lunedì 30 aprile 2012

Poste spam: Telegramma 953, Ticket N. 747987

Ecco una new entry nel panorama dello spam, sfuggita addirittura ai severissimi filtri antispam di google.
Ecco come si presenta la mail inviata da Sportello_Online.777@postecom.it


Il tentativo di phising è sinceramente ben fatto ed ecco il contenuto:

<<
Buongiorno,

Come misura di sicurezza, controlliamo regolarmente le attivita' sul portale web di Bancoposta online. Recentemente si e verificato un problema relativo al tuo conto.

Abbiamo rilevato attivita sospette in relazione alla ricezione o al prelievo di fondi.

Numero di riferimento: BPOL-786-704-241 .
Abbiamo cosi' deciso di limitare temporaneamente l'accesso al tuo conto come misura cautelare. Una volta che ci avrai inoltrato le informazioni richieste, la limitazione verra sottoposta a riesame da parte del nostro pool antifrode.
Per rispondere e rimuovere la limitazione, visita il Centro risoluzioni Poste Italiane servizi al Cliente.
Per ottenere chiarimenti relativi alla limitazione, vai all'apposita sezione dedicata e clicca su Contattaci.

Grazie per la cortese collaborazione.

Assistenza clienti Banco Posta online
 >>

La frase in corsivo conteneva in realtà il link fraudolento che punta a:  spaziopostepay.sytes.net, sito fittizio creato apositamente per questo trucco.

Anche il destinatario della mail è molto indicavo, essendo infatti musawir@gmail.com

Analizzando invece il mittente possiamo scoprire che il dominio postecom.it è effettivamente un dominio valido, ma non la casella mail Sportello_Online.777. L'header ci fornisce qualche dettaglio in più sul reale artefice della mail:

Received: from sniper.sunchon.ac.kr (sniper.sunchon.ac.kr. [202.30.44.xxx])
        by mx.google.com with ESMTP id tx10si899927pbc.210.2012.04.25.19.26.53;
        Wed, 25 Apr 2012 19:26:54 -0700 (PDT)
Received-SPF: fail (google.com: domain of Sportello_Online.777@postecom.it does not designate 202.30.44.xx as permitted sender) client-ip=202.30.44.xxx;
Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of Sportello_Online.777@postecom.it does not designate 202.30.44.xxx as permitted sender) smtp.mail=Sportello_Online.777@postecom.it; dkim=neutral (bad format) header.i=Sportello_Online.777@postecom.it
Received: from unknown (HELO postecom.it) (linda@173.192.19.xxx)

Di notevole fattura, invece, è il sito di appoggio per la truffa (spaziopostepay.sytes.net) che si presenta in questo modo:


Ad utente poco esperto o disattento potrebbe anche sembrare veramente un dominio appartenente alle poste, invece ecco chiare ed evidenti le prove della truffa:

  1. la connessione è su normale protocollo http, non protetta quindi.  Mai verranno richieste credenziali di accesso su una connessione non https
  2. il vero indizzo è: http://www.youdemo.com/phpsessions/postepay/processo_verifica.php, che è chiaramente un dominio non appartenente alle poste.
Alla luce di questa nuova segnalazione, come sempre, occhio a quello che fate!!