• Il phishing che non ti aspetti

    phishing.png

    In questo blog parliamo spesso di phishing, ma quasi sempre sono presentati tentativi piuttosto banali, e facilmente riconoscibili: questa volta voglio raccontare un’esperienza diretta in merito ad una mail, facilmente classificabile come phishing, ma che ha catturato la mia attenzione per vari motivi.

    Qual è la prima cosa che pensate quando leggete un’email con un oggetto che recita qualcosa come: “Chiudi completamente col tuo lavoro, per noi non esiste più la crisi”? Immagino che anche voi sareste pronti a cestinarla immediatamente, ma in questo caso a colpirmi è stato il contenuto, ossia una breve spiegazione in cui mi si invitava a visitare un articolo su Internet, come a testimoniare di non dover credere all’email ma a quello che avrei letto online.

    La prima cosa fuori luogo è il link, che punta ad un noto servizio di redirect, ossia qualcosa come http://ow.ly/xxxxx; inutile dire che si tratta di un inganno, ma per non so bene quale motivo scelgo di proseguire: la pagina che si apre nel browser sembra proprio quella di un noto quotidiano online, un Daily News insomma. L’URL è molto simile a quello del giornale medesimo (a cui ho fatto prontamente sapere del tentativo di phishing nei suoi confronti), e anche il template usato copia quello del sito originale, con tanto di previsioni meteo ufficiali.

    Ad essere diverso, ovviamente, è il corpo dell’articolo, che recita di come una certa mamma californiana riesce, finalmente, a guadagnare 87 dollari ogni ora, stando comodamente seduta al suo PC: a rendere ancora più verosimile (o forse più fiabesca) la faccenda, è la fotocopia di un assegno, che la signora in questione non aveva condiviso con nessuno prima d’ora, con un importo pari a 6.251,20 dollari, guadagnati in un solo mese.

    Assegno esorbitante

    Chiudono l’articolo altre due cose che proprio non ti aspetteresti: la notizia, ben evidenziata, che si tratta di un offerta a tempo determinato, e che guarda caso scade proprio “domani” (indipendentemente dal giorno in cui si visiti la pagina), e una serie di commenti di persone che confermano il funzionamento del nuovo sistema, e che, beati loro, riescono a guadagnare anche 500 dollari al giorno. Peccato che un utente qualsiasi, a causa di problemi del server, non sia in grado di aggiungere nuovi commenti…

    Qui finisce la mia “avventura” nel sito in questione, che per fortuna, ha avuto come unico scopo quello di vedere fino a che punto si possono spingere i phisher: penso sia giusto però sensibilizzare gli utenti della Rete riguardo questi problemi, e un caso reale può aiutare in questa direzione.

    Se vuoi aggiornamenti su Il phishing che non ti aspetti inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. Aska dice:

      Aprendo il link che ti hanno mandato, probabilmente hai fatto sapere a loro che il tuo account email viene letto :)
      In questo modo possono usare il tuo account per spammare o per rivenderlo ^^’

    2. Matteo dice:

      Possibile, anche se lo vedo difficile: dal momento che è stato usato un servizio di URL Shortener non hanno modo di tracciare la provenienza della visita (ad esempio con parametri particolari inseriti nel link). Una possibilità che mi viene in mente è l’utilizzo di un link breve differente per ogni indirizzo email a loro disposizione, ma questo comporterebbe un’infinità di URL brevi, e non la vedo praticamente fattibile.

    3. Ratamusa dice:

      Secondo me ha ragione Aska….
      Hai confermato a quei personaggi che esisti.
      Al resto ci penseranno loro, mi sa…..

    4. Matteo dice:

      Bè, come ho già scritto vedo difficile un tracciamento tramite sistemi di URL Shortener: ben inteso, non che sia impossibile, anzi, spesso offrono anche servizi di statistica, ma indicano unicamente il numero di visite, forse gli IP, e ancora più in forse i dati relativi al browser… in ogni caso se il link non è “personale” credo sia impossibile risalire all’indirizzo di posta che “ha abboccato all’amo”.
      In ogni caso, non mi preoccupo minimamente, già il fatto che la mail sia arrivata nel client di posta è un raro caso, se dovessero mandarne altre mi basta creare un filtro apposito online e via ;)

      Tengo però a sottolineare come, secondo me, è sbagliato intimorire gli utenti sui tentativi di phishing: a differenza di altri possibili attacchi in cui l’utente inesperto può fare molto poco, in questi casi basta una minima accortezza nel non inserire i propri dati o nello scaricare applicazioni sospette!

    5. Matteo dice:

      Dimenticavo: giusto per la cronaca, clicco sempre sui link relativi ai “regali” di Poste Italiane o di altre banche (email che, seppur raramente, arrivano a chiunque). Il motivo? Verificare se il sito è stato già segnalato come contraffatto oppure no, ed in caso negativo provvedo subito a fare la mia buona azione riempendo il modulo di Firefox!

    6. Andrea dice:

      Bhe realmente bisogna analizare anche il codice HTML contenuto nella eMail, magari vi una parte di codice debita a comunicare l’avvenuta lettura della eMail e quindi ad inserire l’indirizzo nelle liste di distribuzione.

      Basta solo anche il link ad una immagine dinamica per confermare l’indirizzo eMail!

      Andrea

    7. Matteo dice:

      Questo è vero, ed è anche molto semplice se il client usato non è aggiornato o non è configurato bene.
      Per fortuna che Thunderbird (ma anche gli altri client più recenti) blocca in automatico le immagini remote, chiedendo il consenso esplicito alla loro visualizzazione.

    8. Aerendir dice:

      Tu sei fortunato perchè l’email ti sei accorto che era phishing.
      Io ho ricevuto per ben due volte in due giorni una email da un’azienda che dice di progettare i sistemi bancari e secondo la quale dovrei confermare non so quali dati.

      La cosa strana è che 1) Il sito dell’azienda è fatto bene, con tanto di clienti, foto degli ammiinstratori, ecc. A me sembra molto vero 2) non c’è alcun parametro di tracciamento. Inoltre sono arrivato al sito riscrivendo l’url. Boh! Se mi bloccano il conto poi ci vado a parlare e glielo spiego come ci si comporta in questi casi: mandare una email è veramente da incompetenti!

    9. Matteo dice:

      fammi capire… hai inserito questi dati (che non ricordi nemmeno) in quel sito fatto molto bene e che ti sembra vero?

    Commenta

    Your email address will not be published. Required fields are marked *