Site icon Gioxx.org

Truffa: cambio password PayPal (pay.it)

Truffa: cambio password PayPal (pay.it) 1Seconda delle due truffe descritte tra ieri e oggi. Protagonista di quest’ultima è PayPal, noto sistema di trasferimento fondi appartenente al gruppo eBay ed utilizzato principalmente per pagare aste vinte o una moltitudine di servizi disponibili su internet. La mail che arriva ha come argomento principale una banale richiesta di cambio password e commette un errore nell’indirizzo di provenienza non offuscandolo con un alias fake. Contrariamente al solito nel corpo non ci sono errori di forma (solo qualche stupidata di ortografia), il testo è stato quasi sicuramente copiato da una reale richiesta di cambio credenziali.

Il gioco finisce nel momento in cui si passa il mouse sopra al link riportato in mail e si scopre che punta in realtà da tutt’altra parte. Mozilla Thunderbird rileva immediatamente la truffa e la segnala a video invitando l’utente a cancellare la mail.

Il contenuto della mail è il seguente:

Gentile Cliente,

Hai dichiarato di aver dimenticato la tua password PayPal.

Clicca sul link qui di seguito per verificare questo indirizzo email e creare una nuova password:
https://www.paypal.it/fq/ac=AwE17N6BCXdrYTua39MA&t=pr

Grazie.

Cordiali saluti,
PayPal

----------------------------------------------------------------
PROTEGGI LA TUA PASSWORD

Non rivelare MAI la tua password ad altre persone, anche se sono dipendenti PayPal. Mettiti al riparo dall'attacco dei siti web fraudolenti aprendo una nuova finestra del browser web (Internet Explorer o Netscape) e immettendo l'URL di PayPal ogni volta che accedi al tuo conto.

----------------------------------------------------------------

Non rispondere a questa email. Questa casella di posta non e monitorata e quindi non riceverai alcuna risposta. Per ricevere assistenza, accedi al tuo conto PayPal e clicca sul link Aiuto situato nell'angolo superiore destro di qualsiasi pagina PayPal.

----------------------------------------------------------------
Copyright © 1999-2008 PayPal. Tutti i diritti riservati.

PayPal (Europe) S.a r.l. & Cie, S.C.A.
Societe en Commandite par Actions
Sede sociale: 5th Floor 22-24 Boulevard Royal L-2449, Luxembourg
RCS Luxembourg B 118 349

ID dell'email PayPal PP315

Come riconoscere la truffa?

Come detto ad inizio post il testo è impeccabile se non fosse per qualche accentata mancata. L’errore lo si rileva nel momento in cui si passa il puntatore sul link che in realtà riporta l’utente al sito eco-ads.com/www.paypal.it/ ancora funzionante (state quindi attenti). Firefox 3 rileva immediatamente il sito contraffatto e lo segnala all’utente. Qui di seguito inserisco un paio di screenshot fatti alla pagina incriminata:


cliccare sulle immagini per ingrandirle

Il lavoro è fatto particolarmente bene e nonostante l’indirizzo ufficiale della pagina sia visibile al 100% e si dovrebbe capire immediatamente che si tratta di truffa, c’è sempre qualche utente che ci casca. Ancora una volta si nota che:

PayPal, quello vero, possiede un certificato Verisign:

A chi appartiene eco-ads?

Ad un’azienda / privato del Massachusetts, Stati Uniti d’America. Il whois riporta:

Registrant:
Charles W. Trainer d/b/a ARTISTIC LICENSE
19 Lafayette Road
Unit #2
Ipswich, Massachusetts 01938
United States

Domain Name: ECO-ADS.COM
Created on: 23-Aug-02
Expires on: 23-Aug-12
Last Updated on: 23-Aug-02

Administrative Contact:
Trainer, Charles
Charles W. Trainer d/b/a ARTISTIC LICENSE
19 Lafayette Road
Unit #2
Ipswich, Massachusetts 01938
United States
(617) 504-0600      Fax -- (978) 356-6228

Technical Contact:
Trainer, Charles
Charles W. Trainer d/b/a ARTISTIC LICENSE
19 Lafayette Road
Unit #2
Ipswich, Massachusetts 01938
United States
(617) 504-0600      Fax -- (978) 356-6228

Domain servers in listed order:
NS1.SPIDERWEBHOST.NET
NS2.SPIDERWEBHOST.NET

Disponibile integralmente all’indirizzo: whois.domaintools.com/eco-ads.com

E la mail?

Apparentemente fatta passare da un indirizzo “italo-tedesco“. Pay.it è infatti hostato in Germania ma “gestito” (?) da un italiano. Mandata dall’indirizzo assistenza@pay.it il quale dominio è assegnato a:

Domain:             pay.it
Status:             ACTIVE
Created:            1999-12-16 00:00:00
Last Update:        2008-06-30 15:53:01
Expire Date:        2009-03-20

Registrant
Name:             Marcin Olczykowski
ContactID:        MO1176-ITNIC

Admin Contact
Name:             Marcin Olczykowski
ContactID:        MO1176-ITNIC

Technical Contacts
Name:             Andrea Fava
ContactID:        AF1392-ITNIC
Organization:     Lilium di Andrea Fava
Address:          Via C. Battisti, 67
Castiglione Olona
21043
VA
IT
Created:          2000-07-14 00:00:00
Last Update:      2007-07-26 08:57:41

Registrar
Organization:     Lilium di Andrea Fava
Name:             LILIUM-MNT

Nameservers
ns1.secure.net
ns2.secure.net

nell’header è possibile trovare le informazioni riguardanti il reale server di partenza:

Received: from smtp3.uk2.net (smtp3.uk2.net [83.170.81.183])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by spunkymail-mx3.g.dreamhost.com (Postfix) with ESMTP id 90C1E8DC93
for <info @extenzilla.org>; Wed, 9 Jul 2008 05:30:33 -0700 (PDT)
Received: from [85.17.177.6] (helo=User)
by smtp3.uk2.net with esmtpa (Exim 4.60)
(envelope-from <assistenza @pay.it>)
id 1KGYoK-0005eY-OB; Wed, 09 Jul 2008 13:30:17 +0100

From: </assistenza><assistenza @pay.it>

X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

il lavoro di offuscamento è davvero notevole e ci sono parecchi salti che fanno perdere le tracce del reale mittente / truffatore. A questo punto non mi resta che pregarvi di fare attenzione e cestinare immediatamente le mail provenienti da quell’indirizzo. Il consiglio ancora una volta è quello di utilizzare un client di posta elettronica ed un browser sicuri e che possano proteggervi realmente durante la navigazione.

Buon lavoro! :)

Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)

L'articolo potrebbe non essere aggiornato

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Condividi l'articolo con i tuoi contatti:
Exit mobile version