A scuola di hacker: smascherare il phishing

Redazione · 15-11-2011, 18.16.40

Tra le numerose email di spam che ogni giorno invadono la nostra casella di posta elettronica una delle più comuni è quella relativa alle carte prepagate Postepay di Poste Italiane. Questo tipo di messaggi sono chiaramente truffaldini, cioè si tratta di un vero e proprio caso di phishing. Il loro scopo è quello di riuscire ad ottenere dall'utente, oltre che le credenziali di accesso allo spazio Web di Poste Italiane, i codici identificativi della carta (numero della carta, data di scadenza e codice di sicurezza CVV), in modo da poter rubare l'intero credito in essa contenuto.

Ecco il testo del messaggio:

Oggetto: AVVISO - Nuovo sistema Sicurezza Web Postepay
Gentile cliente

ti ricordiamo che è disponibile il nuovo sistema di Sicurezza Web
per eseguire, con maggiore sicurezza e affidabilità, le
operazioni di ricarica Postepay, ricarica telefonica e pagamento
bollettini effettuate con la tua Postepay sui siti di Poste
Italiane. Per autorizzare le operazioni dispositive potrai
utilizzare una password usa e getta che riceverai via sms al
momento dell'operazione direttamente sul tuo telefono cellulare
associato alla carta.

Vi preghiamo di compilare il modulo aggiunto.

Grazie per la collaborazione.

Come possiamo notare, non sono presenti nel testo grossolani errori di grammatica o sintassi, per cui ad una prima lettura il messaggio potrebbe sembrare autentico. Ad ogni modo, teniamo sempre bene a mente che né le banche né le poste richiedono mai ai propri clienti le credenziali di accesso ai propri servizi o i codici della carta di credito.

All'email, che ha come mittente Sicurezza Web Postepay (poste@postepay.it), è allegato il file Nuovo sistema Sicurezza Web Postepay.html grande 14 KB. Si tratta di un file HTML che, come vedremo più avanti, è stato modificato ad hoc per inviare ad un sito estero i dati della carta Postepay.

Per verificare facilmente che si tratta di un'email truffaldina proveniente da server esteri basta analizzare con il proprio client di posta (con Thunderbird, ad esempio, basta andare nel menu Visualizza/Sorgente del messaggio) il sorgente del messaggio e cercare l'IP compreso tra parentesi quadre in corrispondenza dell'header Received.

L'URL (mail.omskportal.ru) riportato nel campo Received, come possiamo vedere, si riferisce evidentemente ad un server SMTP ospitato da un provider russo. Per quanto riguarda l'IP associato (85.28.4.161) possiamo controllarne la provenienza utilizzando uno dei tanti servizi disponibili in Internet. (ad esempio il sito http://www.domaintools.com). Scopriremo che si tratta di indirizzo IP russo.

Per quanto riguarda l'allegato al messaggio, invece, essendo un file HTML lo possiamo visualizzare direttamente all'interno del client di posta ed evitare quindi di aprirlo.

Quello che è spacciato per un modulo di Poste Italiane, in realtà è una pagina realizzata ad hoc per inviare i dati della propria carta Postepay ad un server estero. Basta infatti aprire il file con un comune editor di testo (ad esempio Blocco Note) per verificare che, una volta inseriti i dati della carta, questi vengono inviati all'IP 61.19.124.164 che (possiamo nuovamente verificarlo utilizzando il servizio DomainTools) è localizzato in Thailandia.

Morale della favola: non dare mai credito a questo tipo di email, anzi meglio cancellarle immediatamente dal proprio computer. In nessun caso, comunque, aprire l'allegato al messaggio (in taluni casi potrebbe trattarsi persino di un virus) e non inserire mai i propri dati personali o della carta Postepay.

Format · 15-11-2011, 18.48.17

Quota:

Inviato da Redazione

Tra le numerose email di spam che ogni giorno invadono la nostra casella di posta elettronica una delle più comuni è quella relativa alle carte prepagate Postepay di Poste Italiane. Questo tipo di messaggi sono chiaramente truffaldini, cioè si tratta di un vero e proprio caso di phishing. Il loro scopo è quello di riuscire ad ottenere dall'utente, oltre che credenziali di accesso allo spazio Web di Poste Italiane, i codici identificativi della carta (numero della carta, data di scadenza e codice di sicurezza CVV), in modo da poter rubare l'intero credito in essa contenuto.

Ecco il testo del messaggio:

Oggetto: AVVISO - Nuovo sistema Sicurezza Web Postepay
Gentile cliente

ti ricordiamo che è disponibile il nuovo sistema di Sicurezza Web
per eseguire, con maggiore sicurezza e affidabilità, le
operazioni di ricarica Postepay, ricarica telefonica e pagamento
bollettini effettuate con la tua Postepay sui siti di Poste
Italiane. Per autorizzare le operazioni dispositive potrai
utilizzare una password usa e getta che riceverai via sms al
momento dell'operazione direttamente sul tuo telefono cellulare
associato alla carta.

Vi preghiamo di compilare il modulo aggiunto.

Grazie per la collaborazione.

Come possiamo notare, non sono presenti nel testo grossolani errori di grammatica o sintassi, per cui ad una prima lettura il messaggio potrebbe sembrare autentico. Ad ogni modo, teniamo sempre bene a mente che né le banche né le poste richiedono mai ai propri clienti le credenziali di accesso ai propri servizi o i codici della carta di credito.

All'email, che ha come mittente Sicurezza Web Postepay (poste@postepay.it), è allegato il file Nuovo sistema Sicurezza Web Postepay.html grande 14 KB. Si tratta di un file HTML che, come vedremo più avanti, è stato modificato ad hoc per inviare ad un sito estero i dati della carta Postepay.

Per verificare facilmente che si tratta di un'email truffaldina proveniente da server esteri basta analizzare con il proprio client di posta (con Thunderbird, ad esempio, basta andare nel menu Visualizza/Sorgente del messaggio) il sorgente del messaggio e cercare l'IP compreso tra parentesi quadre in corrispondenza dell'header Received.

L'URL (mail.omskportal.ru) riportato nel campo Received, come possiamo vedere, si riferisce evidentemente ad un server SMTP ospitato da un provider russo. Per quanto riguarda l'IP associato (85.28.4.161) possiamo controllarne la provenienza utilizzando uno dei tanti servizi disponibili in Internet. (ad esempio il sito http://www.domaintools.com). Scopriremo che si tratta di indirizzo IP russo.

Per quanto riguarda l'allegato al messaggio, invece, essendo un file HTML lo possiamo visualizzare direttamente all'interno del client di posta ed evitare quindi di aprirlo.

Quello che è spacciato per un modulo di Poste Italiane, in realtà è una pagina realizzata ad hoc per inviare i dati della propria carta Postepay ad un server estero. Basta infatti aprire il file con un comune editor di testo (ad esempio Blocco Note) per verificare che, una volta inseriti i dati della carta, questi vengono inviati all'IP 61.19.124.164 che (possiamo nuovamente verificarlo utilizzando il servizio DomainTools) è localizzato in Thailandia.

Morale della favola: non dare mai credito a questo tipo di email, anzi meglio cancellarle immediatamente dal proprio computer. In nessun caso, comunque, aprire l'allegato al messaggio (in taluni casi potrebbe trattarsi persino di un virus) e non inserire mai i propri dati personali o della carta Postepay.

In effetti sono numerose le email che ogni giorno ricevo nella mia casella di posta. Un approfondimento di questo tipo aiuta a capire meglio le trappole che nascondono. Complimenti alla redazione di WT. Speriamo che questa analisi venga fatta anche su altre tipologie di e-mail.

mario628 · 19-11-2011, 07.06.05

Dopo aver analizzato l'html, uso il form una dozzina di volte, mettendo dati casuali di utenti inventati, così li ammazzo di spam... quei bas****i!

Geppetto56 · 19-11-2011, 08.07.36

A me ne sono arrivate diverse tempo fa, peccato per loro che 1° non ci casco

, 2° non ho un conto alla posta

15-11-2011, 18.16.40	#1
Redazione WebMaster Registrato: 18-09-2008 Messaggi: 5.899	A scuola di hacker: smascherare il phishing Tra le numerose email di spam che ogni giorno invadono la nostra casella di posta elettronica una delle più comuni è quella relativa alle carte prepagate Postepay di Poste Italiane. Questo tipo di messaggi sono chiaramente truffaldini, cioè si tratta di un vero e proprio caso di phishing. Il loro scopo è quello di riuscire ad ottenere dall'utente, oltre che le credenziali di accesso allo spazio Web di Poste Italiane, i codici identificativi della carta (numero della carta, data di scadenza e codice di sicurezza CVV), in modo da poter rubare l'intero credito in essa contenuto. Ecco il testo del messaggio: Oggetto: AVVISO - Nuovo sistema Sicurezza Web Postepay Gentile cliente ti ricordiamo che è disponibile il nuovo sistema di Sicurezza Web per eseguire, con maggiore sicurezza e affidabilità, le operazioni di ricarica Postepay, ricarica telefonica e pagamento bollettini effettuate con la tua Postepay sui siti di Poste Italiane. Per autorizzare le operazioni dispositive potrai utilizzare una password usa e getta che riceverai via sms al momento dell'operazione direttamente sul tuo telefono cellulare associato alla carta. Vi preghiamo di compilare il modulo aggiunto. Grazie per la collaborazione. Come possiamo notare, non sono presenti nel testo grossolani errori di grammatica o sintassi, per cui ad una prima lettura il messaggio potrebbe sembrare autentico. Ad ogni modo, teniamo sempre bene a mente che né le banche né le poste richiedono mai ai propri clienti le credenziali di accesso ai propri servizi o i codici della carta di credito. All'email, che ha come mittente Sicurezza Web Postepay (poste@postepay.it), è allegato il file Nuovo sistema Sicurezza Web Postepay.html grande 14 KB. Si tratta di un file HTML che, come vedremo più avanti, è stato modificato ad hoc per inviare ad un sito estero i dati della carta Postepay. Per verificare facilmente che si tratta di un'email truffaldina proveniente da server esteri basta analizzare con il proprio client di posta (con Thunderbird, ad esempio, basta andare nel menu Visualizza/Sorgente del messaggio) il sorgente del messaggio e cercare l'IP compreso tra parentesi quadre in corrispondenza dell'header Received. L'URL (mail.omskportal.ru) riportato nel campo Received, come possiamo vedere, si riferisce evidentemente ad un server SMTP ospitato da un provider russo. Per quanto riguarda l'IP associato (85.28.4.161) possiamo controllarne la provenienza utilizzando uno dei tanti servizi disponibili in Internet. (ad esempio il sito http://www.domaintools.com). Scopriremo che si tratta di indirizzo IP russo. Per quanto riguarda l'allegato al messaggio, invece, essendo un file HTML lo possiamo visualizzare direttamente all'interno del client di posta ed evitare quindi di aprirlo. Quello che è spacciato per un modulo di Poste Italiane, in realtà è una pagina realizzata ad hoc per inviare i dati della propria carta Postepay ad un server estero. Basta infatti aprire il file con un comune editor di testo (ad esempio Blocco Note) per verificare che, una volta inseriti i dati della carta, questi vengono inviati all'IP 61.19.124.164 che (possiamo nuovamente verificarlo utilizzando il servizio DomainTools) è localizzato in Thailandia. Morale della favola: non dare mai credito a questo tipo di email, anzi meglio cancellarle immediatamente dal proprio computer. In nessun caso, comunque, aprire l'allegato al messaggio (in taluni casi potrebbe trattarsi persino di un virus) e non inserire mai i propri dati personali o della carta Postepay. Ultima modifica di Supertech : 15-11-2011 alle ore 18.24.23

19-11-2011, 07.06.05	#3
mario628 Newbie Registrato: 19-11-2011 Messaggi: 1	li ammazzo di spam Dopo aver analizzato l'html, uso il form una dozzina di volte, mettendo dati casuali di utenti inventati, così li ammazzo di spam... quei bas****i!

19-11-2011, 08.07.36	#4
Geppetto56 Gold Member Registrato: 03-03-2002 Loc.: Rapallo Messaggi: 2.122	A me ne sono arrivate diverse tempo fa, peccato per loro che 1° non ci casco , 2° non ho un conto alla posta ___________________________________ Sbagliare è umano ma se volete vedere del casino datemi un computer By Topov con adattamento

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail