Un’azione lampo fatta da una mail grosso modo accettabile, a tratti riconoscibile perché probabilmente tradotta da un Google Translate (o simili) sempre più preciso. Ieri ho preferito indagare e tenere nascosto il tutto, oggi scopro che Aruba ha già messo la parola fine a questo nuovo tentativo di phishing (stavolta il truffatore è stato molto meno furbo rispetto al solito) e vi riporto i risultati.
Il contenuto della mail potrebbe somigliare (o essere identico) al seguente:
***Quest'email e stata creata automaticamente. Non rispondere.*** Numero della fattura: 061508-3862560150079 Gentile cliente, La fattura mensile di eBay relativa al periodo dal 08 Giugno 2008 al 08 Luglio 2008 e disponibile online. Importo dovuto: Ђ48,97 Potete rivedere in qualunque momento i vostri particolari della fattura e condizione di cliente correnti scattando questo collegamento: Osservare la Fattura Hai scelto PayPal come metodo di pagamento automatico. L'importo fatturato sara automaticamente dedotto dal conto PayPal entro 10 giorni dal ricevimento della fattura (l'importo puт variare in base ad accrediti o addebiti piщ recenti). Per vedere la fattura: 1. Vai all'eBay e clicca su Il mio eBay, nella parte superiore di una qualsiasi pagina. Ti sara richiesto di effettuare l'accesso. 2. Clicca sul link Account del venditore che si trova sotto il link Il mio account, sul lato sinistro della pagina. 3. Clicca sul link Vedi fatture e scegli la fattura che vuoi controllare nel menu a discesa. Grazie per aver scelto eBay. Cordiali saluti, eBay Copyright © 2008 eBay Inc. Tutti i diritti riservati. Marchi registrati e segni distintivi sono di proprieta dei rispettivi titolari. eBay e il logo eBay sono marchi o marchi registrati di eBay, Inc. Reference #: 10229.515.101
Chiari sintomi di phishing
“dal 08 Giugno 2008 al 08 Luglio 2008 e disponibile online“
la “e” priva di accento non è da eBay che cura particolarmente la sua newsletter ed il suo sistema di messaggistica automatica.
“Importo dovuto: Ђ48,97“
la cifra non viene espressa in euro? Cos’è quello strano carattere probabilmente generato automaticamente da uno script che non era capace di sfruttare la codifica caratteri giusta?
“Potete rivedere in qualunque momento i vostri particolari della fattura e condizione di cliente correnti scattando questo collegamento“
la forma dell’intera frase è appartenente in todo ad un altro pianeta, senza contare che “scattare un collegamento” ha ben poco significato in italiano ;)
L’importo fatturato sara automaticamente dedotto dal conto PayPal entro 10 giorni dal ricevimento della fattura (l’importo puт variare in base ad accrediti o addebiti piщ recenti).
così come la prima riga analizzata anche in questo caso le accentate e le parole che terminano in lettere con diversa codifica vengono riportate male nel corpo della mail.
1. Vai all’eBay e clicca su Il mio eBay, nella parte superiore di una qualsiasi pagina. Ti sara richiesto di effettuare l’accesso.
idem come sopra. Si tratta dell’ultima frase “sospetta” (palese?) all’interno della mail
Ma dove mi vuole portare?
Il link corrispondente a “Osservare la Fattura” riporta all’indirizzo riepilogobay.info appartenente (così dice il whois) ad un italiano e hostato su uno dei tanti server condivisi di Aruba (la nota webfarm di Arezzo). Queste sono le informazioni di base:
Attenzione: tutte le informazioni riguardanti l’interessato (ex proprietario del dominio) sono state rimosse su sua specifica richiesta.
Domain ID:D25449199-LRMS Domain Name:RIEPILOGOBAY.INFO Created On:07-Jul-2008 16:22:15 UTC Last Updated On:07-Jul-2008 16:22:17 UTC Expiration Date:07-Jul-2009 16:22:15 UTC Sponsoring Registrar:Tucows Inc. (R139-LRMS) Status:CLIENT TRANSFER PROHIBITED Status:CLIENT UPDATE PROHIBITED Status:TRANSFER PROHIBITED Registrant ID:tuPuesx9XVefOO1q Registrant Name:***** Registrant Organization:***** Registrant Street1:***** Registrant Street2: Registrant Street3: Registrant City:***** Registrant State/Province:***** Registrant Postal Code:***** Registrant Country:IT Registrant Phone:***** Registrant Phone Ext.: Registrant FAX: Registrant FAX Ext.: Registrant Email: Admin ID:tuPuesx9XVefOO1q Admin Name:***** Admin Organization:***** Admin Street1:***** Admin Street2: Admin Street3: Admin City:***** Admin State/Province:***** Admin Postal Code:***** Admin Country:IT Admin Phone:***** Admin Phone Ext.: Admin FAX: Admin FAX Ext.: Admin Email: Billing Name:Billing Department Hosting Aruba.it Billing Organization:Aruba S.p.A. Billing Street1:Piazza Garibaldi 8 Billing Street2: Billing Street3: Billing City:Soci Billing State/Province:AR Billing Postal Code:52010 Billing Country:IT Billing Phone:+39.057551571 Billing Phone Ext.: Billing FAX:+39.0575515790 Billing FAX Ext.: Billing Email: Tech Name:***** Tech Organization:***** Tech Street1:***** Tech Street2: Tech Street3: Tech City:***** Tech State/Province:***** Tech Postal Code:***** Tech Country:IT Tech Phone:***** Tech Phone Ext.: Tech FAX: Tech FAX Ext.: Tech Email: Name Server:DNS.TECHNORAIL.COM Name Server:DNS2.TECHNORAIL.COM
Tutte disponibili, insieme ad altri dettagli, alla pagina:
whois.domaintools.com/riepilogobay.info
Allo stato attuale, come anticipato ad inizio post, la pagina è stata completamente oscurata:
- la pagina non aveva un certificato di protezione valido
- il collegamento veniva effettuato in http e non https (sessione non sicura)
Contenuto e provenienza reale della mail
Analizzando l’header della mail arrivata nella casella di posta si ottengono queste informazioni:
<pre id="line1">Received: from sd0002.solodomini.com (unknown [85.18.11.68]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by spunkymail-mx5.g.dreamhost.com (Postfix) with ESMTP id 3F03141D0C for <info@extenzilla.org>; Tue, 8 Jul 2008 04:47:03 -0700 (PDT) Received: (qmail 1419 invoked from network); 8 Jul 2008 13:44:52 +0200 Received: from adsl-70-237-23-38.dsl.bcvloh.sbcglobal.net (HELO User) (70.237.23.38) by 85.18.11.68 with SMTP; 8 Jul 2008 13:44:52 +0200 From: "eBay" <serv@ebay.it> X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 </pre>
Ergo:
- l’utilizzatore è un poco simpatico utente casalingo appartenente agli Stati Uniti d’America
- ha mandato la mail passando da un server di posta appartenente a solodomini.com (“220 sd0002.solodomini.com ESMTP” facendo telnet sulla 25)
- ha utilizzato Outlook Express 6 per fare il tutto (e non si vergogna solo per questo? :mrgreen: )
- ha usato l’alias serv@ebay.it ma il portale sfrutta billing@ebay.it per mandare gli avvisi di fattura da pagare
Mail cestinata, truffa evitata. Un grazie personalissimo ad Aruba per essere intervenuta tempestivamente.
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)