Telefonino.net network
Win Base Win Adv Win XP Vista Windows 7 Registri Software Manuali Humor Hardware Recensioni Blog Download Foto
INDICE NEWS NEWS WEB NEWS SOFTWARE SEGNALA NEWS CERCA NEWS »

A scuola di hacker: smascherare il phishing



adv

[ Violato Siri: in futuro girerà su Android? ] [ Google Music store: iTunes per Android ]
Pubblicato da Redazione il 15/11/2011 alle 18:16

Tra le numerose email di spam che ogni giorno invadono la nostra casella di posta elettronica una delle più comuni è quella relativa alle carte prepagate Postepay di Poste Italiane. Questo tipo di messaggi sono chiaramente truffaldini, cioè si tratta di un vero e proprio caso di phishing. Il loro scopo è quello di riuscire ad ottenere dall’utente, oltre che le credenziali di accesso allo spazio Web di Poste Italiane, i codici identificativi della carta (numero della carta, data di scadenza e codice di sicurezza CVV), in modo da poter rubare l’intero credito in essa contenuto.

Ecco il testo del messaggio:

Oggetto: AVVISO - Nuovo sistema Sicurezza Web Postepay
Gentile cliente

ti ricordiamo che è disponibile il nuovo sistema di Sicurezza Web

per eseguire, con maggiore sicurezza e affidabilità, le
operazioni di ricarica Postepay, ricarica telefonica e pagamento
bollettini effettuate con la tua Postepay sui siti di Poste
Italiane. Per autorizzare le operazioni dispositive potrai
utilizzare una password usa e getta che riceverai via sms al
momento dell’operazione direttamente sul tuo telefono cellulare
associato alla carta.

Vi preghiamo di compilare il modulo aggiunto.


Grazie per la collaborazione.

Come possiamo notare, non sono presenti nel testo grossolani errori di grammatica o sintassi, per cui ad una prima lettura il messaggio potrebbe sembrare autentico. Ad ogni modo, teniamo sempre bene a mente che né le banche né le poste richiedono mai ai propri clienti le credenziali di accesso ai propri servizi o i codici della carta di credito.

All’email, che ha come mittente Sicurezza Web Postepay (poste@postepay.it), è allegato il file Nuovo sistema Sicurezza Web Postepay.html grande 14 KB. Si tratta di un file HTML che, come vedremo più avanti, è stato modificato ad hoc per inviare ad un sito estero i dati della carta Postepay.

Per verificare facilmente che si tratta di un’email truffaldina proveniente da server esteri basta analizzare con il proprio client di posta (con Thunderbird, ad esempio, basta andare nel menu Visualizza/Sorgente del messaggio) il sorgente del messaggio e cercare l’IP compreso tra parentesi quadre in corrispondenza dell’header Received.

L’URL (mail.omskportal.ru) riportato nel campo Received, come possiamo vedere, si riferisce evidentemente ad un server SMTP ospitato da un provider russo. Per quanto riguarda l’IP associato (85.28.4.161) possiamo controllarne la provenienza utilizzando uno dei tanti servizi disponibili in Internet. (ad esempio il sito http://www.domaintools.com). Scopriremo che si tratta di indirizzo IP russo.

Per quanto riguarda l’allegato al messaggio, invece, essendo un file HTML lo possiamo visualizzare direttamente all’interno del client di posta ed evitare quindi di aprirlo.

Quello che è spacciato per un modulo di Poste Italiane, in realtà è una pagina realizzata ad hoc per inviare i dati della propria carta Postepay ad un server estero. Basta infatti aprire il file con un comune editor di testo (ad esempio Blocco Note) per verificare che, una volta inseriti i dati della carta, questi vengono inviati all’IP 61.19.124.164 che (possiamo nuovamente verificarlo utilizzando il servizio DomainTools) è localizzato in Thailandia.

Morale della favola: non dare mai credito a questo tipo di email, anzi meglio cancellarle immediatamente dal proprio computer. In nessun caso, comunque, aprire l’allegato al messaggio (in taluni casi potrebbe trattarsi persino di un virus) e non inserire mai i propri dati personali o della carta Postepay.

 




Segnala su: Ok Notizie Technorati Digg Delicious FriendFeed UpNews Segnalo Yahoo Google News Windows Live Twitter MySpace Facebook
Leggi tutto o commenta
 In evidenza Spia chiunque tramite cavo USB
Commenti:
Format
Quota :
Inviato da Redazione;1650006



Tra le numerose email di spam che ogni giorno invadono la nostra casella di posta elettronica una delle più comuni è quella relativa alle carte prepagate Postepay di Poste Italiane. Questo tipo di messaggi sono chiaramente truffaldini, cioè si tratta di un vero e proprio caso di phishing. Il loro scopo è quello di riuscire ad ottenere dall'utente, oltre che credenziali di accesso allo spazio Web di Poste Italiane, i codici identificativi della carta (numero della carta, data di scadenza e codice di sicurezza CVV), in modo da poter rubare l'intero credito in essa contenuto.

Ecco il testo del messaggio:

Oggetto: AVVISO - Nuovo sistema Sicurezza Web Postepay
Gentile cliente

ti ricordiamo che è disponibile il nuovo sistema di Sicurezza Web
per eseguire, con maggiore sicurezza e affidabilità, le
operazioni di ricarica Postepay, ricarica telefonica e pagamento
bollettini effettuate con la tua Postepay sui siti di Poste
Italiane. Per autorizzare le operazioni dispositive potrai
utilizzare una password usa e getta che riceverai via sms al
momento dell'operazione direttamente sul tuo telefono cellulare
associato alla carta.

Vi preghiamo di compilare il modulo aggiunto.

Grazie per la collaborazione.

Come possiamo notare, non sono presenti nel testo grossolani errori di grammatica o sintassi, per cui ad una prima lettura il messaggio potrebbe sembrare autentico. Ad ogni modo, teniamo sempre bene a mente che né le banche né le poste richiedono mai ai propri clienti le credenziali di accesso ai propri servizi o i codici della carta di credito.

All'email, che ha come mittente Sicurezza Web Postepay (poste@postepay.it), è allegato il file Nuovo sistema Sicurezza Web Postepay.html grande 14 KB. Si tratta di un file HTML che, come vedremo più avanti, è stato modificato ad hoc per inviare ad un sito estero i dati della carta Postepay.

Per verificare facilmente che si tratta di un'email truffaldina proveniente da server esteri basta analizzare con il proprio client di posta (con Thunderbird, ad esempio, basta andare nel menu Visualizza/Sorgente del messaggio) il sorgente del messaggio e cercare l'IP compreso tra parentesi quadre in corrispondenza dell'header Received.


L'URL (mail.omskportal.ru) riportato nel campo Received, come possiamo vedere, si riferisce evidentemente ad un server SMTP ospitato da un provider russo. Per quanto riguarda l'IP associato (85.28.4.161) possiamo controllarne la provenienza utilizzando uno dei tanti servizi disponibili in Internet. (ad esempio il sito http://www.domaintools.com). Scopriremo che si tratta di indirizzo IP russo.


Per quanto riguarda l'allegato al messaggio, invece, essendo un file HTML lo possiamo visualizzare direttamente all'interno del client di posta ed evitare quindi di aprirlo.




Quello che è spacciato per un modulo di Poste Italiane, in realtà è una pagina realizzata ad hoc per inviare i dati della propria carta Postepay ad un server estero. Basta infatti aprire il file con un comune editor di testo (ad esempio Blocco Note) per verificare che, una volta inseriti i dati della carta, questi vengono inviati all'IP 61.19.124.164 che (possiamo nuovamente verificarlo utilizzando il servizio DomainTools) è localizzato in Thailandia.




Morale della favola: non dare mai credito a questo tipo di email, anzi meglio cancellarle immediatamente dal proprio computer. In nessun caso, comunque, aprire l'allegato al messaggio (in taluni casi potrebbe trattarsi persino di un virus) e non inserire mai i propri dati personali o della carta Postepay.


In effetti sono numerose le email che ogni giorno ricevo nella mia casella di posta. Un approfondimento di questo tipo aiuta a capire meglio le trappole che nascondono. Complimenti alla redazione di WT. Speriamo che questa analisi venga fatta anche su altre tipologie di e-mail.
mario628
Dopo aver analizzato l'html, uso il form una dozzina di volte, mettendo dati casuali di utenti inventati, così li ammazzo di spam... quei bas****i!
Geppetto56
A me ne sono arrivate diverse tempo fa, peccato per loro che 1° non ci casco , 2° non ho un conto alla posta
[ Violato Siri: in futuro girerà su Android? ] [ Google Music store: iTunes per Android ]