Casi di Phishing: Collezione

[GAD]

Ti metto tutta la stringa perche' c'e' qualcosa di interessante sia nei riferimenti che ad una stringa strana "Wimbledon I wish What a painful loss. Eye on Mac "...mbo?
Sembra collegarsi realmente al portale di ebay.com... da ignorante ci cadrei a buco. La cosa piu' lampante e' che e' arrivata ad un mio indirizzo che non ha niente a che fare col mio account ebay... e in piu' l'indirizzo e' sbagliato e viene chiaramente da un generatore automatico di indirizzi che prova tutte le combinazioni alfanumeriche

<html><p><font face="Arial"><A HREF="https://signin.ebay.com/ws/eBayISAPI.dll?SignIn&sid=verify&co_partnerId=2&siteid=0"><map name="gaam"><area coords="0, 0, 646, 569" shape="rect" href="http://218.4.140.130/.../e3b/"></map><img SRC="cid:part1.04040701.03060407@custservice_ref_53@ebay.com" border="0" usemap="#gaam"></A></a></font></p><p><font color="#FFFFF5">Wimbledon I wish What a painful loss. Eye on Mac </font></p></html>

[GAD]

Metto anche l'header se ti e' utile

Return-Path: <custservice_311@ebay.com>
Received: from smtp5.libero.it (193.70.192.55) by ims3c.libero.it (7.2.059.5)
id 42F775BA001863F2 for mio_indirizzo@libero.it; Sat, 13 Aug 2005 00:21:48 +0200
Message-ID: <42F775BA001863F2@ims3c.libero.it> (added by postmaster@libero.it)
Received: from [85.101.104.100] (85.101.104.100) by smtp5.libero.it (7.0.027-DD01)
id 42F2CBCC01C36887; Sat, 13 Aug 2005 00:21:48 +0200
FCC: mailbox://custservice_311@ebay.com/Sent
X-Identity-Key: id1
Date: Sat, 13 Aug 2005 00:24:47 +0100
From: eBay Inc <custservice_311@ebay.com>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: mio_indirizzo@libero.it
Subject: eBay Inc Email - [%To_Email] - Verification
Content-Type: multipart/related;
boundary="------------090105010107030205090004"

sembra risalire a "TurkTelecom"...una telecom turca, ahaha
http://www.ripe.net/whois?form_type=advanced&full_query_string=&searchtext=85.101.104.100&do_search=Search&inverse_attributes=None&ip_search_lvl=Default%28nearest+match%29&alt_database=RIPE&object_type=All

[dany]

altro caso, clonata la homepage di bancoposta

http://www.pc-facile.com/bancoposta_hom ... ti_n35173/

[dany]

Questa volta è toccato a Fineco
http://www.pc-facile.com/anche_fineco_f ... ng_n35582/

Aggiungo anche questa news che può essere utile

Da alcuni giorni è attivo in rete il sito http://www.anti-phishing.it dedicato alla lotta alle truffe on-line.
http://www.pc-facile.com/apre_anti-phis ... ia_n35585/

[dany]

Link corretto

http://www.pc-facile.com/anche_fineco_f ... ng_n35701/

[Heba]

Da ns. news delle 11.00 di oggi
Link: http://www.pc-facile.com/allerta_phishi ... ta_n34765/


Allerta phishing Bancoposta

Il messaggio che arriva sembra provenire da "support@bancopostaonline.poste.it" e tradisce la propria natura truffaldina principalmente per colpa del suo italiano decisamente stravagante:

"Recentemente abbiamo notato uno o più tentativi di entrare al vostro conto di BancoPostaonline da un IP indirizzo differente.

Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi insoliti di accedere a vostro Conto BancoPosta possono essere iniziati da voi.

Tuttavia, visiti prego appena possibile BancoPostaonline per controllare le vostre informazioni di conto:"

Il link proposto è in apparenza questo:

https://bancopostaonline.poste.it/bpol/ ... slogin.asp

ma in realtà nasconde questo indirizzo coreano:

http://www.withwith.or.kr/zboard/icon/formslogin.php

ora arriva da questo indirizzo e-mail Bancoposta@poste.it, mi è arrivata adesso...

[dany]

Esattamente come segnalato da news

http://www.pc-facile.com/altro_caso_phi ... ta_n35969/

altro caso di phishing segnalato in news


http://www.pc-facile.com/non_cedete_cur ... oy_n35860/

[Heba]

scusa, ho avuto dei problemi e sto ancora cercando di recuperare tutto l'arretrato, farò più attenzione la prossima volta...

[dany]

Attenzione, ad un nuovo caso di phishing all Fineco, questa volta l'email utilizza il sito (http://www.fineco.it)

vedi ns news
http://www.pc-facile.com/secondo_attacc ... ni_n36160/

[anto4831]

Ciao a tutti, riguardo al caso banco posta una domanda:
aprendo il link nella mail, esso punta a
http://www.google.mu/url?q=http://www.g ... 1.%25%352U

allora passando per google delle mauritius, Guernsey (che ignoro dove sia!) e google svizzera si passa all'ultimo indirizzo! che cos'è e dove è locato?? ci sono spazi e numeri...(dovrebbe puntare da qualche parte su http://pochta.ru/)

grazie
@nto

[anto4831]

Questo è il risultato dell'url encoding:

Decoded Results: <http://www.google.mu/url?q=http://www.google.gg/url?q=http://www.google.ch/url?q=http://%7% 35cmthc9%2ed%09%61.%52U/>

ma quest'ultimo non è proprio il sito che mi aspettavo, come mai?

@nto

[Garde]

Uno fresco fresco appena arrivato
--------------------------------------------------------------
Banca Intesa/ San Paolo IMI/ Fineco chiede il vostro contributo:
Per i possessori di un conto Banca Intesa o di un conto San Paolo IMI o di un conto Fineco, a seguito di verifiche
di l'indirizzo di posta elettronica nei nostri database clienti, si è reso necessario utilizzo online la conferma dei
Suoi dati. Le chiediamo perciò di confermarci i dati in nostro possesso, accedendo al seguente form protetto:

Per i possessori di un conto Banca Intesa: http://www.bancaintesa.it/6AwVIyTEkkYfR388v7j4o6657bq7

Per i possessori di un conto San Paolo IMI: http://www.sanpaolo.com/e5TEwybGeGZT4AGDg79ds7j7z9k4u

Per i possessori di un conto Fineco: http://www.fineco.it/vZFzn9nUptu1Xc1JN6 ... vo3zs0g3xe
------------------------------------------------------------------------

[disgrazia]

Mi è appena arrivata la stessa e-mail citata da Garde, ma ho come l'impressione che ci sia qualcosa di diverso

B‮na‬ca In‮set‬a/ BancoP‮so‬ta/ San P‮oa‬lo IMI/ Fineco chi‮ede‬ il vostro co‮rtn‬ibuto:
Per i po‮ess‬ssori di un c‮tno‬o, a s‮uge‬ito di verif‮ehci‬ di l'in‮ired‬zzo di po‮ats‬ elettro‮in‬ca nei n‮rtso‬i dat‮ba‬ase cl‮nei‬ti, si e
r‮ose‬ neces‮iras‬o ut‮li‬izzo on‮nil‬e la c‮mrefno‬a dei Suoi dati. Le c‮aideih‬mo percio di con‮mref‬arci i d‮ita‬ in no‮ts‬ro posses‮os‬,
accede‮dn‬o al s‮tneuge‬e form pr‮teto‬to:

Per i possesso‮ir‬ di un c‮no‬to Ban‮ac‬ Intesa: http://www.bancaintesa.it/McpJZZeDV0Wam ... q2vtr2s6a4

Per i possess‮ro‬i di un c‮tno‬o Banco‮tsoP‬a: http://www.poste.it/bancoposta/abraIsvn ... i2ky2a3l43

Per i pos‮rosses‬i di un con‮ot‬ San Pao‮ol‬ IMI: http://www.sanpaolo.com/oe4Dc46aVQT0vq9 ... f05v1ncqmb

Per i possess‮iro‬ di un co‮otn‬ Fin‮oce‬: http://www.fineco.it/DHSPXQkoYzw9GR8dxt ... 2f957ns4sp

Tecniche occulte per evitare il filtraggio anti-spam?
Sarà, però il messaggio viene beccato lo stesso:

X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on server
X-Spam-Level: *******
X-Spam-Status: Yes, score=7.3 required=5.0 tests=ADDRESS_IN_SUBJECT,BAYES_50,
FORGED_OUTLOOK_TAGS,HELO_DYNAMIC_COMCAST,HTML_40_50,HTML_MESSAGE,
HTTP_ESCAPED_HOST,HTTP_EXCESSIVE_ESCAPES,MIME_HTML_MOSTLY,
MPART_ALT_DIFF autolearn=no version=3.0.3
X-Spam-Report:
* 3.7 HELO_DYNAMIC_COMCAST Relay HELO'd using suspicious hostname (Comcast)
* 1.8 ADDRESS_IN_SUBJECT To: address appears in Subject
* 0.5 HTTP_ESCAPED_HOST URI: Uses %-escapes inside a URL's hostname
* 0.2 HTTP_EXCESSIVE_ESCAPES URI: Completely unnecessary %-escapes inside a URL
* 0.0 HTML_40_50 BODY: Message is 40% to 50% HTML
* 1.0 MIME_HTML_MOSTLY BODY: Multipart message mostly text/html MIME
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.0 BAYES_50 BODY: Bayesian spam probability is 40 to 60%
* [score: 0.5018]
* 0.1 MPART_ALT_DIFF BODY: HTML and text parts are different
* 0.1 FORGED_OUTLOOK_TAGS Outlook can't send HTML in this format

[Garde]

Altra versione. Se ci fate caso cambia la "dislessia" in molte parole.

Ba‮cn‬a I‮asetn‬/ Banc‮oPo‬sta/ San Pao‮ol‬ IMI/ F‮ceni‬o chi‮de‬e il v‮so‬tro contributo:
Per i poss‮rosse‬i di un conto, a s‮uge‬ito di verif‮ehci‬ di l'in‮zired‬zo di po‮ts‬a elettron‮ci‬a nei no‮ts‬ri d‮abata‬se cli‮tne‬i, si e
r‮se‬o ne‮ec‬ssario uti‮il‬zzo online la c‮no‬ferma dei Suoi da‮it‬. Le chiedi‮ma‬o p‮oicre‬ di confermar‮ic‬ i da‮it‬ in n‮so‬tro pos‮es‬sso,
ac‮edec‬ndo al se‮ug‬ente f‮ro‬m p‮ottetor‬:

Per i po‮ss‬essori di un c‮tno‬o B‮cna‬a In‮aset‬: http://www.bancaintesa.it/Nd2ppaf8YhRui ... v2g3c6z4v7

Per i p‮irossesso‬ di un co‮otn‬ Ban‮soPoc‬ta: http://www.poste.it/bancoposta/psElLCqX ... 4d2j2m07tz

Per i posses‮ros‬i di un conto San P‮loa‬o IMI: http://www.sanpaolo.com/bUwAYz9PuVngMnh ... 4p8f15zl7s

Per i po‮ossess‬ri di un c‮tno‬o F‮ceni‬o: http://www.fineco.it/G1ydLIGOWYoQ4x4Yht ... j35iw8s7g5

[Garde]

La cosa strane è che volevo inoltrarla al sito Anti phishing ma con il comando "inoltra" la mail creata riporta solo l'intestazione e non il testo della mail

[*~Hayabusa~*]

Mi è appena arrivata, ve la posto.

Codice: Seleziona tutto

X-Account-Key: account3
X-UIDL: 5671
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
Return-Path: <nobody@raonet.com>
Received: from smtp20.libero.it (193.70.192.147) by ims3a.libero.it (7.2.059.5)
        id 4371D57D003592E4 for mioindirizzo@libero.it; Wed, 23 Nov 2005 21:49:45 +0100
Received: from localhost (172.16.1.74) by smtp20.libero.it (7.0.027-DD01)
        id 4369E3B301A90D76 for mioindirizzo@libero.it; Wed, 23 Nov 2005 21:49:45 +0100
Received: from smtp10.libero.it ([172.16.1.115])
 by localhost (asav16.libero.it [193.70.193.3]) (amavisd-new, port 10024)
 with ESMTP id 16896-05-7 for <mioindirizzo@libero.it>;
 Wed, 23 Nov 2005 21:49:45 +0100 (CET)
Received: from raonet.com (unknown [58.72.229.194])
   by smtp10.libero.it (Postfix) with ESMTP id 571307000106
   for <mioindirizzo@libero.it>; Wed, 23 Nov 2005 21:49:43 +0100 (CET)
Received: (from nobody@localhost)
   by raonet.com (8.11.6/8.11.2) id jANKngN00485;
   Thu, 24 Nov 2005 05:49:42 +0900
Date: Thu, 24 Nov 2005 05:49:42 +0900
Message-Id: <200511232049.jANKngN00485@raonet.com>
To: mioindirizzo@libero.it
Subject: (ID 25701) Misure di sicurezza di cliente di BancoPosta
From: <BANC0P0STA@P0STE.IT>
Reply-To: BANC0P0STA@P0STE.IT
X-Scanned: with antispam and antivirus automated system at libero.it
X-Antivirus: AVG for E-mail 7.1.362 [267.13.6/179]
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="=======AVGMAIL-4384D6880731======="

--=======AVGMAIL-4384D6880731=======
Content-Type: text/html
Content-Transfer-Encoding: 8bit

<table>
<tr>
<td>
Caro mioindirizzo@libero.it,<br><br>
Recentemente abbiamo notato uno o più tentativi di entrare al vostro conto di BancoPostaonline da un IP indirizzo differente.<br>
Se recentemente accedeste al vostro conto mentre viaggiavate,
i tentativi insoliti di accedere a vostro Conto BancoPosta  possono essere iniziati da voi. <br>
Tuttavia, visiti prego appena possibile BancoPostaonline per controllare le vostre informazioni di conto:<br><br>
<a href="http://dakdoll.net/board/data/colorp.php">ht<font></font>tps://ba<font></font>ncoposta<font></font>online.pos<font></font>te.i<font></font>t/bp<font></font>ol/banco<font></font>posta/form<font></font>slog<font></font>in.asp</a><br><br>
Ringraziamenti per vostra pazienza.<br>
BancoPosta.<br><br>
----------------------------------------------------------<br><br>
Non risponda prego a questo E-mail. Il E-mail trasmesso a questo indirizzo non può essere risposto a.
</td></tr></table>



--=======AVGMAIL-4384D6880731=======
Content-Type: text/plain; x-avg=cert; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline
Content-Description: "AVG certification"

No virus found in this incoming message.
Checked by AVG Free Edition.
Version: 7.1.362 / Virus Database: 267.13.6/179 - Release Date: 23/11/2005

--=======AVGMAIL-4384D6880731=======--



Io sto mettendo dati a casaccio. Segnalato anche a Netcraft.

[Heba]

mi è arrivato un paio di giorni fa, ve lo riporto, loro li ho già avvisati.

Da: <support@mandrivaonline.com>
Risposta: support@mandrivaonline.com
Inviato: giovedì 1 dicembre 2005 15.15.03
A: mioindirizzo
Oggetto: [MANDRIVA] Your Online service expires in 3 days




Dear mioindirizzo,

your current subscription to the Mandriva Online service will reach
its end in three days (on 2005-12-04).

Past this date, you will not benefit from this service for your host
heba
anymore unless you subscribe anew.

With Mandriva Online, you get:

* perfect system security; it provides automated software updates,
including security patches, bug fixes and errata notices;

* notification of updates for your system; Online can inform you
when new updates are available by an applet available on your desktop;

* automatic scheduled updates; you no longer need to worry
about manually checking and installing your updates.


*** To keep your service activated, renew now! ***
Go to http://store.mandriva.com/product_info. ... ucts_id=74
validate the order, and select your heba host that needs to be
renewed.

Do not forget to enter your Mandriva account email mioindirizzo
to renew your Online service.

Thank you for your interest in our products.

The Mandriva Online team.