Nuovo obiettivo dei pirati informatici e dei perdigiorno che pensano di far fortuna stando davanti ad un computer e basandosi sull’ingenuità della brava gente: entra con tanto di tappeto rosso la Banca di Roma ;)

Si parla di un codice segreto da recuperare in quanto qualcuno ha utilizzato male il form di login per 3 volte di seguito (facendo entrare in funzione il blocco delle credenziali). Ancora una volta ortografia e grammatica non sono “di casa” ed il mittente reale è facilmente individuabile.

Il testo della mail recita:

Gentile Cliente,

Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.
Per proteggere suo conto abbiamo sospeso il acceso.
Per recuperare il acceso prego di entrare e completare la pagina di attivazione.

Se scegliete di ignorare la nostra richiesta, purtroppo non avremo altra scelta che bloccare temporaneamente il suo account.

Grazie ancora per aver scelto i servizi on-line di Banca di Roma.

Banca di Roma garantisce il corretto trattamento dei dati personali degli utenti ai sensi dell’art. 13 del D. Lgs 30 giugno 2003 n. 196 ‘Codice in materia di protezione dei dati personali’.

Considerazioni migliori.

Ho eliminato il collegamento sulla parola “entrare“: porta sul sito contraffatto non ancora chiuso dalle autorità. Per il momento spero vi accontentiate di uno screen dove ho evidenziato tutte le differenze chiave:

clicca per ingrandire

Analizziamo i punti sull’immagine:

1. L’URL non è quello della Banca di Roma (www.bancaroma.it). Molto probabilmente si tratta di una adsl privata ad IP dinamico, sparirà molto presto dalla circolazione.
2. Firefox segnala giustamente che si tratta di un sito contraffatto e vi invita ad abbandonarlo quanto prima. Ho ignorato l’avviso giusto per fare lo screen.
3. Nessuno nota mai le Favicon? Si tratta di quella finezza che non viene considerata generalmente da chi fa l’attacco.
4. Ho visitato la pagina alle ore 17.20 di lunedì 06.01.2008. Come può l’orologio segnare le 10.52 del 03.01.2008?
5. Il tasto DEMO non è più presente nella home page della vera Banca di Roma. Posso supporre si tratti di una vecchia versione di piattaforma (anche solo di qualche giorno fa).
6. Manca un’immagine, il layout non è lineare. Mai una banca farebbe un simile stupido errore. Altra finezza non notata :)

A questo punto non ci sarebbe neanche bisogno di proseguire ma tant’è, ci tengo a farvi dare una occhiata al reale mittente della mail:

From - Mon Jan 07 14:46:25 2008
X-Account-Key: account9
X-UIDL: UID2674-1145689893
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
X-Original-To: info@extenzilla.org
Delivered-To: m6999862@spunkymail-mx9.g.dreamhost.com
Received: from BNYEX02.bluestarjets.com (email.bluestarjets.com [38.98.85.249])
by spunkymail-mx9.g.dreamhost.com (Postfix) with ESMTP id 5CC5ED7134
for ; Mon, 7 Jan 2008 05:46:04 -0800 (PST)
Received: from User ([209.178.208.74]) by BNYEX02.bluestarjets.com with Microsoft SMTP
SVC(6.0.3790.1830); Mon, 7 Jan 2008 08:49:27 -0500
From: "Banca di Roma spa"
Subject: Banca di Roma garantisce il corretto trattamento
Date: Mon, 7 Jan 2008 08:32:41 -0500
MIME-Version: 1.0
Content-Type: text/html;charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID:
X-OriginalArrivalTime: 07 Jan 2008 13:49:28.0141 (UTC) FILETIME=[1F10E7D0:01C85134]
X-EC0D2A8E-5CB7-4969-9C36-46D859D137BE-PartID: 087AAB5C-5A8F-4554-A419-D78B7A90605B
To: undisclosed-recipients:;
X-Antivirus: avast! (VPS 080106-0, 06/01/2008), Inbound message
X-Antivirus-Status: Clean

Riassumendo:

• Received: from BNYEX02.bluestarjets.com (email.bluestarjets.com [38.98.85.249])
• Received: from User ([209.178.208.74]) by BNYEX02.bluestarjets.com with Microsoft SMTP
• Subject: Banca di Roma garantisce il corretto trattamento
• X-Mailer: Microsoft Outlook Express 6.00.2600.0000

Il reale mittente spedisce dal server bluestarjets.com (qui le informazioni in merito) che ha IP 38.98.85.249. Il tutto è partito da un Microsoft Outlook (dell’attaccante) presente sul PC con IP 209.178.208.74 e con un oggetto della mail alquanto stupido e improbabile: “Banca di Roma garantisce il corretto trattamento“, sembra quasi che parli una azienda chimica!

Il server di bluestarjets.com monta IIS 6.0 probabilmente non patchato. Secunia riporta qualcosa di interessante in merito ;)

Occhi aperti!

Nuova truffa, stesso obiettivo: clienti di Poste Italiane e utenti inesperti in generale. A distanza di pochissimo tempo dall’ultimo caso di phishing ecco arrivare la nuova mail contenente grossolani errori di forma ed un indirizzo di partenza alquanto ridicolo: polizia@postale.it (notare che il sito postale.it non c’entra assolutamente nulla con la vera Polizia).

Gentile Cliente,
Nell'ambito delle misure di sicurezza da noi adottate, controlliamo costantemente le attività del sistema. Durante una recente verifica, abbiamo rilevato un problema riguardante il tuo conto.
Attività insolite del conto hanno reso necessaria una limitazione dell'accesso al conto fino a quando non verranno raccolte ulteriori informazioni di verifica.
Abbiamo deciso di limitare l'accesso al tuo conto fino a quando non verrà completata l'implementazione di misure di sicurezza aggiuntive.
Per controllare il tuo conto e le informazioni che Poste italiane ha utilizzato per decretare di limitare l'accesso al conto, visita il link qui sotto:
https://www.poste.it/online/personale/login-home.fcc?VERIFICA

Se, dopo aver controllato le informazioni sul conto, desideri ulteriori chiarimenti riguardo all'accesso al conto, contatta in nostro sito utilizzando il modulo Contattaci nell'Aiuto.
Nel ringraziarti per la collaborazione, ti ricordiamo che questa è una misura di sicurezza il cui scopo è quello di garantire la tutela degli utenti e dei conti.
Ci scusiamo per gli eventuali disagi.
Cordiali saluti,
Assistenza clienti Poste italiane
----------------------------------------------------------------
© Poste italiane 2007. Tutti i diritti riservati.

Ho volutamente disattivato il link contenuto nel testo in quanto questo puntava a bancopostaonline.mify.net/entra.php, pagina appositamente realizzata per raccogliere le credenziali delle vittime cadute nella trappola.

Gli errori da notare:

• l’oggetto della mail è privo di senso: “Nell’ambito delle misure di sicurezza da noi adottate“.
• “un problema riguardante il tuo conto“: le comunicazioni ufficiali di Poste Italiane riportano sempre e comunque la terza persona. Al cliente viene dato del “lei“.
• ripetizione di conto / limitazione / nuove misure di sicurezza: basterebbe un’unica frase ben impostata ma viene ripetuta per ben 3 volte la stessa cosa utilizzando parole identiche poste in differenti modi.
• “contatta in nostro sito“: tipica traduzione da Google Translate o simili. Se provate a leggere bene la frase noterete che è priva di senso logico.

Ancora una volta l’errore più grosso è sempre lo stesso: Poste Italiane (così come qualsiasi altro istituto bancario italiano) non richiederà mai la conferma delle proprie credenziali con una mail. Se necessario (mai fino ad ora) invierà comunicazione scritta a mezzo posta ordinaria.

Qui di seguito il reale header della mail con tanto di indirizzo e server di partenza:

From - Thu Dec 20 16:45:31 2007
X-Account-Key: account4
X-UIDL: UID3854-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in06.email.it [127.0.0.1])
by smtp-in06.email.it (Postfix) with ESMTP id EE6A444018
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
X-Spam-Score: 4.519
X-Spam-Level: ****
X-Spam-Status: No, score=4.519 tagged_above=3 required=7 tests=[AWL=-0.773,
DATE_IN_PAST_03_06=0.478, HTML_10_20=1.351, HTML_MESSAGE=0.001,
MIME_HEADER_CTYPE_ONLY=0, MIME_HTML_ONLY=0.001, NO_REAL_NAME=0.961,
RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E4_51_100=1.5,
RAZOR2_CHECK=0.5]
Received: from smtp-in06.email.it ([127.0.0.1])
by localhost (smtp-in06.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id l6ms6TFDq-qO for ;
Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: from mail2.kitz.net (217-14-229-34.users.kitz.net [217.14.229.34])
by smtp-in06.email.it (Postfix) with SMTP id A3A9044015
for ; Thu, 20 Dec 2007 06:25:15 +0100 (CET)
Received: (qmail 25588 invoked by uid 0); 20 Dec 2007 02:24:12 -0000
Date: 20 Dec 2007 02:24:12 -0000
Message-ID:
To: ilgiova@email.it
Subject: Nell'ambito delle misure di sicurezza da noi adottate.
From: polizia@postale.it
Content-Type: text/html
X-Antivirus: avast! (VPS 071219-0, 19/12/2007), Inbound message
X-Antivirus-Status: Clean

Riepilogo:

• la mailbox di partenza è un fake, non è stato coinvolto in nessun caso postale.it
• server di partenza: mail2.kitz.net (217-14-229-34.users.kitz.net)
• ip: 217.14.229.34
• whois del dominio: disponibile cliccando qui

Il sito al quale si viene rediretti in caso di click sul link è ora irraggiungibile. Se usate Firefox noterete l’avviso di sicurezza che vi invita ad abbandonare il sito contraffatto. Qui di seguito voglio comunque proporvi le solite informazioni riguardanti la registrazione del dominio:

Registrant:
none
Crone Ave
Anaheim, California 92800
United States
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: MIFY.NET
Created on: 21-Apr-03
Expires on: 21-Apr-13
Last Updated on: 01-Nov-05
Administrative Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Technical Contact:
O, M -NO.SPAM
none
Crone Ave
Anaheim, California 92800
United States
9876543 Fax --
Domain servers in listed order:
NS1.MIFY.NET
NS2.MIFY.NET

La home page contiene solo due link che puntano a siti in giapponese (credo), funzionanti e che hanno ben poco a che fare con le truffe online.

La raccomandazione è sempre la stessa: STATE ATTENTI.

Ci risiamo! Poste Italiane è vittima dell’ennesimo caso di phishing e a rimetterci sono sempre i clienti (e non solo). Questo è lo screenshot che ho fatto alla mail arrivata oggi pomeriggio in uno dei miei account di posta elettronica:

La cosa buffa è che io sto davvero aspettando l’accredito di una modesta somma di denaro per vendita di materiale hardware (il mio vecchio monitor) ma di certo non ho chiesto 499 euro (sarei un ladro :P ). Dando poi una occhiata più approfondita ho notato grossolani errori abbastanza facili da riconoscere e smascherare:

• “Ultime da Poste Italiane: Sai che da oggi offriamo il doppio dei servizi? Vi offriamo solo servizi sicuri e di alta qualità“: da quando Poste Italiane offre solo servizi sicuri e di alta qualità? :P troppo stupida la ripetizione, senza contare che non specificano nulla di quel “doppio nuovo servizio“.
• Mai e poi mai Poste Italiane si sognerebbe di mandarmi una mail per comunicarmi incongruenze nei miei dati (per qualsiasi comunicazione usano il classico pezzo di carta spedito a casa attraverso il servizio Postel).
• Il link “Acceda al servizio di verifica…” punta alla pagina blairscaravans.com/images/img/.dir/bancoposta.online.it/bpol/ (basta guardare nella barra inferiore di Thunderbird) e non a poste.it/*.

Ho quindi deciso di fare un whois del dominio di destinazione, si tratta di una azienda irlandese (con proprietario domiciliato in Inghilterra, che razza di giro!) quasi certamente all’oscuro di quanto accaduto:

domain: blairscaravans.com
created: 01-Jul-2004
last-changed: 02-Jul-2007
registration-expiration: 01-Jul-2008
nserver: ns33.1and1.co.uk
nserver: ns34.1and1.co.uk
status: CLIENT-TRANSFER-PROHIBITED
registrant-firstname: Colin
registrant-lastname: Mayrs
registrant-street1: Dhu Varren
registrant-street2: 29
registrant-pcode: BT56 8EW
registrant-city: Portrush
registrant-ccode: GB
registrant-phone: +44.2870822760
registrant-email: *****@blairscaravans.com
admin-c-firstname: Colin
admin-c-lastname: Mayrs
admin-c-street1: Dhu Varren
admin-c-street2: 29
admin-c-pcode: BT56 8EW
admin-c-city: Portrush
admin-c-ccode: GB
admin-c-phone: +44.2870822760
admin-c-email: *****@blairscaravans.com
tech-c-firstname: Hostmaster
tech-c-lastname: ONEANDONE
tech-c-organization: 1&1 Internet Ltd.
tech-c-street1: Herschel Street
tech-c-street2: The Nova Building
tech-c-pcode: SL1 1XS
tech-c-city: Slough
tech-c-ccode: GB
tech-c-phone: +44.8708503305
tech-c-fax: +44.1753490444
tech-c-email: **********@1and1.co.uk
bill-c-firstname: Hostmaster
bill-c-lastname: ONEANDONE
bill-c-organization: 1&1 Internet Ltd.
bill-c-street1: Herschel Street
bill-c-street2: The Nova Building
bill-c-pcode: SL1 1XS
bill-c-city: Slough
bill-c-ccode: GB
bill-c-phone: +44.8708503305
bill-c-fax: +44.1753490444
bill-c-email: **********@1and1.co.uk

Detto questo si può passare all’header della mail che custodisce tutte le informazioni riguardanti il mittente:

From - Wed Oct 31 19:37:17 2007
X-Account-Key: account4
X-UIDL: UID3617-1086362196
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: ilgiova@email.it
Received: from localhost (smtp-in05.email.it [127.0.0.1])
by smtp-in05.email.it (Postfix) with ESMTP id 15C374401A
for ; Wed, 31 Oct 2007 10:37:04 +0100 (CET)
X-Virus-Scanned: amavisd-new at email.it
Received: from smtp-in05.email.it ([127.0.0.1])
by localhost (smtp-in05.email.it [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id nQTjXwnOKKTp for ;
Wed, 31 Oct 2007 10:37:03 +0100 (CET)
Received: from poczta.czajen.pl (poczta.czajen.pl [212.160.233.110])
by smtp-in05.email.it (Postfix) with ESMTP id B6B3A44014
for ; Wed, 31 Oct 2007 10:37:03 +0100 (CET)
Received: from nobody by poczta.czajen.pl with local (Exim 4.68)
(envelope-from )
id 1InA0U-00024O-D0
for ilgiova@email.it; Wed, 31 Oct 2007 10:37:02 +0100
To: ilgiova@email.it
Subject: Accredito temporaneamente bloccato
From: Poste Italiane
Reply-To: direzione@poste.it
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-Id:
Date: Wed, 31 Oct 2007 10:37:02 +0100
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - poczta.czajen.pl
X-AntiAbuse: Original Domain - email.it
X-AntiAbuse: Originator/Caller UID/GID - [99 32002] / [47 12]
X-AntiAbuse: Sender Address Domain - poczta.czajen.pl
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd
X-Source-Dir: markowa.pl:/public_html/Editor/assets
X-Antivirus: avast! (VPS 071031-1, 31/10/2007), Inbound message
X-Antivirus-Status: Clean

Veloce analisi:

• la mail è partita da un server polacco (Sender Address Domain – poczta.czajen.pl). Il server di Poste Italiane (62.241.4.35) è situato a Roma, proprio come la sede centrale della società.
• il mittente non è specificato e nell’header viene richiamato con un generico “nobody” (Received: from nobody by poczta.czajen.pl with local (Exim 4.68)).
• sullo stesso server di partenza (IP 212.160.233.110) è pubblicato il sito di un piccolo comune della polonia, markowa.pl (anche lui all’oscuro di tutto?).
• l’indirizzo di destinazione non è in alcun modo collegato a Poste Italiane ed al mio conto corrente. I clienti poste.it sanno benissimo che per questioni di sicurezza la società fornisce (all’atto della registrazione) una casella di posta elettronica nome.cognome@posteitaliane.it protetta e hostata presso i loro server. Su quest’ultima arriveranno comunicazioni interne di relativa importanza, avvisi di avvenute ricariche telefoniche (o postepay) e conferme di corrette transazioni effettuate sempre da pannello web.

Questi i dati del legittimo proprietario della macchina:

Wynik poszukiwań
DOMENA: nazwa
domeny: markowa.pl
id abonenta: nsk250308 (FIRMOWA)
serwery nazw: ns.czajen.pl.[212.160.233.98] dns.ppb.pl.[83.16.142.22]
ostatnia modyfikacja: 2007.03.19
opcja: brak opcji na nazwe domeny
ABONENT:
firma: URZĄD GMINY MARKOWA
ulica: MARKOWA 1399
miasto: 37-120 MARKOWA
lokalizacja: PL
identyfikator: nsk250308
telefon: +48.2265352
ostatnia modyfikacja: 2003.08.09
REGISTRAR:
NASK ul. Wąwozowa 18
02-796 Warszawa
Polska/Poland
+48.22 3808300
info@dns.pl
dane aktualne z dnia: 2007.11.01
Jeżeli brakuje Twoich danych lub są one nieaktualne przeczytaj FAQ http://www.dns.pl/whois.html

Questo è quanto, potete tranquillamente eliminare la mail e tornare al vostro lavoro. Come sempre raccomando prudenza e occhio vigile, di queste mail ne girano tantissime! ;)

Poco prima di cena il cellulare mi avverte della ricezione di un messaggio. Vado a dare una occhiata e mi ritrovo il seguente testo:

Mittente: -SMS-

Testo: Ti ho cercato alle 8.00 del 26/09/2007, è urgente, chiama da fisso al 899030641, info e costi susegreteria.biz

Mittente chiaramente inesistente in rubrica e messaggio davvero notevole. E’ uguale identico ad un qualsiasi altro messaggio mandato da TIM o Vodafone (non so come li componga la 3 e la Wind non avendoli come gestori di telefonia mobile) nel caso in cui si perda una telefonata per cellulare occupato o non raggiungibile.

I gentili signori di susegreteria.biz confezionano un messaggio ben realizzato e senza errori ortografici per indurre l’utente finale a comporre il numero a tariffazione maggiorata cascando nella loro trappola.

Inutile dire che IL MESSAGGIO VA IMMEDIATAMENTE CANCELLATO E NON SI DOVRA’ CHIAMARE QUEL NUMERO!

Ovviamente sono andato a fare visita al sito citato nel messaggio. Indovinate un pò, nessuna pagina riporta la tariffazione applicata al numero telefonico da chiamare per sapere chi ti ha cercato con urgenza. In compenso ci si trova di fronte ad un “luogo” di incontri che rilascia le sue password proprio da quel numero 899. La pagina dei contatti non riporta alcun dettaglio della società e permette di compilare un form che genererà automaticamente una mail che sarà poi inviata ai responsabili della truffa.

Qualche informazione sul dominio:

<pre>Domain Name:                                 SUSEGRETERIA.BIZ
Domain ID:                                   D18446245-BIZ
Sponsoring Registrar:                        DIRECT INFORMATION PVT LTD DBA PUBLICDOMAINREGISTRY.COM
Sponsoring Registrar IANA ID:                303
Domain Status:                               ok
Registrant ID:                               PP-SP-001
Registrant Name:                             Domain Admin
Registrant Organization:                     PrivacyProtect.org
Registrant Address1:                         P.O. Box 65
Registrant Address2:                         All Postal Mails Rejected, visit Privacyprotect.org
Registrant City:                             Monster
Registrant Postal Code:                      2680 AB
Registrant Country:                          Netherlands
Registrant Country Code:                     NL
Registrant Phone Number:                     +45.36946676
Registrant Email:                            *******@privacyprotect.org
Administrative Contact ID:                   PP-SP-001
Administrative Contact Name:                 Domain Admin
Administrative Contact Organization:         PrivacyProtect.org
Administrative Contact Address1:             P.O. Box 65
Administrative Contact Address2:             All Postal Mails Rejected, visit Privacyprotect.org
Administrative Contact City:                 Monster
Administrative Contact Postal Code:          2680 AB
Administrative Contact Country:              Netherlands
Administrative Contact Country Code:         NL
Administrative Contact Phone Number:         +45.36946676
Administrative Contact Email:                *******@privacyprotect.org
Billing Contact ID:                          PP-SP-001
Billing Contact Name:                        Domain Admin
Billing Contact Organization:                PrivacyProtect.org
Billing Contact Address1:                    P.O. Box 65
Billing Contact Address2:                    All Postal Mails Rejected, visit Privacyprotect.org
Billing Contact City:                        Monster
Billing Contact Postal Code:                 2680 AB
Billing Contact Country:                     Netherlands
Billing Contact Country Code:                NL
Billing Contact Phone Number:                +45.36946676
Billing Contact Email:                       *******@privacyprotect.org
Technical Contact ID:                        PP-SP-001
Technical Contact Name:                      Domain Admin
Technical Contact Organization:              PrivacyProtect.org
Technical Contact Address1:                  P.O. Box 65
Technical Contact Address2:                  All Postal Mails Rejected, visit Privacyprotect.org
Technical Contact City:                      Monster
Technical Contact Postal Code:               2680 AB
Technical Contact Country:                   Netherlands
Technical Contact Country Code:              NL
Technical Contact Phone Number:              +45.36946676
Technical Contact Email:                     *******@privacyprotect.org
Name Server:                                 NS.LATUASEGRETERIA.BIZ
Name Server:                                 NS2.LATUASEGRETERIA.BIZ
Created by Registrar:                        DIRECT INFORMATION PVT LTD DBA PUBLICDOMAINREGISTRY.COM
Last Updated by Registrar:                   DIRECT INFORMATION PVT LTD DBA PUBLICDOMAINREGISTRY.COM
Domain Registration Date:                    Mon Jun 04 15:00:17 GMT 2007
Domain Expiration Date:                      Tue Jun 03 23:59:59 GMT 2008
Domain Last Updated Date:                    Sat Aug 04 02:59:43 GMT 2007</pre>

Il sito ha circa tre mesi di vita e la stringa che dovrebbe riportare l’indirizzo (di casa / ufficio) del proprietario è sostituita da privacyprotect.org, noto servizio di protezione dati in fase di registrazione dominio.

Una sola raccomandazione: state sempre attenti!

E’ da giorni che mi stanno sommergendo di email con “obbligo di cambiare password” o “necessità di confermare i miei dati” e altre amenità varie. Il phishing paga e i truffatori se ne sono accorti da tempo. Gli utenti distratti che cascano nei trabocchetti appositamente costruiti da questi falsi professionisti sono davvero tanti e tutti molto validi (con rare eccezioni di ignoranza totale in ortografia / grammatica / idee alla base della mail).

Prendo ad esempio l’ultima arrivata nella casella GMail. La bella cosa è che l’IP da raggiungere (puntato al falso sito) inserito a fondo mail è già stato oscurato, quindi non c’è il rischio di “farsi male“.

Qui di seguito il contenuto della mail:

Gentile CLIENTE,

Nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei
servizi di Banca Intesa e stata riscontrata una incongruenza relativa ai dati anagrafici in
oggetto da Lei forniti all momento della sottoscrizione contrattuale.

L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli
art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato
penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il
riciclaggio e la transparenza dei dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l'aggiornamento dei dati relativi
all'anagrafica dell'Intestatario dei servizi bancari.

Effetuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro:

http://222.47.62.74/.privati.internetbanking.bancaintesa.it/

--
Cordiali Saluti

dove ho volutamente evitato di inserire il link ipertestuale camuffato mettendo in chiaro il vero indirizzo del falso sito. Notate l’ortografia della mail. Ci sono alcuni errori che una banca o un qualsiasi ente serio non potrebbe assolutamente permettersi di fare: “all momento” / “puo” / “transparenza” / “Effetuare“. Questo dovrebbe destare già un minimo sospetto, ma proseguiamo.

Qui di seguito invece il contenuto dell’header facilmente individuabile in GMail selezionando “Mostra originale” dal menu dettagli della mail (nei programmi di posta, come Mozilla Thunderbird, viene definito giustamente “Intestazione della mail“):

Delivered-To: gioxx.gxware@gmail.com
 Received: by 10.115.22.4 with SMTP id z4cs158425wai;
         Tue, 5 Jun 2007 08:52:04 -0700 (PDT)
 Received: by 10.90.87.5 with SMTP id k5mr5081496agb.1181058723748;
         Tue, 05 Jun 2007 08:52:03 -0700 (PDT)
 Return-Path:
 Received: from ignition.infernonetworks.net (h-68-166-160-74.mclnva23.covad.net [68.166.160.74])
         by mx.google.com with ESMTP id 18si2412749agb.2007.06.05.08.51.58;
         Tue, 05 Jun 2007 08:52:03 -0700 (PDT)
 Received-SPF: fail (google.com: domain of info@bancaintesa.it does not designate 68.166.160.74 as permitted sender)
 Received: from User ([86.34.8.208]) by ignition.infernonetworks.net with Microsoft SMTPSVC(6.0.3790.1830);
   Tue, 5 Jun 2007 10:40:14 -0400
 From: "Banca Intesa"
 Subject: Comunicazione Urgente !
 Date: Tue, 5 Jun 2007 17:40:22 +0300
 MIME-Version: 1.0
 Content-Type: text/plain;
  charset="Windows-1251"
 Content-Transfer-Encoding: 7bit
 X-Priority: 3
 X-MSMail-Priority: Normal
 X-Mailer: Microsoft Outlook Express 5.50.4522.1200
 X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200
 Bcc:
 Return-Path: info@bancaintesa.it
 Message-ID:
 X-OriginalArrivalTime: 05 Jun 2007 14:40:14.0546 (UTC) FILETIME=[6DA36B20:01C7A77F]

Non smetterò mai di parlare di truffe e come evitarle, ho sfinito alla morte anche i ragazzi che hanno partecipato al mio corso di informatica fatto a Bagnacavallo qualche mese fa. L’header è la parte più importante di tutta la mail. Se non utilizzate una webmail provvista di filtri antivirus ed antispam o preferite utilizzare un programma poco sicuro qualche Microsoft Outlook, dovete sicuramente andare a leggere l’header per cercare di rimanere protetti dalle varie truffe che girano per la rete.

Il passaggio fondamentale per dimostrare che la mail non proviene realmente da Banca Intesa è il seguente:

Received: from ignition.infernonetworks.net (h-68-166-160-74.mclnva23.covad.net [68.166.160.74])

Checché se ne dica, Banca Intesa non può far partire le mail da un server chiamato “ignition.infernonetworks.net” (il nome è tutto un programma) ma direttamente dal suo mail server “mail.bancaintesa.it” se proprio deve.

C:\Documents and Settings\Gioxx>ping mail.bancaintesa.it

Esecuzione di Ping mail.bancaintesa.it [193.227.214.105] con 32 byte di dati:

A prescindere da tutto e tutti, una banca o un qualsiasi istituto di credito NON chiederà mai i dati per mezzo mail, manda una lettera via posta ordinaria!

E poi, benedetti voi navigatori del web e utenti che avete appena acquistato un PC… se non siete clienti di Banca Intesa, perché cacchio vi ostinate ad andare sul sito segnalato? Vi piacciono così tanto “i testi scritti in blu grassetto e sottolineato“? Aprite un qualsivoglia editor di pagine web e mettetene quanti volete fino a soddisfare la vostra repressa voglia! Non fate le cavie per poi chiamare il supporto tecnico e piangere se i vostri dati sono stati rubati e non funzionano più! :(

Prima di fare qualsiasi cosa “sospetta” e combinare danni, CHIEDETE aiuto a chi ha più esperienza di voi in questo campo! Non costa nulla e può evitarvi seri problemi che portano via ore e ore di lavoro se non addirittura cose più gravi come la perdita di dati sensibili ;)