Phishing: Aruba e quegli “urgenti problemi di pagamento”

| |

Ciao Gioxx,
un mio amico che gestisce un B&B è stato di recente oggetto di un tentativo di phishing, ben congegnato ad una prima occhiata.
Poiché ci tengo molto a questa persona, gli ho risposto per filo e per segno analizzando tutto il contenuto dell’email-truffa ricevuta per insegnargli come riconoscere altri tentativi in futuro.

Lui mi ha ringraziato molto di quello che ha imparato da me e quindi mi stavo chiedendo se non fosse il caso di pubblicare questa mia email esauriente sul tuo blog, ovviamente se sei interessato.

WWDC2020 AvatarTi ho spesso parlato di Phishing e di come cercare di non cascarci. Posso comprendere che non sia così semplice per coloro che hanno poca confidenza con lo strumento Posta Elettronica e in generale con la tecnologia, eppure continuo fortemente a sostenere che ci siano abbastanza segnali da percepire, catturare, ai quali dare la giusta attenzione prima di fare qualsiasi errore. Qui di seguito l’esperienza di Michele che torna a scrivere su Gioxx’s Wall per raccontarci dell’ennesimo tentativo di truffa telematica che ha come protagonista Aruba, provider molto noto a noi italiani (perché parecchio utilizzato) e che viene spesso utilizzato come possibile cavallo di Troia verso le carte di pagamento di onesti cittadini che si lasciano ingannare.

Un articolo davvero alla portata di tutti, grazie Michele e buona lettura a te che sei approdato su questo articolo.


Carissimo amico fraterno mio,

l’email che hai ricevuta è confezionata abbastanza bene ad una prima occhiata…

A me purtroppo la hai inviata tramite il telefonino e non hai fatto l’inoltro con il PC, altrimenti avrei avuto anche il sorgente del messaggio.

Pur senza avere quello, sono curioso di capire che cosa ti ha insospettito per inviarla proprio a me (forse la data di scadenza dell’abbonamento al tuo hosting che non può essere quella?) e mi presto a farti vedere come comportarti in futuro.

Andiamo con ordine.

Da: “Aruba S.p.a” <aruba2020@conectadosbb.com.br>
Data: 16 giugno 2020 14:35:27 CEST
A: **** <*****@hotmail.it>
Oggetto: Urgente: Problema di pagamento.
Rispondi a: netflixones@your-mail.com

Perché Aruba dovrebbe scriverti da una mail aruba2020@conectadosbb.com.br  e non da un indirizzo tipo amministrazione@aruba.it?
Il .br finale fa parte del Brasile, occhio!
Poi, perché entra in campo un indirizzo come netflixones@your-mail.com? Che cosa c’entra con il sito del tuo Bed&Breakfast? Anche se tu avessi degli abbonamenti con Netflix, mi dici che cosa c’entrano questi abbonamenti con Aruba?

Ovviamente poi mi salta all’occhio la lingua italiana che non è proprio quella masticata da chi ha confezionato questa lettera…

Gentile cliente,

Il tuo dominio è attualmente ospitato da aruba.

Qui mi aspetterei una lettera maiuscola perché è il nome di una società, non un logo. Ma forse sono io troppo tecnico…

Malgrado parecchie richieste da noi,

Palesemente errato: è corretto, semmai, da parte nostra.

affrontiamo sempre il rifiuto con la vostra banca

Semmai, della Vostra banca, così tanto per non violentare l’italiano scritto e l’italiano commerciale…
Prima “tuo dominio” e poi “vostra banca”. L’autore di questa lettera deve decidere se utilizzare la seconda persona singolare o plurale… troppo difficile! A volte mi chiedo perché nella vita non ho scelto di fare il professore, ci sarei stato più tagliato…

quando tenta di addebitare i costi dell’ultimo rinnovamento

Chi tenta di addebitare i costi? La banca? Ma non era Aruba? Dovrebbe essere tentiamo

dei vostri servizi che ammontano a 5,42 eur.

eur? E la “o” finale che fine ha fatto? Ti hanno fatto lo sconto? Brutti pidocchiosi, spediscono una email per avere 5,42 euro e poi risparmiano pure sulle vocali da scrivere?

Vi invitiamo comunque a compilare il modulo di rinnovo dei vostri servizi manualmente seguendo le istruzioni sul link qui sotto:

“Vi invitiamo” ecco che si è deciso, seconda persona plurale. Amen.

Il link è un capolavoro di truffa-fuffa!

Prima di tutto, caro amico mio, se tu utilizzassi quel benedetto Thunderbird personalizzato che ho creato per te ti accorgeresti di questo:

Phishing: Aruba e quegli "urgenti problemi di pagamento" 1

Vedi che cosa accade quando il cursore lo si pone sul pulsante? Thunderbird ti rivela che il pulsante punta al link http://www.habinezagroup.com/arudb.

Già questo mi fa capire al volo:

  • non è un indirizzo https;
  • se faccio una ricerca su habinezagroup.comscopro che vende cose equivoche ma manco ho il tempo di capire che cosa poiché immediatamente reindirizza a https://www.google.com/ (coscienza sporca?);
  • /arudb nella mia infinita ignoranza informatica e nella mia sconfinata diffidenza mi sa tanto di un database creato per i clienti Aruba giusto per accalappiare i gonzi nella loro rete!

Già questo sarebbe sufficiente per farmi allontanare da questi sedicenti creditori, ma essi hanno stuzzicato la mia curiosità e poiché io ho Linux e non Windows e me ne sbatto altamente di virus e simili, quindi ecco che dopo avere posto il cursore sul pulsante io poi faccio clic proprio sul pulsante stesso.

Ecco la pagina web che mi appare.

Phishing: Aruba e quegli "urgenti problemi di pagamento" 2

Meravigliosa!

Andiamo in ordine con i controlli che faccio, numerati come da immagine.

  1. Perché Aruba.it dovrebbe avere un dominio https://aruba-onlineaggiornares.com? L’indirizzo reale in grassetto dei browser seri (…)  aiuta proprio a capire meglio se il link è una tecnica di phishing. E anche se il sito presenta, furbescamente, il lucchetto blu che “si potrebbe associare” ad un sito sicuro, il certificato di Let’s Encrypt fa a pugni con il dominio effettivo.
  2. Il browser che ho utilizzato mi avverte che ha bloccato alcuni contenuti non sicuri. Non perdo neppure tempo a capire quali sono questi contenuti, tanto me lo aspettavo.
  3. Furbescamente, chi ha preparato la trappola ha poi inserito dei link che riportano ai veri siti dei quali ci si vuole camuffare. Tuttavia sono presenti anche dei siti in lingua portoghese… uhm… considerando che Il Brasile è l’unico paese di lingua portoghese nelle Americhe, direi che ormai non dovrebbero esserci più dubbi sulla illecita email.
  4. Ho fatto clic sul link Dove trovo il codice di sicurezza? e mi sono ritrovato su una pagina malmessa di Banca Sella… che guazzabuglio! Il link effettivo è questo https://ecomm.sella.it/pagam/Pagamerr.aspx?aspxerrorpath=/pagam/swiftPayment.aspx#fancybox-cvv e se lo visiti con un browser serio (cioè uno della famiglia Mozilla!) noterai il lucchetto verde (e non blu) e nessuno scudetto che ti avvisa che sono stati bloccati dei contenuti non sicuri.
  5. Ancora più furbescamente, chi ha preparato la trappola ha poi inserito un link che dovrebbe mostrare l’Informativa sulla privacy. Ho spavaldamente fatto clic su di esso e… mi sono ritrovato nella stessa pagina in cui ho fatto clic! Ingenuo imbroglione, studia di più a scuola la prossima volta che rinasci perché l’informatica e la truffa non fanno per te!

Penso che tutto quello che ti ho scritto sia sufficiente a farti comprendere che – come avevi intuito – si tratta di puro e semplice tentativo di abbindolarti.

Se ne è andata quasi un’ora del mio tempo a risponderti, creare screenshot, verificare link e tutto il resto ma sono contento se hai imparato da solo a difenderti la prossima volta contro questi bastardi di truffatori!

Anche se io so già che la prossima volta che ti arriverà qualcosa del genere… tanto chiederai a me se è una lettera vera!

Tutto questo però mi fa venire un’idea: sono talmente bravo a scovare gli errori nelle email truffaldine che potrei mettermi a scrivere io delle email truffaldine insospettabili!

Vabbè, lasciamo perdere… non ne ho voglia, non ho tempo ma soprattutto io sono già ricco di mio. Sì, perché ho conosciuto un amico fraterno come te!

Ti abbraccio.

Michele


 

#StaySafe

Gioxx's Wall

Se hai correzioni o suggerimenti puoi lasciare un commento nell'apposita area qui di seguito o contattarmi privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! Satispay / PayPal / Buy Me A Coffee / Patreon

Condividi l'articolo con i tuoi contatti: