Phishing: CartaSi e utente verificato

Nuovo caso di phishing arrivato prepotentemente su 5 delle mie caselle di posta elettronica (ne uso 11 in totale). Ancora una volta si parla di banche, furto di credenziali e aggiornamento / conferma dati per la propria “sicurezza“.

Protagonista di questa vicenda è CartaSi. Quando arriva una mail da un qualsiasi istituto bancario occorrerebbe farsi qualche domanda prima di procedere, così da evitare potenziali errori di distrazione e grane al tecnico che dovrà sopportare le vostre lamentele per cambiare le credenziali che “qualche cattivone vi ha rubato a causa del vostro stupido PC“:

• Sono cliente di quell’istituto? (al 90% non lo sarete)
• L’italiano è corretto ortograficamente e sintatticamente?
• Mi chiedono di confermare mie credenziali di accesso? (99,9% delle volte)

Le risposte potrebbero essere molteplici ma hanno un punto in comune: le banche (così come le Poste Italiane colpite poco tempo fa) non richiederanno mai e poi mai credenziali di accesso ai servizi web utilizzando una semplice mail. Manderanno, solo se necessario per l’effettiva sicurezza del cliente, comunicazione scritta a mezzo posta ordinaria. Analizzo quindi l’attacco verso CartaSi arrivato due giorni fa.

Questo l’oggetto della mail:

Gentile Cliente,
Una nuova gamma completa di servizi online è adesso disponibile !
Per poter usufruire dei nuovi servizi online di CartaSi.it occorre prima diventare UTENTE VERIFICATO.
Accedi ai servizi online di Cartasi.it e diventa UTENTE VERIFICATO »
Cordiali Saluti

Il reale dominio di partenza è ccex.net, azienda (a dire della loro home page) “esperta in soluzioni tecnologiche di rete” forse non troppo attenta alle falle presenti nel proprio webserver:

Return-Path: <ftpuser@ccex.net>
X-Original-To: gioxx@extenzilla.org
Delivered-To: m5924512@spunkymail-mx2.g.dreamhost.com
Received: from ccex.net (ccex.net [66.104.28.10])
by spunkymail-mx2.g.dreamhost.com (Postfix) with ESMTP id D8E37720C5
for <gioxx@extenzilla.org>; Sun, 25 Nov 2007 18:32:04 -0800 (PST)
Received: from ccex.net (ftpuser@localhost [127.0.0.1])
by ccex.net (8.12.10/8.12.10) with ESMTP id lAQ2W0mB000378
for <gioxx@extenzilla.org>; Sun, 25 Nov 2007 21:32:00 -0500
Received: (from ftpuser@localhost)
by ccex.net (8.12.10/8.12.10/Submit) id lAQ2W0kf000377
for gioxx@extenzilla.org; Sun, 25 Nov 2007 21:32:00 -0500
Date: Sun, 25 Nov 2007 21:32:00 -0500
To: gioxx@extenzilla.org
Subject: FPA NOTICE: verificare l'autenticità delle informazioni personali fornite
Message-ID: <1196044320.13529.qmail@init.cartasi.it>
From: "servizio@cartasi.it" <servizio@cartasi.it>

Nel testo ho trovato due collegamenti che –a distanza di 72 ore dal massiccio spam– portano ad un’area vuota di un sito tedesco (avranno scoperto l’inghippo). Qualche informazione sul sito web:

Domain name: wtnet.net
Registrant Contact:
NA
The data in Bulkregister.com's WHOIS database is p (NA)
+1.11
Fax:
Bulkregister.com for information purposes only, that is, to
obtaining information about or related to a domain name regi
does not guarantee its ac,
Administrative Contact:
Denit Internet Services bv
Hostmaster Denit (support@denit.net)
+31.203371801
Fax: +31.203371802
Contactweg 131
Amsterdam, Nederland 1014 BJ
Amsterdam, 1014
NL
Technical Contact:
Denit Internet Services bv
Hostmaster Denit (support@denit.net)
+31.203371801
Fax: +31.203371802
Contactweg 131
Amsterdam, Nederland 1014 BJ
Amsterdam, 1014
NL
Status: Locked
Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com
Creation date: 30 Oct 2001 11:26:24
Expiration date: 30 Oct 2007 11:26:24

Chiaramente, così come successe per l’attacco a Poste Italiane, il reale proprietario del dominio sarà stato colto a sua insaputa da questa sgradita sorpresa che ha potuto eliminare così da evitare altre possibili vittime alle prime armi con questa tecnica di furto telematica :)

Come sempre: attenzione!