Oggi sto quindi indagando sul da farsi per rendere l’operazione più “semplice, veloce ed indolore possibile“.

Il Modulo, l’utilizzo

Generalmente, per recidere un qualsivoglia contratto, si fa uso di modulo “standard” e raccomandata con ricevuta di ritorno da mandare presso la sede della società che offre il servizio. Talvolta è necessario far arrivare prima una comunicazione a mezzo fax o mail.

Trovare un documento già pronto è stato abbastanza facile. Un piccolo blog italiano raccoglie esperienze, documenti e suggerimenti per permettere al consumatore di affrontare la problematica: disdiresky.blogspot.com.

In particolare questo post dove si parla di rescissione contratto per chi paga con RID (qui per chi usa il bollettino postale). Modulo tutto sommato generico che riporta le informazioni necessarie all’identificazione del cliente e l’intenzione di concludere il rapporto con la società.

Lo stesso documento è disponibile per la compilazione automatizzata online all’indirizzo:

moduli.it/item.php/2676

dove viene specificato ancora:

A seguito dell’entrata in vigore della Legge n. 40/07, in caso di recesso anticipato dal contratto rispetto alla scadenza contrattuale comunicato con un preavviso di 30 giorni, poiché Sky fattura anticipatamente l’importo dei canoni per l’intero mese, qualora il recesso non sia comunicato alla fine di ciascun mese solare e divenga quindi efficace nel corso del mese, per il mese già iniziato verrà addebitato il canone mensile; in tal caso, il servizio rimarrà attivo e fruibile fino alla fine del mese.

Sempre a seguito dell’entrata in vigore della Legge n. 40/07, in caso di recesso anticipato dal contratto, rispetto alla scadenza contrattuale, all’abbonato non sarà più richiesto il pagamento della penale pari a tutti i canoni mancanti dal momento della risoluzione anticipata del contratto fino alla sua scadenza, bensì il solo rimborso del “Costo dell’operatore”, così come definito nelle nuove condizioni generali, a partire dal 15 giugno 2007 da comunicare con un preavviso di 30 giorni.
Tale importo non sarà comunque richiesto qualora il recesso avvenga alla scadenza contrattuale di ciascun anno. Il “Costo dell’operatore”, applicabile in caso di recesso anticipato rispetto alla scadenza di ciascuna annualità contrattuale, è così stabilito a seconda dell’offerta a cui ha aderito l’abbonato: 30 € per chi usufruisce dell’offerta solo smart card, 60 € per chi usufruisce di decoder in comodato. Per coloro che hanno usufruito dell’offerta Pronto Sky e/o per chi usufruisce dell’offerta HD, il costo che dovrà essere rimborsato all’operatore in caso di recesso anticipato rispetto alla scadenza contrattuale è di: 180 € per il primo anno contrattuale, 140 € per il secondo, 100 € per il terzo e 60 € dal quarto in poi. Per l’offerta Multivision e/o MySky il costo che dovrà essere rimborsato all’operatore in caso di recesso anticipato rispetto alla scadenza contrattuale è di: 225 € per il primo anno contrattuale, 170 € per il secondo, 115 € per il terzo e 60 € dal quarto in poi. Tutti i Costi dell’operatore sono indicati in un’apposita “Tabella delle Condizioni di Abbonamento”.

Riassumendo: il cliente che ha stipulato il contratto (indifferentemente dal pacchetto scelto) si ritroverà a dover pagare un “Costo dell’operatore” pari ad euro 60 (smart card e decoder) per la chiusura della propria pratica.

Dell’adeguamento (al quale viene fatto riferimento nel testo sopra incollato) se ne parla anche sul sito dell’Associazione dei Consumatori:

aduc.it/dyn/tlc/cara.php?id=190804

dove si specifica appunto che il “Costo dell’Operatore” altro non è che la penale vietata dalla legge Bersani, ben camuffata per non far perdere soldi alla società che conterà un cliente in meno (e soprattutto i suoi soldi) ma senza andare contro l’unica appiglio che può tutelare il consumatore “dal furto“:

Quanto dice Sky non ci torna. E ciò perché il decreto Bersani non consente un generico, e generalizzato, rimborso dei “Costi dell’operatore”, forfettizzati a priori (e cosa piu’ importante, applicati solo nel caso in cui si dia disdetta prima della scadenza naturale del contratto), ma prevede che nel caso in cui il gestore abbia dei costi vivi (e ovviamente documentati) per la chiusura del contratto, di richiederli all’utente. Le condizioni contrattuali che ci ha descritto, invece, sono in buona sostanza una “penale mascherata”.

Furto legalizzato? Così pare. L’ADUC suggerisce, nel caso in cui effettivamente vengano a mancare quei 60 euro di “Costo dell’Operatore“, di fare richiesta di rimborso alla società mandando diffida a mezzo raccomandata A/R. L’ultimo caso analizzato (riguardante questo argomento) risale allo scorso 1 agosto: aduc.it/dyn/sosonline/caraduc/carasingola.php?id=231418.

Ti restituisco ciò che non è mio

A prescindere che si riesca a rescindere il contratto in maniera più o meno semplice, resta una questione aperta da chiudere nel minor tempo possibile per non avere ulteriori problemi di sorta: restituzione di decoder e smart card.

Entro 30 giorni dalla chiusura della propria pratica è necessario portare l’hardware presso un centro Sky Service, generalmente uno per città. Per cercare quello più vicino alla propria abitazione si può fare riferimento alla pagina:

sky.it/corporate/pagine/area_clienti/cerca_skyservice.shtml

A Ravenna, tanto per fare un esempio, ci sono due centri a disposizione. Questo è quanto:

Entro 30 giorni dalla cessazione del Contratto, l’Abbonato dovrà restituire il/i decoder e la Smart Card di proprietà di Sky presso uno Sky Service (sul sito www.skylife.it è pubblicato l’elenco degli Sky Service presso cui è possibile consegnare i materiali), facendosi rilasciare la ricevuta relativa all’avvenuta consegna. Nei casi di ritardo nella restituzione della Smart Card, del Decoder, del Decoder HD e di mySKY di proprietà di Sky, si applicheranno le penali indicate nelle Condizioni Generali di abbonamento (ivi compresa, in caso di mancata restituzione del Decoder, l’applicazione di una penale di 150,00 €), fatto salvo il risarcimento del maggior danno e di tutti i costi necessari ad ottenerne la restituzione o il recupero.
Nell’ipotesi di mancata restituzione, smarrimento, furto, danneggiamento o distruzione della Smart Card e/o del/i Decoder di proprietà di Sky, si applicheranno, salvo il maggior danno, le penali indicate nelle Condizioni Generali di abbonamento.

Oltre al decoder ed alla smart card occorre restituire telecomando, alimentatore, cavo scart e cavo telefonico.

Non perdete tempo.

Particolarità

Aumento la tariffa e ti bastono ugualmente

Un peccato leggere troppo tardi la piccola nota a fondo foglio dove viene fatto presente che, se tale aumento non è gradito, è possibile recidere immediatamente il contratto mandando un fax ed una raccomandata con ricevuta di ritorno a Milano (sede SKY Italia). A questo punto lancio una ricerca sul sito dell’ADUC e scopro che “la storia non era mica tanto vera“, ancora una volta:

[ ritaglio ... ] ricevo dopo alcuni giorni una lettera in cui sky prende atto del mio voler recedere dal contratto e mi dice che non avendo dato il preavviso minimo richiesto dovrò pagare un “costo operatore” non meglio specificato pari a 60 euro. ora mi chiedo: visto che e’ per colpa dell’aumento che mi sarebbe stato applicato (già a partire dal mese di settembre) che ho deciso di disdire l’abbonamento questa richiesta di 60 euro non e’ del tutto gratuita e ingiustificata?

[ continua con risposta: aduc.it/dyn/tlc/cara.php?id=230410 ]

SkyLife a 90 cent.

Sapete che la rivista ufficiale di SKY costa 0,90 centesimi di euro? Ogni anno spendete altri 10 euro circa (10,8) oltre al costo dell’abbonamento. E’ possibile disdire l’abbonamento anche via mail:

disdiresky.blogspot.com/2008/01/disdire-la-rivista-skylife.html

Ricordate di chiedere conferma anche in questo caso per evitare brutte sorprese sul conto corrente.

In conclusione (ma anche no)

Siamo sempre alle solite. In Italia è facilissimo stipulare nuovi contratti (ormai basta un “cenno al telefono”) ma non si può dire altrettanto della rescissione. Il proverbio “fatta la legge, trovato l’inganno” è sempre valido e -quasi sempre- a discapito del consumatore.

Personalmente non ho ancora inoltrato richiesta di disdetta a SKY Italia, lo farò a brevissimo e vi terrò aggiornati sulla questione con la speranza che quanto scritto sopra non avvenga, altrimenti sarà divertente montare il sipario del tira-molla dal quale non mi tirerò certo indietro per primo.

Incrocio le dita, il consumatore non può sempre prenderla nel “di dietro“.

Il nuovo indirizzo punta su accediutente.info/www_ebay_it/index.html ancora perfettamente funzionante in questo momento. Si presenta così come vi mostro qui di seguito, notare che stavolta Firefox 3.0 rileva il sito contraffatto e lo segnala (invitando l’utilizzatore a non visitarlo affatto):

Anche stavolta server italiano, fisicamente posizionato in quel di Torino:

whois.domaintools.com/accediutente.info

Non mi spiego come mai questo accanirsi contro siti italiani conservati su server nostrani … particolare antipatia o totale insicurezza delle nostre macchine?

Fate attenzione!

Il gioco finisce nel momento in cui si passa il mouse sopra al link riportato in mail e si scopre che punta in realtà da tutt’altra parte. Mozilla Thunderbird rileva immediatamente la truffa e la segnala a video invitando l’utente a cancellare la mail.

Il contenuto della mail è il seguente:

Gentile Cliente,

Hai dichiarato di aver dimenticato la tua password PayPal.

Clicca sul link qui di seguito per verificare questo indirizzo email e creare una nuova password:
https://www.paypal.it/fq/ac=AwE17N6BCXdrYTua39MA&t=pr

Grazie.

Cordiali saluti,
PayPal

----------------------------------------------------------------
PROTEGGI LA TUA PASSWORD

Non rivelare MAI la tua password ad altre persone, anche se sono dipendenti PayPal. Mettiti al riparo dall'attacco dei siti web fraudolenti aprendo una nuova finestra del browser web (Internet Explorer o Netscape) e immettendo l'URL di PayPal ogni volta che accedi al tuo conto.

----------------------------------------------------------------

Non rispondere a questa email. Questa casella di posta non e monitorata e quindi non riceverai alcuna risposta. Per ricevere assistenza, accedi al tuo conto PayPal e clicca sul link Aiuto situato nell'angolo superiore destro di qualsiasi pagina PayPal.

----------------------------------------------------------------
Copyright © 1999-2008 PayPal. Tutti i diritti riservati.

PayPal (Europe) S.a r.l. & Cie, S.C.A.
Societe en Commandite par Actions
Sede sociale: 5th Floor 22-24 Boulevard Royal L-2449, Luxembourg
RCS Luxembourg B 118 349

ID dell'email PayPal PP315

Come riconoscere la truffa?

Come detto ad inizio post il testo è impeccabile se non fosse per qualche accentata mancata. L’errore lo si rileva nel momento in cui si passa il puntatore sul link che in realtà riporta l’utente al sito eco-ads.com/www.paypal.it/ ancora funzionante (state quindi attenti). Firefox 3 rileva immediatamente il sito contraffatto e lo segnala all’utente. Qui di seguito inserisco un paio di screenshot fatti alla pagina incriminata:

cliccare sulle immagini per ingrandirle

Il lavoro è fatto particolarmente bene e nonostante l’indirizzo ufficiale della pagina sia visibile al 100% e si dovrebbe capire immediatamente che si tratta di truffa, c’è sempre qualche utente che ci casca. Ancora una volta si nota che:

• manca completamente un certificato valido di protezione sessione
• la connessione viene effettuata in http e non in https

PayPal, quello vero, possiede un certificato Verisign:

A chi appartiene eco-ads?

Ad un’azienda / privato del Massachusetts, Stati Uniti d’America. Il whois riporta:

Registrant:
Charles W. Trainer d/b/a ARTISTIC LICENSE
19 Lafayette Road
Unit #2
Ipswich, Massachusetts 01938
United States

Domain Name: ECO-ADS.COM
Created on: 23-Aug-02
Expires on: 23-Aug-12
Last Updated on: 23-Aug-02

Administrative Contact:
Trainer, Charles
Charles W. Trainer d/b/a ARTISTIC LICENSE
19 Lafayette Road
Unit #2
Ipswich, Massachusetts 01938
United States
(617) 504-0600      Fax -- (978) 356-6228

Technical Contact:
Trainer, Charles
Charles W. Trainer d/b/a ARTISTIC LICENSE
19 Lafayette Road
Unit #2
Ipswich, Massachusetts 01938
United States
(617) 504-0600      Fax -- (978) 356-6228

Domain servers in listed order:
NS1.SPIDERWEBHOST.NET
NS2.SPIDERWEBHOST.NET

Disponibile integralmente all’indirizzo: whois.domaintools.com/eco-ads.com

E la mail?

Apparentemente fatta passare da un indirizzo “italo-tedesco“. Pay.it è infatti hostato in Germania ma “gestito” (?) da un italiano. Mandata dall’indirizzo assistenza@pay.it il quale dominio è assegnato a:

Domain:             pay.it
Status:             ACTIVE
Created:            1999-12-16 00:00:00
Last Update:        2008-06-30 15:53:01
Expire Date:        2009-03-20

Registrant
Name:             Marcin Olczykowski
ContactID:        MO1176-ITNIC

Admin Contact
Name:             Marcin Olczykowski
ContactID:        MO1176-ITNIC

Technical Contacts
Name:             Andrea Fava
ContactID:        AF1392-ITNIC
Organization:     Lilium di Andrea Fava
Address:          Via C. Battisti, 67
Castiglione Olona
21043
VA
IT
Created:          2000-07-14 00:00:00
Last Update:      2007-07-26 08:57:41

Registrar
Organization:     Lilium di Andrea Fava
Name:             LILIUM-MNT

Nameservers
ns1.secure.net
ns2.secure.net

nell’header è possibile trovare le informazioni riguardanti il reale server di partenza:

Received: from smtp3.uk2.net (smtp3.uk2.net [83.170.81.183])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by spunkymail-mx3.g.dreamhost.com (Postfix) with ESMTP id 90C1E8DC93
for <info@extenzilla.org>; Wed,  9 Jul 2008 05:30:33 -0700 (PDT)
Received: from [85.17.177.6] (helo=User)
by smtp3.uk2.net with esmtpa (Exim 4.60)
(envelope-from <assistenza@pay.it>)
id 1KGYoK-0005eY-OB; Wed, 09 Jul 2008 13:30:17 +0100

From: <assistenza@pay.it>

X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

• smtp3.uk2.net è un server di posta appartenente ad un’azienda che offre servizi web
• il traceroute effettuato sull’IP di partenza (85.17.177.6) porta ad un’azienda olandese (Amsterdam per la precisione)
• è stato utilizzato un bot o un Microsoft Outlook Express per dare inizio alle danze

il lavoro di offuscamento è davvero notevole e ci sono parecchi salti che fanno perdere le tracce del reale mittente / truffatore. A questo punto non mi resta che pregarvi di fare attenzione e cestinare immediatamente le mail provenienti da quell’indirizzo. Il consiglio ancora una volta è quello di utilizzare un client di posta elettronica ed un browser sicuri e che possano proteggervi realmente durante la navigazione.

Buon lavoro!

Un’azione lampo fatta da una mail grosso modo accettabile, a tratti riconoscibile perché probabilmente tradotta da un Google Translate (o simili) sempre più preciso. Ieri ho preferito indagare e tenere nascosto il tutto, oggi scopro che Aruba ha già messo la parola fine a questo nuovo tentativo di phishing (stavolta il truffatore è stato molto meno furbo rispetto al solito) e vi riporto i risultati.

Il contenuto della mail potrebbe somigliare (o essere identico) al seguente:

***Quest'email e stata creata automaticamente. Non rispondere.***

Numero della fattura: 061508-3862560150079

Gentile cliente,
La fattura mensile di eBay relativa al periodo dal 08 Giugno 2008 al 08 Luglio 2008 e disponibile online.

Importo dovuto: Ђ48,97

Potete rivedere in qualunque momento i vostri particolari della fattura e condizione di cliente correnti scattando questo collegamento:

Osservare la Fattura

Hai scelto PayPal come metodo di pagamento automatico. L'importo fatturato sara automaticamente dedotto dal conto PayPal entro 10 giorni dal ricevimento della fattura (l'importo puт variare in base ad accrediti o addebiti piщ recenti).

Per vedere la fattura:
1. Vai all'eBay e clicca su Il mio eBay, nella parte superiore di una qualsiasi pagina. Ti sara richiesto di effettuare l'accesso.
2. Clicca sul link Account del venditore che si trova sotto il link Il mio account, sul lato sinistro della pagina.
3. Clicca sul link Vedi fatture e scegli la fattura che vuoi controllare nel menu a discesa.

Grazie per aver scelto eBay.

Cordiali saluti,
eBay

Copyright © 2008 eBay Inc. Tutti i diritti riservati.

Marchi registrati e segni distintivi sono di proprieta dei rispettivi titolari.

eBay e il logo eBay sono marchi o marchi registrati di eBay, Inc.

Reference #: 10229.515.101

Chiari sintomi di phishing

“dal 08 Giugno 2008 al 08 Luglio 2008 e disponibile online“

la “e” priva di accento non è da eBay che cura particolarmente la sua newsletter ed il suo sistema di messaggistica automatica.

“Importo dovuto: Ђ48,97“

la cifra non viene espressa in euro? Cos’è quello strano carattere probabilmente generato automaticamente da uno script che non era capace di sfruttare la codifica caratteri giusta?

“Potete rivedere in qualunque momento i vostri particolari della fattura e condizione di cliente correnti scattando questo collegamento“

la forma dell’intera frase è appartenente in todo ad un altro pianeta, senza contare che “scattare un collegamento” ha ben poco significato in italiano

L’importo fatturato sara automaticamente dedotto dal conto PayPal entro 10 giorni dal ricevimento della fattura (l’importo puт variare in base ad accrediti o addebiti piщ recenti).

così come la prima riga analizzata anche in questo caso le accentate e le parole che terminano in lettere con diversa codifica vengono riportate male nel corpo della mail.

1. Vai all’eBay e clicca su Il mio eBay, nella parte superiore di una qualsiasi pagina. Ti sara richiesto di effettuare l’accesso.

idem come sopra. Si tratta dell’ultima frase “sospetta” (palese?) all’interno della mail

Ma dove mi vuole portare?

Il link corrispondente a “Osservare la Fattura” riporta all’indirizzo riepilogobay.info appartenente (così dice il whois) ad un italiano e hostato su uno dei tanti server condivisi di Aruba (la nota webfarm di Arezzo). Queste sono le informazioni di base:

Domain ID:D25449199-LRMS
Domain Name:RIEPILOGOBAY.INFO
Created On:07-Jul-2008 16:22:15 UTC
Last Updated On:07-Jul-2008 16:22:17 UTC
Expiration Date:07-Jul-2009 16:22:15 UTC
Sponsoring Registrar:Tucows Inc. (R139-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:CLIENT UPDATE PROHIBITED
Status:TRANSFER PROHIBITED
Registrant ID:tuPuesx9XVefOO1q
Registrant Name:IVAN COSMAI
Registrant Organization:IVAN COSMAI
Registrant Street1:via Prussiano, 26/B
Registrant Street2:
Registrant Street3:
Registrant City:BISCEGLIE
Registrant State/Province:BA
Registrant Postal Code:70052
Registrant Country:IT
Registrant Phone:+39.0809368154
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:
Admin ID:tuPuesx9XVefOO1q
Admin Name:IVAN COSMAI
Admin Organization:IVAN COSMAI
Admin Street1:via Prussiano, 26/B
Admin Street2:
Admin Street3:
Admin City:BISCEGLIE
Admin State/Province:BA
Admin Postal Code:70052
Admin Country:IT
Admin Phone:+39.0809368154
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:
Billing Name:Billing Department Hosting Aruba.it
Billing Organization:Aruba S.p.A.
Billing Street1:Piazza Garibaldi 8
Billing Street2:
Billing Street3:
Billing City:Soci
Billing State/Province:AR
Billing Postal Code:52010
Billing Country:IT
Billing Phone:+39.057551571
Billing Phone Ext.:
Billing FAX:+39.0575515790
Billing FAX Ext.:
Billing Email:
Tech Name:IVAN COSMAI
Tech Organization:IVAN COSMAI
Tech Street1:via Prussiano, 26/B
Tech Street2:
Tech Street3:
Tech City:BISCEGLIE
Tech State/Province:BA
Tech Postal Code:70052
Tech Country:IT
Tech Phone:+39.0809368154
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:
Name Server:DNS.TECHNORAIL.COM
Name Server:DNS2.TECHNORAIL.COM

Tutte disponibili, insieme ad altri dettagli, alla pagina:

whois.domaintools.com/riepilogobay.info

Allo stato attuale, come anticipato ad inizio post, la pagina è stata completamente oscurata. Ieri si presentava così:

cliccare per ingrandire

Cosa si nota subito?

• la pagina non aveva un certificato di protezione valido
• il collegamento veniva effettuato in http e non https (sessione non sicura)

Contenuto e provenienza reale della mail

Analizzando l’header della mail arrivata nella casella di posta si ottengono queste informazioni:

<pre id="line1">Received: from sd0002.solodomini.com (unknown [85.18.11.68])
	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by spunkymail-mx5.g.dreamhost.com (Postfix) with ESMTP id 3F03141D0C
	for <info@extenzilla.org>; Tue,  8 Jul 2008 04:47:03 -0700 (PDT)
Received: (qmail 1419 invoked from network); 8 Jul 2008 13:44:52 +0200
Received: from adsl-70-237-23-38.dsl.bcvloh.sbcglobal.net (HELO User) (70.237.23.38)
  by 85.18.11.68 with SMTP; 8 Jul 2008 13:44:52 +0200

From: "eBay" <serv@ebay.it>

X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
</pre>

Ergo:

• l’utilizzatore è un poco simpatico utente casalingo appartenente agli Stati Uniti d’America
• ha mandato la mail passando da un server di posta appartenente a solodomini.com (“220 sd0002.solodomini.com ESMTP” facendo telnet sulla 25)
• ha utilizzato Outlook Express 6 per fare il tutto (e non si vergogna solo per questo? )
• ha usato l’alias serv@ebay.it ma il portale sfrutta billing@ebay.it per mandare gli avvisi di fattura da pagare

Mail cestinata, truffa evitata. Un grazie personalissimo ad Aruba per essere intervenuta tempestivamente.

Mittente: CENTRO MSG

Testo: E’ presente un nuovo messaggio. Ore 12.17 del 16/05/2008 (1 messaggio). Per ascolto chiama da fisso 899331056. Info centromessaggi.info

Il mittente ancora una volta non è presente nella rubrica ma viene comunque offuscato dal nome CENTRO MSG. Il numero di telefono ed il sito con “l’info costi” appartengono nuovamente ad un servizio di Video Chat e Hot Area.

Qualche informazione in più?

Domain ID:D17461919-LRMS
Domain Name:CENTROMESSAGGI.INFO
Created On:24-Apr-2007 15:06:30 UTC
Last Updated On:26-Mar-2008 11:34:22 UTC
Expiration Date:24-Apr-2009 15:06:30 UTC
Sponsoring Registrar:GKG.NET,Inc. (R260-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Registrant ID:GKG-P000004FBD
Registrant Name:GKG.NET Domain Proxy Service Administrator
Registrant Organization:GKG.NET Domain Proxy Service
Registrant Street1:302 N Bryan Ave
Registrant Street2:
Registrant Street3:
Registrant City:Bryan
Registrant State/Province:TX
Registrant Postal Code:77803
Registrant Country:US
Registrant Phone:+1.9796935447

Registrant Phone Ext.:
Registrant FAX:+1.9796947060
Registrant FAX Ext.:
Registrant Email:

Admin ID:GKG-P000004FBE
Admin Name:GKG.NET Domain Proxy Service Administrator
Admin Organization:GKG.NET Domain Proxy Service
Admin Street1:302 N Bryan Ave
Admin Street2:
Admin Street3:
Admin City:Bryan
Admin State/Province:TX
Admin Postal Code:77803
Admin Country:US
Admin Phone:+1.9796935447
Admin Phone Ext.:
Admin FAX:+1.9796947060
Admin FAX Ext.:
Admin Email:

Billing ID:GKG-P000004FC0
Billing Name:GKG.NET Domain Proxy Service Administrator
Billing Organization:GKG.NET Domain Proxy Service
Billing Street1:302 N Bryan Ave
Billing Street2:
Billing Street3:
Billing City:Bryan
Billing State/Province:TX
Billing Postal Code:77803
Billing Country:US
Billing Phone:+1.9796935447
Billing Phone Ext.:
Billing FAX:+1.9796947060
Billing FAX Ext.:
Billing Email:

Tech ID:GKG-P000004FBF
Tech Name:GKG.NET Domain Proxy Service Administrator
Tech Organization:GKG.NET Domain Proxy Service
Tech Street1:302 N Bryan Ave
Tech Street2:
Tech Street3:
Tech City:Bryan
Tech State/Province:TX
Tech Postal Code:77803
Tech Country:US
Tech Phone:+1.9796935447
Tech Phone Ext.:
Tech FAX:+1.9796947060
Tech FAX Ext.:
Tech Email:

Name Server:DNS1.SCSITALIANET.IT
Name Server:DNS2.SCSITALIANET.IT
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:

Clicca qui per vedere la scheda completa sul dominio

E’ stato nuovamente scelto un servizio di protezione dati affinché non si possa (facilmente) risalire al reale proprietario del sito web. L’unico dettaglio dal quale si possono trarre maggiori informazioni in merito è l’indirizzo dei due server DNS che dovrebbero essere direttamente collegati al portale del truffatore (qui maggiori informazioni) registrato a nome di una società di (sic!) Cosenza.

Vista la precisione con la quale il messaggio viene confezionato e inviato alle potenziali vittime direi di prestare particolare attenzione ed eliminare l’sms immediatamente. Per sicurezza suggerirei inoltre di far bloccare dal vostro carrier telefonico tutte le chiamate verso i numeri ad alta tariffazione.

Fate attenzione!

Il contenuto della mail è il seguente:

Le confermiamo che l'operazione di ricarica della carta postepay,
richiesta in data 05/09/2008 alle ore 012.31.00, e' stata effettuata con
successo.
L'importo ricaricato e' stato addebitato sulla sua carta postepay.

Riepilogo informazioni ricarica carta postepay:
Importo ricaricato: 120,00
Commissioni: 1,00
Importo totale: 121,00

Se pensate che sia qualcosa male con la ricarica prego seguire il collegamento qui sotto ed anullare la transzatione
Accedi ai servizi online
La ringraziamo per aver scelto i nostri servizi.

Distinti Saluti
BancoPosta

Gli errori?

• la mail non è arrivata sull’account nomecliente.cognome@poste.it dove le Poste Italiane inoltrano tutte le comunicazioni che riguardano le operazioni fatte tramite il portale poste.it
• poste.it inoltra comunicazione iniziando sempre con “Gentile sig. NOME COGNOME del CLIENTE“ e non con un semplice “Gentile cliente“
• la data di ricarica viene indicata con la modalità americana mm/gg/aaaa anziché gg/mm/aaaa utilizzata da poste.it (modalità italiana)
• l’ora è alquanto improbabile a meno che non si parli di futuro, Star Trek o simili (quello zero di troppo prima del 12 è un errore che poste.it non commetterebbe in quanto utilizza un sistema automatico di tracciamento operazioni)

ed in particolare: la mail non finisce mai con un link allo sportello telematico ma semplicemente con “La ringraziamo per aver scelto i nostri servizi“. Ecco quindi che analizzando proprio l’ultimo paragrafo si notano gli errori grossolani:

• Errore di forma su “Se pensate che sia qualcosa male …”
• Errori di ortografia su “qui sotto ad anullare la transzatione“

Il link riporta alla pagina “zeltverleih-hochstein.de/bancopostaonline.poste.it/bpol/CARTEPRE/” attualmente -fortunatamente- inaccessibile. Firefox chiaramente riconosce il sito contraffatto:

A questo punto parte l’analisi dell’header:

Return-Path: <nonesecure@aol.com>
X-Original-To: info@extenzilla.org
Delivered-To: m6999862@spunkymail-mx10.g.dreamhost.com
Received: from server1037.isdg.de (server1037.isdg.de [217.114.219.163])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by spunkymail-mx10.g.dreamhost.com (Postfix) with ESMTP id 62D78FE19
for <info@extenzilla.org>; Fri,  9 May 2008 07:41:29 -0700 (PDT)
Received: from User (adsl-065-015-027-248.sip.mia.bellsouth.net [65.15.27.248])
(authenticated bits=0)
by server1037.isdg.de (8.12.11.20060308/8.12.11) with ESMTP id m49Ebsha031948;
Fri, 9 May 2008 16:37:56 +0200
Message-Id: <200805091437.m49Ebsha031948@server1037.isdg.de>
From: "BancoPosta Postemail" <nonesecure@aol.com>

Si nota quindi che:

• il reale mittente è probabilmente un utente che non ha nulla di meglio da fare con la sua connettività at&t (adsl-065-015-027-248.sip.mia.bellsouth.net)
• ha usato un server con dominio tedesco per mandare la mail (server1037.isdg.de)

Alla pagina aboutus.org/Isdg.de sarà possibile trovare ulteriori informazioni sul server e sul reale proprietario che quasi certamente è all’oscuro di tutto.

Come sempre, state attenti!

Cari Ubi Internet Banking clienti

A causa del numero di tentativi di accesso errati, il Ubi Internet Banking account e stato bloccato per la vostra sicurezza su 02/01/2008. E necessario reimpostare la tua Password prima di poter entrare Online Banking. E possibile reimpostare la tua Password semplicemente con un clic sul link qui sotto.

https://www.quiubi.it/hb/loginAction.do/schiudere.jsp

Ubi Internet Banking a cura di noi la vostra sicurezza, per la vostra protezione stiamo attivamente notifica di questa attivita.

Desidera confermare questa email e da Ubi Internet Banking? Accedi al Online Banking, selezionare Gestione avvisi Avvisi e Storia per vedere tutti gli avvisi inviati da Ubi Internet Banking. Avvisi vostra storia e aggiornata ogni 2 ore.

Ci scusiamo per gli eventuali disagi.

Cordiali saluti, Assistenza clienti Ubi

La truffa è servita, ancora più facile da capire rispetto al solito, l’italiano non è certo di casa. L’indirizzo riporta in realtà a:

ubi.caligas.com.mx/entra.html

che attualmente risulta essere non raggiungibile (fortunatamente). Contrariamente alle altre volte la mail è partita da un dominio completamente sconosciuto a UBI Banca e bisognerebbe già insospettirsi per questo, ma tant’è!

From - Thu Jan 31 17:15:41 2008
X-Account-Key: account4
X-UIDL: UID3983-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <root@master.sivit.org>
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in05.email.it [127.0.0.1])
by smtp-in05.email.it (Postfix) with ESMTP id 0677C44037
for <ilgiova@email.it>; Thu, 31 Jan 2008 17:12:16 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
Received: from smtp-in05.email.it ([127.0.0.1])
by localhost (smtp-in05.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id eUoZlsegK3m9 for <ilgiova@email.it>;
Thu, 31 Jan 2008 17:12:15 +0100 (CET)
Received: from vds325.sivit.org (vds325.sivit.org [80.248.218.23])
by smtp-in05.email.it (Postfix) with ESMTP id CB4AB44032
for <ilgiova@email.it>; Thu, 31 Jan 2008 17:12:15 +0100 (CET)
Received: by vds325.sivit.org (Postfix, from userid 0)
id CF7B514C623; Thu, 31 Jan 2008 17:09:36 +0100 (CET)
To: ilgiova@email.it
Subject: Ubi Internet Banking Avviso: codice bloccato online
From: ubi@codice.it
Content-Type: text/html
Message-Id: <20080131160936.CF7B514C623@vds325.sivit.org>
Date: Thu, 31 Jan 2008 17:09:36 +0100 (CET)
X-Antivirus: avast! (VPS 080131-1, 31/01/2008), Inbound message
X-Antivirus-Status: Clean

Il dominio scelto (codice.it) è assolutamente fuori da qualsivoglia schema di attacco phishing utilizzato fino ad ora. La mail è partita -in realtà- da tale simpatico indirizzo:

• Return-Path: <root@master.sivit.org>
• Received: from vds325.sivit.org (vds325.sivit.org [80.248.218.23])
• Received: by vds325.sivit.org (Postfix, from userid 0)

Il server sivit.org ha IP 194.146.224.129 (qua tutte le informazioni) e monta Apache/1.3.33 (Debian GNU/Linux) PHP/4.3.10-19 mod_ssl/2.8.22 OpenSSL/0.9.7e, a questo punto non capisco se sia stato bucato o sia colpa di qualche buontempone che ha regolare accesso alla macchina
Questo è quanto anche per stavolta, state attenti

• non scaricherà mai file di grosse dimensioni
• non navigherà mai per più di una o due ore al giorno
• non possiede attualmente un contratto telefonico (usa solo il cellulare e preferirebbe non spendere nulla prendendo un telefono fisso)
• non vuole sottostare al canone Telecom (è assurdo che ancora lo applichino, non l’hanno capito?)

si arriva facilmente a due alternative, le uniche conosciute e ultra-discusse in Italia: Tiscali e Tele 2. La seconda è stata scartata immediatamente. Conosco svariate persone che utilizzano Tele 2 come carrier dati e fonia lamentandosene dalla mattina alla sera. Google inoltre non mente, Tele 2 -almeno per ora- è da lasciar perdere.

Rimane Tiscali e la sua allegra pubblicità con la gnocca di turno (per il popolo e per Federica nei casi sfortunati: Nina Senicar) ed il marpione Greggio. Si parla di una incredibile offerta che permetterebbe di ottenere canale fonia e dati ad un prezzo stracciato! Si sa, l’Italia è proprio il popolo dei furboni e dei magnati che regalano abbonamenti ADSL, giusto? Cominciamo l’analisi dell’offerta.

Il video incriminato è il seguente:

it.youtube.com/watch?v=upS7sD014Hg

4 euro e 95 centesimi fino al 31.03.08!
peccato che non si dia mai retta a quel testo scritto in verdana 6, corsivo e grigio chiaro!

Eh si perché quel testo contiene dettagli sull’offerta da non sottovalutare. Innanzi tutto qualche piccolo particolare sul da farsi quando si vuole stipulare un nuovo contratto con la società:

1. chiamare l’assistenza clienti da telefono fisso
come dite? Non avete un numero di telefonia fissa? No dico, volete scherzare? Avete appena comprato casa e volete fare il primo contratto senza avere un numero di telefonia fissa già disponibile? Che barboni. Fortunatamente Tiscali pensa anche a voi, basta leggere il paragrafo successivo!

Per tutti gli altri vale il solito 130 che -di regola- dovrebbe essere gratuito da qualsiasi linea fissa (lo spero bene visto che ci ho passato 15 minuti abbondanti!).

2. chiamare l’assistenza clienti da telefono mobile
raccattate il cellulare dalla tasca destra e componete l’892.130. Come dite? Si tratta di un numero a pagamento? Beh ma certo, nulla è gratuito! Tiscali pensa bene di penalizzare coloro che non hanno a disposizione un numero di telefonia fissa imponendo tariffazioni 892 per chi chiama da cellulare:

Tali tariffe vengono decise dal proprio gestore telefonico mobile e non sono -in nessun caso- particolarmente economiche.

Per i disturbatori professionisti di turno: so bene che 892.130 è il numero dell’assistenza tecnica specializzata Tiscali, sfortunatamente però è anche l’unico numero alternativo al 130 che compone un possessore di telefono fisso. Facendo ponte sull’892.130 si riesce comunque a parlare con il settore commerciale.

Detto questo si può passare all’analisi costi che mi ha gentilmente comunicato Debora, operatrice del call center di Cagliari:

• attualmente la zona interessata di Ravenna (chiaramente ho comunicato quella dove vive il possibile futuro cliente) non è coperta da segnale voce. E’ disponibile il canale dati fino a 8 Mbit. La storia del “fino a” vuol dire che le garanzie sono pari a zero. 8 Mbit è il picco massimo che si può toccare, peccato che generalmente si giochi a “tirare basso” e non alto.
• il contributo per l’attivazione della nuova ADSL è di 136 euro iva inclusa. Questi comprendono le spese di apertura pratica, l’intervento del tecnico a casa, tasse, burocrazia … come al solito.
• la bolletta mensile ammonta a 32 euro iva inclusa. Nei primi 3 mesi (fino al 31.03.2008) comunicando il numero del conto corrente bancario o usando la carta di credito per i pagamenti si ottiene uno sconto di 10 euro. 3 bollette da 22 euro iva inclusa (se il contratto partisse da gennaio), poi si torna inesorabilmente ai 32.
• per poter chiamare telefoni mobili e fissi occorrerà far uso di Skype. Il credito Skype Out è tutto a carico vostro, come la ricaricabile di un telefonino.
• ci vogliono dai 20 ai 30 giorni per attivare l’ADSL, salvo imprevisti.

Se a ciò aggiungiamo i 3 euro mensili di noleggio modem (vedi sito ufficiale) si arriva ad un totale di 161 euro per il primo mese, sconti già calcolati.

A questo punto c’è solo un dubbio che mi attanaglia: sbaglia la pubblicità, sbaglia il sito oppure alla gentile signorina del call center non è stato installato l’ultimo firmware con il prezzario aggiornato per la stagione non-saldi inverno/primavera 2008?

Tiiiiiiscali se dovete stare attenti!

Il testo della mail recita:

Gentile Cliente,

Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.
Per proteggere suo conto abbiamo sospeso il acceso.
Per recuperare il acceso prego di entrare e completare la pagina di attivazione.

Se scegliete di ignorare la nostra richiesta, purtroppo non avremo altra scelta che bloccare temporaneamente il suo account.

Grazie ancora per aver scelto i servizi on-line di Banca di Roma.

Banca di Roma garantisce il corretto trattamento dei dati personali degli utenti ai sensi dell’art. 13 del D. Lgs 30 giugno 2003 n. 196 ‘Codice in materia di protezione dei dati personali’.

Considerazioni migliori.

Ho eliminato il collegamento sulla parola “entrare“: porta sul sito contraffatto non ancora chiuso dalle autorità. Per il momento spero vi accontentiate di uno screen dove ho evidenziato tutte le differenze chiave:

clicca per ingrandire

Analizziamo i punti sull’immagine:

1. L’URL non è quello della Banca di Roma (www.bancaroma.it). Molto probabilmente si tratta di una adsl privata ad IP dinamico, sparirà molto presto dalla circolazione.
2. Firefox segnala giustamente che si tratta di un sito contraffatto e vi invita ad abbandonarlo quanto prima. Ho ignorato l’avviso giusto per fare lo screen.
3. Nessuno nota mai le Favicon? Si tratta di quella finezza che non viene considerata generalmente da chi fa l’attacco.
4. Ho visitato la pagina alle ore 17.20 di lunedì 06.01.2008. Come può l’orologio segnare le 10.52 del 03.01.2008?
5. Il tasto DEMO non è più presente nella home page della vera Banca di Roma. Posso supporre si tratti di una vecchia versione di piattaforma (anche solo di qualche giorno fa).
6. Manca un’immagine, il layout non è lineare. Mai una banca farebbe un simile stupido errore. Altra finezza non notata

A questo punto non ci sarebbe neanche bisogno di proseguire ma tant’è, ci tengo a farvi dare una occhiata al reale mittente della mail:

From - Mon Jan 07 14:46:25 2008
X-Account-Key: account9
X-UIDL: UID2674-1145689893
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
X-Original-To: info@extenzilla.org
Delivered-To: m6999862@spunkymail-mx9.g.dreamhost.com
Received: from BNYEX02.bluestarjets.com (email.bluestarjets.com [38.98.85.249])
by spunkymail-mx9.g.dreamhost.com (Postfix) with ESMTP id 5CC5ED7134
for ; Mon, 7 Jan 2008 05:46:04 -0800 (PST)
Received: from User ([209.178.208.74]) by BNYEX02.bluestarjets.com with Microsoft SMTP
SVC(6.0.3790.1830); Mon, 7 Jan 2008 08:49:27 -0500
From: “Banca di Roma spa”
Subject: Banca di Roma garantisce il corretto trattamento
Date: Mon, 7 Jan 2008 08:32:41 -0500
MIME-Version: 1.0
Content-Type: text/html;charset=”Windows-1251″
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID:
X-OriginalArrivalTime: 07 Jan 2008 13:49:28.0141 (UTC) FILETIME=[1F10E7D0:01C85134]
X-EC0D2A8E-5CB7-4969-9C36-46D859D137BE-PartID: 087AAB5C-5A8F-4554-A419-D78B7A90605B
To: undisclosed-recipients:;
X-Antivirus: avast! (VPS 080106-0, 06/01/2008), Inbound message
X-Antivirus-Status: Clean

Riassumendo:

• Received: from BNYEX02.bluestarjets.com (email.bluestarjets.com [38.98.85.249])
• Received: from User ([209.178.208.74]) by BNYEX02.bluestarjets.com with Microsoft SMTP
• Subject: Banca di Roma garantisce il corretto trattamento
• X-Mailer: Microsoft Outlook Express 6.00.2600.0000

Il reale mittente spedisce dal server bluestarjets.com (qui le informazioni in merito) che ha IP 38.98.85.249. Il tutto è partito da un Microsoft Outlook (dell’attaccante) presente sul PC con IP 209.178.208.74 e con un oggetto della mail alquanto stupido e improbabile: “Banca di Roma garantisce il corretto trattamento“, sembra quasi che parli una azienda chimica!

Il server di bluestarjets.com monta IIS 6.0 probabilmente non patchato. Secunia riporta qualcosa di interessante in merito
Occhi aperti!

Gentile Cliente,
Nell’ambito delle misure di sicurezza da noi adottate, controlliamo costantemente le attività del sistema. Durante una recente verifica, abbiamo rilevato un problema riguardante il tuo conto.
Attività insolite del conto hanno reso necessaria una limitazione dell’accesso al conto fino a quando non verranno raccolte ulteriori informazioni di verifica.
Abbiamo deciso di limitare l’accesso al tuo conto fino a quando non verrà completata l’implementazione di misure di sicurezza aggiuntive.
Per controllare il tuo conto e le informazioni che Poste italiane ha utilizzato per decretare di limitare l’accesso al conto, visita il link qui sotto:
https://www.poste.it/online/personale/login-home.fcc?VERIFICA

Se, dopo aver controllato le informazioni sul conto, desideri ulteriori chiarimenti riguardo all’accesso al conto, contatta in nostro sito utilizzando il modulo Contattaci nell’Aiuto.
Nel ringraziarti per la collaborazione, ti ricordiamo che questa è una misura di sicurezza il cui scopo è quello di garantire la tutela degli utenti e dei conti.
Ci scusiamo per gli eventuali disagi.
Cordiali saluti,
Assistenza clienti Poste italiane
—————————————————————-
© Poste italiane 2007. Tutti i diritti riservati.

Ho volutamente disattivato il link contenuto nel testo in quanto questo puntava a bancopostaonline.mify.net/entra.php, pagina appositamente realizzata per raccogliere le credenziali delle vittime cadute nella trappola.

Gli errori da notare:

• l’oggetto della mail è privo di senso: “Nell’ambito delle misure di sicurezza da noi adottate“.
• “un problema riguardante il tuo conto“: le comunicazioni ufficiali di Poste Italiane riportano sempre e comunque la terza persona. Al cliente viene dato del “lei“.
• ripetizione di conto / limitazione / nuove misure di sicurezza: basterebbe un’unica frase ben impostata ma viene ripetuta per ben 3 volte la stessa cosa utilizzando parole identiche poste in differenti modi.
• “contatta in nostro sito“: tipica traduzione da Google Translate o simili. Se provate a leggere bene la frase noterete che è priva di senso logico.

Ancora una volta l’errore più grosso è sempre lo stesso: Poste Italiane (così come qualsiasi altro istituto bancario italiano) non richiederà mai la conferma delle proprie credenziali con una mail. Se necessario (mai fino ad ora) invierà comunicazione scritta a mezzo posta ordinaria.

Qui di seguito il reale header della mail con tanto di indirizzo e server di partenza:

From - Thu Dec 20 16:45:31 2007
X-Account-Key: account4
X-UIDL: UID3854-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in06.email.it [127.0.0.1])
by smtp-in06.email.it (Postfix) with ESMTP id EE6A444018
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
X-Spam-Score: 4.519
X-Spam-Level: ****
X-Spam-Status: No, score=4.519 tagged_above=3 required=7 tests=[AWL=-0.773,
DATE_IN_PAST_03_06=0.478, HTML_10_20=1.351, HTML_MESSAGE=0.001,
MIME_HEADER_CTYPE_ONLY=0, MIME_HTML_ONLY=0.001, NO_REAL_NAME=0.961,
RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E4_51_100=1.5,
RAZOR2_CHECK=0.5]
Received: from smtp-in06.email.it ([127.0.0.1])
by localhost (smtp-in06.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id l6ms6TFDq-qO for ;
Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: from mail2.kitz.net (217-14-229-34.users.kitz.net [217.14.229.34])
by smtp-in06.email.it (Postfix) with SMTP id A3A9044015
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: (qmail 25588 invoked by uid 0); 20 Dec 2007 02:24:12 -0000
Date: 20 Dec 2007 02:24:12 -0000
Message-ID:
To: ilgiova@email.it
Subject: Nell’ambito delle misure di sicurezza da noi adottate.
From: polizia@postale.it
Content-Type: text/html
X-Antivirus: avast! (VPS 071219-0, 19/12/2007), Inbound message
X-Antivirus-Status: Clean

Riepilogo:

• la mailbox di partenza è un fake, non è stato coinvolto in nessun caso postale.it
• server di partenza: mail2.kitz.net (217-14-229-34.users.kitz.net)
• ip: 217.14.229.34
• whois del dominio: disponibile cliccando qui

Il sito al quale si viene rediretti in caso di click sul link è ora irraggiungibile. Se usate Firefox noterete l’avviso di sicurezza che vi invita ad abbandonare il sito contraffatto. Qui di seguito voglio comunque proporvi le solite informazioni riguardanti la registrazione del dominio:

Registrant:
none
Crone Ave
Anaheim, California 92800
United States
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: MIFY.NET
Created on: 21-Apr-03
Expires on: 21-Apr-13
Last Updated on: 01-Nov-05
Administrative Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Technical Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Domain servers in listed order:
NS1.MIFY.NET
NS2.MIFY.NET

La home page contiene solo due link che puntano a siti in giapponese (credo), funzionanti e che hanno ben poco a che fare con le truffe online.

La raccomandazione è sempre la stessa: STATE ATTENTI.