlaSi.it, forse si tratta dello slogan per promuovere Carla, la vicina del truffatore :mrgreen:

Nel momento in cui sto preparando questo report sia Mozilla Thunderbird che Mozilla Firefox rilevano al 100% il tentativo di truffa. Thunderbird segnala la mail come frode, l’account di eXtenZilla colpito ne ha ricevute 5 in poche ore. Firefox invita l’utente ad abbandonare l’indirizzo che si tenta di visitare.

Il contenuto della mail è il seguente:

Abbiamo identificato da poco tempo che diversi computer si sono stati collegati al Suo conto Online Banking e sono stati presenti molteplici errori di parola prima del collegamento. Adesso e’ necessario che Lei ci riconfermi le informazioni del Suo presente conto.

Se non riceviamo le informazioni entro il martedм 16 dicembre 2008 2008, saremo costretti a sospendere il Suo conto per un periodo indefinito, come se fosse stato usato in scopi fraudolenti. La ringraziamo per la Sua cooperazione in questo problema.

Per confirmare i dati del Suo conto Online Banking cliccare sul seguente link:
https://titolari.cartasi.it/portal/server.pt

La ringraziamo per la Sua pazienza riguardando questo inconveniente.

Copyright © 2008 CartaSi S.p.A. - P.IVA 04107060966

Per assistenza tecnica: numero verde 803.160 (segui le istruzioni della guida vocale e scegli l'opzione Servizi Internet) ..

Copyright © 2008 CartaSi S.p.A. - P.IVA 04107060966.

Come riconoscere la truffa?

Stavolta l’utente si trova davanti ad un testo con svariati errori ortografici e di forma, fin troppo facile fiutare quel “qualcosa che non va“. Giusto per dirne qualcuna:

• diversi computer si sono stati collegati
• sono stati presenti molteplici errori di parola prima del collegamento
• le informazioni del Suo presente conto
• Per confirmare i dati del Suo conto
• la Sua pazienza riguardando questo inconveniente

improbabile non notarli. Lo stesso vale per il sito web: teoricamente il collegamento dovrebbe riportare a titolari.cartasi.it/portal/server.pt ma in realtà punta ad un sito web hostato gratuitamente negli Stati Uniti (qui per l’esattezza) che in seguito redirige automaticamente all’IP 194.154.164.100 (cartella: ~quisuubis@quisuubis.com/cartasi/gtwpages/index.jsp)

A chi appartiene il sito web?

Verrebbe da pensare immediatamente ad un IP privato, assegnato ad un cittadino che evidentemente tiene tutto in piedi con un WebServer casalingo. In realtà si tratta di “linweb.atlas.pipex.net “, server molto probabilmente appartenente a PIPEX, azienda che si occupa di connettività e voce.

Il whois del dominio è disponibile all’indirizzo:

whois.domaintools.com/pipex.net

E la mail?

Indirizzo mail offuscato, arriva in realtà dalla Slovacchia, questo è il contenuto dell’header:

From - Wed Dec 17 05:45:00 2008
X-Account-Key: account9
X-UIDL: UID4492-1145689893
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: 
X-Original-To: info@extenzilla.org
Delivered-To: x3319792@homiemail-mx2.g.dreamhost.com
Received: from posta.avizo.sk (avizo1.rainside.sk [212.89.233.170])
by homiemail-mx2.g.dreamhost.com (Postfix) with ESMTP id 6A50FE6477
for ; Tue, 16 Dec 2008 10:02:30 -0800 (PST)
Received: from localhost (localhost [127.0.0.1])
by posta.avizo.sk (Postfix) with ESMTP id D3F9F4F5D;
Tue, 16 Dec 2008 19:02:28 +0100 (CET)
X-Virus-Scanned: amavisd-new at avizo.sk
Received: from posta.avizo.sk ([127.0.0.1])
by localhost (posta.avizo.sk [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id uWM+kdiUQXwM; Tue, 16 Dec 2008 19:02:28 +0100 (CET)
Received: from mail.prazenka.sk (unknown [84.245.71.111])
by posta.avizo.sk (Postfix) with ESMTP id 9C58F4F45;
Tue, 16 Dec 2008 19:02:28 +0100 (CET)
Received: from User ([88.56.195.66])
(authenticated user marcel@prazenka.sk)
by mail.prazenka.sk (Kerio MailServer 6.4.0);
Tue, 16 Dec 2008 19:02:27 +0100
Reply-To: 
From: "CartaSi S.p.A" 
Subject: Per confirmare i dati del Suo conto Online Banking
Date: Tue, 16 Dec 2008 20:02:28 +0200
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <20081216180228.9C58F4F45@posta.avizo.sk>
To: undisclosed-recipients: ;
X-EsetId: 54DE22240D4031310699

in particolare ciò che ci interessa è questo blocco:

Received: from User ([88.56.195.66])
(authenticated user marcel@prazenka.sk)
by mail.prazenka.sk (Kerio MailServer 6.4.0);
Tue, 16 Dec 2008 19:02:27 +0100

prazenka.sk, Bratislava, dominio appartenente ad un’azienda del posto:

Domain-name         prazenka.sk
Admin-id            PAVO-0581
Admin-name          Pavol Prazenka
Admin-legal-form    fyzicka osoba (nepodnikatel)
Admin-email
Tech-id             MBCI-0001
Tech-name           M.B.C s.r.o.
Tech-org.-ID        36521108
Tech-address        Mickiewiczova 2, Bratislava 811 07
Tech-telephone      02/52932910, 02/52932910,
Tech-email
dns_name            ns1.nexus.sk
dns_name            ns2.nexus.sk
Last-update         2008-11-21
Valid-date          2009-11-20
Domain-status       DOM_OK

qualche salto giusto per tenere quanto più nascosto la sorgente di partenza ma niente di particolarmente complicato da scoprire. Il mail server è stato probabilmente violato all’insaputa del reale proprietario del dominio.

La raccomandazione è sempre la stessa: state attenti a ciò che aprite e smettete di usare quella ciofeca di Outlook! ;)