Ecco come si presenta la mail inviata da Sportello_Online.777@postecom.it
Il tentativo di phising è sinceramente ben fatto ed ecco il contenuto:
<<
Buongiorno,
Come misura di sicurezza, controlliamo regolarmente le attivita' sul portale web di Bancoposta online. Recentemente si e verificato un problema relativo al tuo conto.
Abbiamo rilevato attivita sospette in relazione alla ricezione o al prelievo di fondi.
Numero di riferimento: BPOL-786-704-241 .
Abbiamo cosi' deciso di limitare temporaneamente l'accesso al tuo conto come misura cautelare. Una volta che ci avrai inoltrato le informazioni richieste, la limitazione verra sottoposta a riesame da parte del nostro pool antifrode.
Per rispondere e rimuovere la limitazione, visita il Centro risoluzioni Poste Italiane servizi al Cliente.
Per ottenere chiarimenti relativi alla limitazione, vai all'apposita sezione dedicata e clicca su Contattaci.
Grazie per la cortese collaborazione.
Assistenza clienti Banco Posta online
>>
La frase in corsivo conteneva in realtà il link fraudolento che punta a: spaziopostepay.sytes.net, sito fittizio creato apositamente per questo trucco.
Anche il destinatario della mail è molto indicavo, essendo infatti musawir@gmail.com
Analizzando invece il mittente possiamo scoprire che il dominio postecom.it è effettivamente un dominio valido, ma non la casella mail Sportello_Online.777. L'header ci fornisce qualche dettaglio in più sul reale artefice della mail:
Received: from sniper.sunchon.ac.kr (sniper.sunchon.ac.kr. [202.30.44.xxx])
by mx.google.com with ESMTP id tx10si899927pbc.210.2012.04.25.19.26.53;
Wed, 25 Apr 2012 19:26:54 -0700 (PDT)
Received-SPF: fail (google.com: domain of Sportello_Online.777@postecom.it does not designate 202.30.44.xx as permitted sender) client-ip=202.30.44.xxx;
Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of Sportello_Online.777@postecom.it does not designate 202.30.44.xxx as permitted sender) smtp.mail=Sportello_Online.777@postecom.it; dkim=neutral (bad format) header.i=Sportello_Online.777@postecom.it
Received: from unknown (HELO postecom.it) (linda@173.192.19.xxx)
Di notevole fattura, invece, è il sito di appoggio per la truffa (spaziopostepay.sytes.net) che si presenta in questo modo:
Ad utente poco esperto o disattento potrebbe anche sembrare veramente un dominio appartenente alle poste, invece ecco chiare ed evidenti le prove della truffa:
- la connessione è su normale protocollo http, non protetta quindi. Mai verranno richieste credenziali di accesso su una connessione non https
- il vero indizzo è: http://www.youdemo.com/phpsessions/postepay/processo_verifica.php, che è chiaramente un dominio non appartenente alle poste.
