MILANO – Non dovrebbe mai accadere in occasioni simili.

Eppure accade (ed è purtroppo già accaduto): c’è chi in Rete approfitta dell’emozione suscitata dalla tragedia giapponese per rubare soldi agli utenti.

Lo fa realizzando al volo un sito che finge un a raccolta di fondi: si tratta in realtà di una manovra di phishing indirizzata a sfruttare la generosità altrui e nel modo peggiore.

Non solo non si inviano i versamenti a chi ne ha bisogno, non soltanto si intascano quei soldi.

Ma spesso si intaccano le barriere di sicurezza sulle identità elettroniche e bancarie (carte di credito in particolare) degli utenti, lasciando aperta la porta a ulteriori truffe.

Le rilevazioni di società specializzate in sistemi anti virus e anti phishing permettono a volte di allertare gli utenti.

Lo fa in questo caso Trend Micro: ha rilevato un sito di phishing che si spaccia per un sito di donazioni con l’obiettivo di raccogliere fondi destinati alle vittime del recente terremoto in Giappone.

Il sito si chiama japan.com ed è creato utilizzando un sistema open-source di social networking Jcow 4.2.1.

E’ ospitato su un indirizzo che si trova negli Stati Uniti.

I criminali informatici responsabili di questo attacco hanno anche sfruttato la funzione blog del sito web, inserendo post che assomigliano a pubblicità, forse con l’intenzione di migliorare la posizione del sito nelle ricerche online dei motori di ricerca.

Se vedete queste schermate non cascateci, chiudete subito la pagina web e soprattutto passate parola.

Fonte: Corriere della Sera

Da un pò di tempo a questa parte il phishing si rivolge anche agli utenti dei portali di servizio della telefonia fissa e mobile come nella e-mail che vediamo nell’esempio.

Questa mail fraudolenta, peraltro scritta in italiano corretto, ha lo scopo di carpire le credenziali di accesso al “portale servizi” dei clienti Wind.

Il vero link che si nasconde dietro alla scritta “accedi al servizio online Wind.it” è:

http://***www.prom.***webgerardi.com/

che è già segnalato come sito pericoloso dai principali sistemi antiphishing.

Dietro il link si nasconde l’indirizzo: http://***arch.skku.edu***/bbs/data/paypal.it/index.htm

Attenzione a non farsi ingannare dal fatto che nell’url compare paypal.it ! Ciò potrebbe far ritenere che si tratta del sito di paypal Italia.

E’ comunque un indirizzo fasullo perchè il dominio deve trovarsi all’inizio dell’indirizzo internet, immediatamente dopo http:// e non nel mezzo come in questo caso.

Questa email è phishing

La e-mail incriminata, a differenza di tante altre, non invita a collegarsi al solito link fasullo della banca, ma contiene al suo interno un modulo da compilare con i seguenti campi:

• Codice Utente
• Password (*)
• Pin (*)
• Password Diapositiva (*)

Una volta inseriti i dati all’interno del modulo, cliccando su Accedi si viene reindirizzati sul sito http://**www.erojandi.ru**/login.php che catturerà le informazioni che avete digitato consentendo ai criminali di entrare nei vostri conti correnti online.

Abbiamo già mostrato un esempio di e-mail con allegato ma erano sempre indirizzate ai clienti di un unico istituto di credito, mentre in questo caso, come si può facilmente intuire, la platea delle potenziali “vittime” del phishing si allarga a dismisura.

In più i phisher, molto furbescamente, hanno inserito all’interno della e-mail un vero link al sito Cedacri, dove viene mostrato proprio l’elenco delle banche clienti della società di servizi.

L’elenco è molto lungo e comprende oltre un centinaio tra banche e casse di risparmio locali e nazionali.

L’introduzione di questo link, che a prima vista può sembrare ridondante rispetto alla e-mail, nasconde in realtà un duplice scopo:

- instillare nella vittima l’idea che si tratti di una e-mail genuina (il link è autentico ed i sistemi antiphishing non possono bloccarlo)
- far conoscere la società Cedacri.it in modo che per chi legge l’e-mail non appaia strano il fatto questa società stia  svolgendo un servizio per le banche.

Infine, la solita frase minacciosa (“se ciò non dovesse avvenire saremo costretti a sospendere il suo account“), accompagnata dai “cordiali saluti“.

Questa e-mail è phishing

Proviamo a immaginare quali possono essere i pensieri di chi riceve una e-mail del genere e non conosce il phishing.

“Si parla di uno storno, c’è un numero di conto e mi indicano anche un importo,  ma me lo avranno addebitato oppure è un accredito? E se avessero fatto un errore? Bah? Quasi quasi mi collego per controllare..tanto si fa presto…”.

Ed ecco che si resta gabbati con il solito sistema del phishing!

Questa e-mail è phishing

Inoltre, l’indirizzo che si nasconde dietro i link  (http://titolaricarte.myftp.org…) è costruito bene in quanto da una prima occhiata potrebbe far credere davvero che si tratti di un sito di Carta-SI.

Comunque resta sempre valido il prinicipio per il quale nessuna banca, nessun istituto di credito, nessuna società finanziaria invia comunicazioni via e-mail ai propri clienti chiedendo di collegarsi a qualsivoglia sito.

Non sappiamo quale sia la percentuale di utenti che ‘abboccano’ ancora a queste e-mail ma una cosa è certa:  se continuano ad arrivare significa che qualche effetto ce l’hanno ancora.

O no?

Filed under: banche, phishing Tagged: carta si, phishing ]]> http://truffeinrete.wordpress.com/2010/09/20/riaddebito-cartasi-un-phishing-semplice-ma-pericoloso/feed/ 0 truffeinrete09 Riaddebito-cartasi http://truffeinrete.wordpress.com/2010/08/26/attacchi-phishing-ai-clienti-app-store/ http://truffeinrete.wordpress.com/2010/08/26/attacchi-phishing-ai-clienti-app-store/#comments Thu, 26 Aug 2010 08:24:52 +0000 truffeinrete09 http://truffeinrete.wordpress.com/?p=383 ]]> Nuova ondata di preoccupazione per furti su carte di credito registrate su App Store. Voci di hack agli account del negozio on line, ma è praticamente certo che sia l’opera di pirati informatici che hanno lanciato un attacco phishing attraverso falsi messaggi mail e siti Internet mascherati.

Si torna a parlare di hack e truffe per i clienti di App Store ma questa volta appare più chiaro di quando non fosse nella scorsa occasione che il problema non sta sul versante di Apple ma dei clienti, vittime di attacchi di phishing.

I primi segnali di una nuova ondata di illeciti addebiti, è emersa da San Josè Mercury News dalle cui pagine un giornalista solleva la questione usando la lettera di una lettrice e poi confermando di essere stato esso stesso vittima di un furto praticato mediante molteplici acquisti di applicazioni e musica. Altri siti in scia hanno poi fatto sentire la voce di clienti che avrebbero subito lo stesso trattamento con ricarichi anche di migliaia di dollari sulle loro carte di credito.

Nonostante i primi sospetti si siano rivolti a qualche forma di compromissione degli account direttamente su App Store, quindi con responsabilità diretta di Apple, al momento l’ipotesi più accreditata è che si tratti di un caso di truffa con clienti che hanno inavvertitamente rivelato dettagli dei loro account a furbastri che glieli hanno sottratti con l’inganno, usando siti mascherati e messaggi email ingannatori. A confermare che non ci sono buchi nella sicurezza di iTunes è un articolo apparso su All Things Digital dal quale si apprende che i sistemi di sicurezza dello store non sono stati compromessi e che non ci sono aumenti di furti di denaro dalle carte di credito registrate sul negozio on line.

continua su http://www.macitynet.it/macity/articolo/Attacchi-phishing-ai-clienti-App-Store/aA45600

Borchia ISDN (www.sadero.it)

Nell’era di SKYPE, del VOIP (telefonia su internet), e delle moderne tecnologie informatiche, Telecom Italia sta proponendo ad alcuni clienti la “riconversione” dei numeri VOIP alla tecnologia ISDN, vecchia di oltre 20 anni!.
Ma cosa sta accadendo realmente?
Negli anni precedenti Telecom Italia, per contrastare la concorrenza sempre più agguerrita, ha promosso e diffuso soluzioni telefoniche  di tipo flat come ad esempio “Alice tutto incluso” e “Alice Business tutto incluso” che prevedono un numero principale su linea analogica ed uno o più numeri VOIP (utilizzabili anche per il Fax o il Pos); sia il numero analogico che i numeri voip sono soggetti a tariffa flat con telefonate nazionali  illimitate e navigazione su internet illimitata previo pagamento di un abbonamento mensile.
Da un pò di tempo a questa parte però diversi clienti stanno ricevendo alcune strane telefonate da parte di vari partners Telecom e/o Call center dove l’operatore, adducendo non meglio precisati difetti di funzionamento delle linee VOIP, propone l’eliminazione del numero VOIP e l’attivazione di un nuovo numero su linea ISDN.
Ancora più assurda è la motivazione con cui cercano di convincere gli interlocutori: sostengono in fatti che, se il VOIP funziona male, le telefonate  che passano dalla linea voip vengono automaticamente dirottate sulla linea principale con costi aggiuntivi!
Niente di più falso! Inoltre si dimenticano che chi ha il VOIP sul numero secondario, al 90% ha anche la linea principale di tipo flat (tipo Alice tutto incluso) e quindi, anche se per assurdo la telefonata venisse dirottata sulla linea principale, non costerebbe nulla di più!

Inoltre non tutti sanno che passando a ISDN il precedente numero voip non può essere mantenuto, cosa che per società ed uffici provoca certamente disagi non indifferenti (bisogna cambiare tutta la carta intestata, i biglietti da visita, comunicare ai clienti la variazione di numero telefonico ecc.).
E infine, come se non bastasse,  l’abbonamento ISDN costa circa il 20% in più rispetto all’altro!!

Ci risulta anche che altri clienti che hanno richiesto il VOIP ex novo si sono visti rifiutare la richiesta con la motivazione: “non c’è più posto alla centrale”.

Per ora si tratta di casi isolati e non siamo a conoscenza della portata dell’azione in atto, ma come si sul dire “a pensare male si fa peccato ma ci si indovina sempre”.
E’ probabile che le infrastrutture esistenti si siano rivelate inadatte a gestire il traffico internet tradizionale assieme a quello VOIP sempre crescente (anche perchè promosso dalla stessa Telecom).
Quindi la domanda che sorge spontanea è la seguente: non sarà che Telecom non è più in grado di supportare le centinaia di migliaia (forse milioni) di utenti VOIP e  sta facendo in modo che  questi “tolgano il disturbo” dalla rete, liberando in tal modo una grossa quantità di banda che verrebbe a rendersi disponibile per altre offerte commerciali più redditizie o più semplicemente per mentenere i livelli di servizio precedenti in vista della ventilata fusione con la spagnola Telefonica?
Oppure, più banalmente, e se fosse un sistema per vendere le “borchie isdn” (vedi foto) rimaste in magazzino e racimolare nel contempo quache euro in più di abbonamento?

Non lo sappiamo e forse non lo sapremo mai, ma se ricevete telefonate di questo tipo, non “abboccate all’amo” e ragionate con la vostra testa; se vi dicono che il VOIP non funziona, il problema è loro e voi avete tutti i diritti di pretendere che venga un tecnico per farlo funzionare, visto che oltrettutto lo pagate caro più che in tutto il resto del mondo.

La differenza rispetto al phishing “tradizionale”, dove bisogna cliccare per andare su un sito fasullo, consiste nel fatto che l’allegato dell’email contiene una pagina web perfettamente funzionante nella quale vi viene richiesto di inserire direttamente utente e password, senza necessità di cliccare su un link, che potrebbe essere intercettato e bloccato dai sistemi di protezione antiphishing.

Inutile dire dove finiranno i dati una volta inseriti….

Nei casi peggiori l’apertura dell’allegato può provocare anche l’esecuzione di un codice malevolo che può installare del malware nel vostro computer.

Ecco il testo di una email di questo tipo:

Da: Phoenix Informatica Bancaria S.p.A
[mailto:assistenza_ib@in-bank-online.net]
Inviato: lunedì 16 novembre 2009 16.01
Oggetto: Comunicazioni dalla Banca dal 16 Novembre 2009
Priorità: Alta

Gentile Cliente,
Un nuovo documento di rendicontazione e a sua disposizione.
Potre consultarlo e salvarlo sul suo PC entro un anno da oggi, visitando
l’area Estratto conto e documentazione dei suoi Servizi via internet.
Per l’assistenza ai Servizi via internet puo contattare il numero verde
800.827.455, gratuito anche da cellulare.
Cordiali saluti.
Servizio Banca di Credito Cooperativo Online
—
Questo e un messaggio automatico.
Per disabilitare il servizio puo utilizzare la funzione Modifica
abilitazioni (Comunicazioni > Estratto conto e documentazione).

Copyright © Banca di Credito Cooperativo S.p.A

L’allegato, una volta aperto, si presenta così:

La pagina web dentro l’allegato è ‘attiva’ nel senso che consente di inserire utente e password (in alto a destra).

L’indirizzo web che si nasconde dietro i campi della pagina è:

http://**pcvirtual.comoj.com**/jsp/Login.jsp.htm#

(gli asterischi per neutralizzare il link)

Quindi, se inserite in queste videate le vostre credenziali di accesso finiranno direttamente in pasto ai phisher!!

Presentiamo qui di seguito uno tentativo di phishing che sfrutta i servizi online della Banca Popoalre di Verona.

Questa e-mail è phishing

***Quest’email e stata creata automaticamente. Non rispondere.***

Gentile cliente,La fattura mensile di BPV – SGSP relativa al periodo dal 23 Settembre 2009 al 21 Ottobre 2009 e disponibile online.
Potete rivedere in qualunque momento i vostri particolari della fattura e condizione di cliente correnti scattando questo collegamento:

Osservare la Fattura

Grazie ancora per aver scelto i servizi on-line di BANCA POPOLARE DI VERONA.

I migliori saluti,
Servizio Clienti BPV

Una e-mail così piena di errori gramamaticali (divertitevi a scoprirli tutti) non è facile vederla e non incoraggia certo alla fiducia, tanto più che vi chiedono un anticipo del 50% da versare ad una (cito testualmente)  “società di transporto fino quando ariva la prodocto. se invece a lei non piace l’auto si fara returo e noi vi ridiamo il depozito cauzionale“.

Inoltre l’eccessivo numero di errori grammaticali (che non abbiamo volutamente evidenziato) lascia intendere che non abbiano usato neanche un traduttore automatico.

La ‘chicca’ finale poi sta nel fatto che questa società ha sede a Bristol ma costoro non sanno neanche come si scrive la parola manager (che è una parola inglese) ed in fatti scrivono “meneger“…

Ognuno tragga le sue conclusioni ma mi raccomando, le auto, le moto e le barche comperatele almeno da chi potete vedere in faccia (ed anche in questo caso sempre all’erta!!)

Ecco il testo della e-mail.

Oggetto: Auto Barche e Moto a sconto di 25%-55%

Da: AUTO.MOTO [mailto:carslogistic@consultant.com]
Inviato: giovedì 1 ottobre 2009 0.00
Oggetto: Auto Barche e Moto a sconto di 25%-55%

salve
questo e il nostro sito web: http://********
La concessionaria AUTOTRADERUSATO ha 5 anni di esperienza nel settore di tutta la europa di vendite di automobili. Vendiamo autovetture usate disposnibili da parte di aziende che sono in fallimento, queste auto  verano controlate prima di vendita da un meccanico e la nostra AUTOTRADERUSATO offrira una garanzia di 6 mesi al cliente.questo e il nostro sito web:  http://********  .

Abbiamo a disposizione le auto,moto e barche di piccola e grande cilindrata per ogni esigenza del cliente. Siamo situati a Bristol Regno Unito  ingliterra rivenditori autorizzati dei auto,moto e barche . in prezzo di auto,moto e barche sono comprese tutte  le spese :
-Nessun incidente.
-Nessuno graffio.
-Kilometri reali.
-Senza problemi meccanici.
-Interiore in ottime condizioni.
-Tutti i documenti necessari sono disponibili.
-Guida SINISTRA ( EUROPEANO MODELO ). per auto -In buono stato di manutenzione.
-Garanzia internazionale disponibile.

Delle scorte di merce:
200 AUTO
32  BARCHE
103 MOTOCICLI
Per poter mandarti il contacto di COMPRA – VENDITA  lei dovra inviare 50%  deposito di pagamento dal valore di auto,moto e barche che rimarrà nella custodia della società di transporto http://******* fino quando ariva la prodocto.se invece a lei non piace l’auto si fara returo e noi vi ridiamo il depozito cauzionale.

Per informazioni:
S.p.a SCONTOMOTORIUSATO
Bristol
Regno Unito
TEL.: 0044-703-188-2536
scontomotoriusato@ymail.com
meneger regionale ITALIA

grazie