Il gioco finisce nel momento in cui si passa il mouse sopra al link riportato in mail e si scopre che punta in realtà da tutt’altra parte. Mozilla Thunderbird rileva immediatamente la truffa e la segnala a video invitando l’utente a cancellare la mail.
Il contenuto della mail è il seguente:
Gentile Cliente, Hai dichiarato di aver dimenticato la tua password PayPal. Clicca sul link qui di seguito per verificare questo indirizzo email e creare una nuova password: https://www.paypal.it/fq/ac=AwE17N6BCXdrYTua39MA&t=pr Grazie. Cordiali saluti, PayPal ---------------------------------------------------------------- PROTEGGI LA TUA PASSWORD Non rivelare MAI la tua password ad altre persone, anche se sono dipendenti PayPal. Mettiti al riparo dall'attacco dei siti web fraudolenti aprendo una nuova finestra del browser web (Internet Explorer o Netscape) e immettendo l'URL di PayPal ogni volta che accedi al tuo conto. ---------------------------------------------------------------- Non rispondere a questa email. Questa casella di posta non e monitorata e quindi non riceverai alcuna risposta. Per ricevere assistenza, accedi al tuo conto PayPal e clicca sul link Aiuto situato nell'angolo superiore destro di qualsiasi pagina PayPal. ---------------------------------------------------------------- Copyright © 1999-2008 PayPal. Tutti i diritti riservati. PayPal (Europe) S.a r.l. & Cie, S.C.A. Societe en Commandite par Actions Sede sociale: 5th Floor 22-24 Boulevard Royal L-2449, Luxembourg RCS Luxembourg B 118 349 ID dell'email PayPal PP315
Come riconoscere la truffa?
Come detto ad inizio post il testo è impeccabile se non fosse per qualche accentata mancata. L’errore lo si rileva nel momento in cui si passa il puntatore sul link che in realtà riporta l’utente al sito eco-ads.com/www.paypal.it/ ancora funzionante (state quindi attenti). Firefox 3 rileva immediatamente il sito contraffatto e lo segnala all’utente. Qui di seguito inserisco un paio di screenshot fatti alla pagina incriminata:
cliccare sulle immagini per ingrandirle
Il lavoro è fatto particolarmente bene e nonostante l’indirizzo ufficiale della pagina sia visibile al 100% e si dovrebbe capire immediatamente che si tratta di truffa, c’è sempre qualche utente che ci casca. Ancora una volta si nota che:
- manca completamente un certificato valido di protezione sessione
- la connessione viene effettuata in http e non in https
PayPal, quello vero, possiede un certificato Verisign:
A chi appartiene eco-ads?
Ad un’azienda / privato del Massachusetts, Stati Uniti d’America. Il whois riporta:
Registrant: Charles W. Trainer d/b/a ARTISTIC LICENSE 19 Lafayette Road Unit #2 Ipswich, Massachusetts 01938 United States Domain Name: ECO-ADS.COM Created on: 23-Aug-02 Expires on: 23-Aug-12 Last Updated on: 23-Aug-02 Administrative Contact: Trainer, Charles Charles W. Trainer d/b/a ARTISTIC LICENSE 19 Lafayette Road Unit #2 Ipswich, Massachusetts 01938 United States (617) 504-0600 Fax -- (978) 356-6228 Technical Contact: Trainer, Charles Charles W. Trainer d/b/a ARTISTIC LICENSE 19 Lafayette Road Unit #2 Ipswich, Massachusetts 01938 United States (617) 504-0600 Fax -- (978) 356-6228 Domain servers in listed order: NS1.SPIDERWEBHOST.NET NS2.SPIDERWEBHOST.NET
Disponibile integralmente all’indirizzo: whois.domaintools.com/eco-ads.com
E la mail?
Apparentemente fatta passare da un indirizzo “italo-tedesco“. Pay.it è infatti hostato in Germania ma “gestito” (?) da un italiano. Mandata dall’indirizzo assistenza@pay.it il quale dominio è assegnato a:
Domain: pay.it Status: ACTIVE Created: 1999-12-16 00:00:00 Last Update: 2008-06-30 15:53:01 Expire Date: 2009-03-20 Registrant Name: Marcin Olczykowski ContactID: MO1176-ITNIC Admin Contact Name: Marcin Olczykowski ContactID: MO1176-ITNIC Technical Contacts Name: Andrea Fava ContactID: AF1392-ITNIC Organization: Lilium di Andrea Fava Address: Via C. Battisti, 67 Castiglione Olona 21043 VA IT Created: 2000-07-14 00:00:00 Last Update: 2007-07-26 08:57:41 Registrar Organization: Lilium di Andrea Fava Name: LILIUM-MNT Nameservers ns1.secure.net ns2.secure.net
nell’header è possibile trovare le informazioni riguardanti il reale server di partenza:
Received: from smtp3.uk2.net (smtp3.uk2.net [83.170.81.183]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by spunkymail-mx3.g.dreamhost.com (Postfix) with ESMTP id 90C1E8DC93 for <info @extenzilla.org>; Wed, 9 Jul 2008 05:30:33 -0700 (PDT) Received: from [85.17.177.6] (helo=User) by smtp3.uk2.net with esmtpa (Exim 4.60) (envelope-from <assistenza @pay.it>) id 1KGYoK-0005eY-OB; Wed, 09 Jul 2008 13:30:17 +0100 From: </assistenza><assistenza @pay.it> X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
- smtp3.uk2.net è un server di posta appartenente ad un’azienda che offre servizi web
- il traceroute effettuato sull’IP di partenza (85.17.177.6) porta ad un’azienda olandese (Amsterdam per la precisione)
- è stato utilizzato un bot o un Microsoft Outlook Express per dare inizio alle danze
il lavoro di offuscamento è davvero notevole e ci sono parecchi salti che fanno perdere le tracce del reale mittente / truffatore. A questo punto non mi resta che pregarvi di fare attenzione e cestinare immediatamente le mail provenienti da quell’indirizzo. Il consiglio ancora una volta è quello di utilizzare un client di posta elettronica ed un browser sicuri e che possano proteggervi realmente durante la navigazione.
Buon lavoro! :)
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)