Condividi:        

Casi di Phishing: Collezione

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Casi di Phishing: Collezione

Postdi piercing » 12/07/05 11:37

Vorrei raccogliere col vostro aiuto i migliori casi di Phishing che vi capitino tra le mani, in modo di fare scuola

Per phishing intendo tentativi di furto di dati e/o accessi riservati, con tecniche più o meno fraudolente.

Questa è arrivata per email...

Immagine
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Sponsor
 

Postdi GAD » 13/07/05 23:23

arrivata ora:

In questi ultimi giorni sono state inviate ad alcuni webmasters delle emails strutturate in modo che sembrassero provenire da un fantomatico "Staff di AlterVista" e che invitavano a consegnare il proprio id e la propria password minacciando la cancellazione del proprio account in caso di inadempienza. Si tratta ovviamente di emails fasulle.

Questa tecnica, nota come "phishing" (che rimanda all'inglese "fishing", pesca con l'amo) viene sistematicamente messa in pratica al fine di sottrarre con l'inganno informazioni sensibili al bersaglio, e quindi impadronirsi delle sue password che in questo caso rappresentano un mezzo per accedere al suo sito web. Un ottimo articolo che tratta di questo problema, purtroppo in crescita, si può trovare qui: http://sicurezza.html.it/articoli.asp?I ... rticoli=25

Chiunque ricevesse emails del genere è quindi pregato di NON REPLICARE e inoltrarne una copia integrale e completa delle intestazioni all'Abuse, in modo che questi tentativi di frode siano segnalati prontamente alle autorità competenti.


A presto e grazie per la tua attenzione

-AlterVista-
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi zello » 14/07/05 22:38

Su quella di unicredit c'è una discussione su it.news.net-abuse interessante ed esplicativa del fenomeno (leggere - come al solito - soprattutto gli interventi di Furio Ercolessi).
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi toni84 » 17/07/05 23:53

se posso aggiungo un e-mail appena arrivata :lol: :lol: naturalemente non ho il conto paypal :lol: :lol: :lol: ciao ciao

Panda Titanium Antivirus 2005 ha rilevato che questo messaggio di posta elettronica possa essere ingannevole.

Si consiglia di prendere le dovute precauzioni, poiché i messaggi di posta elettronica ingannevoli possono ricondurre a un tentativo di frode.
---------------------------------------------------------------------------------------------------


Dear valued PayPal® member:



It has come to our attention that your PayPal® account information needs to be
updated as part of our continuing commitment to protect your account and to
reduce the instance of fraud on our website. If you could please take 5-10 minutes
out of your online experience and update your personal records you will not run into
any future problems with the online service.


However, failure to update your records will result in account suspension.
Please update your records on or before July 31, 2005.

Once you have updated your account records, your PayPal® session will not be
interrupted and will continue as normal.

To update your PayPal® records click on the following link:
http://www.paypal.com/cgi-bin/webscr?cmd=_login-run



Thank You.
PayPal® UPDATE TEAM

Accounts Management As outlined in our User Agreement, PayPal® will
periodically send you information about site changes and enhancements.

Visit our Privacy Policy and User Agreement if you have any questions.
http://www.paypal.com/cgi-bin/webscr?cm ... cy-outside





---------------------------------------------------------------------------------------------------
Panda Titanium Antivirus 2005 ha rilevato che questo messaggio di posta elettronica possa essere ingannevole.

Si consiglia di prendere le dovute precauzioni, poiché i messaggi di posta elettronica ingannevoli possono ricondurre a un tentativo di frode.
toni84
Utente Senior
 
Post: 218
Iscritto il: 06/06/05 23:54

Postdi dany » 29/07/05 11:34

Dalla nostra news delle 12.30

http://www.pc-facile.com/nuova_truffa_d ... ay_n34479/


Nuova truffa ai danni degli utenti eBay

Una mail proveniente in apparenza dal servizio clienti eBay è in realtà una truffa ben confezionata per rubare le credenziali di accesso al portale. Ecco i dettagli.

Sta circolando in queste ore una e-mail trappola davvero ben confezionata, proveniente in apparenza dal customer department del colosso eBay.

Si tratta in realtà di una truffa magistrale, che fa uso di una grafica ad hoc ed alcuni trucchetti per tentare di trarre in inganno l'utente.

Il testo della mail




In poche parole si invita l'utente a cliccare sul link proposto per accedere ad eBay, ed aggiornare il proprio profilo, pena la chiusura dell'account.

Sebbene il link si mostri come un innocuo http://signin.ebay.com/, cioè la vera pagina di accesso ad eBay, una volta cliccato l'indirizzo porta invece ad un sito truffa, http://219.235.127.250/.signin.ebay.com ... /index.php che richiede, con una grafica davvero simile a quella originale, di inserire username e password del proprio account: le informazioni inserite vengono registrate dal truffatore, che potrà così avere accesso al conto eBay, e con esso, in molte occasioni, a PayPal, il sistema di per scambiare denaro on-line.

Come riconoscere la truffa
In prima battuta, il messaggio è in inglese: la maggior parte degli utenti italiani si registra sul portale passando per eBay.it, e da qui provengono solo messaggi in italiano.

In secondo luogo il sito fasullo fa uso del protocollo http tradizionale, non della versione sicura (https) utilizzata da eBay.

Inoltre la grafica è copiata molto bene, ma non in modo impeccabile: paragonando a colpo d'occhio il sito originale e quello fasullo si possono notare alcune differenze (ad esempio, eBay non supporta più Passport)

Dando un'occhiata alla barra degli indirizzi del browser inoltre, si nota chiaramente che questi non recita eBay.com, ma un sospetto indirizzo IP.

In caso siate stati truffati
In caso abbiate abboccato, contattate immediatamente la vostra banca per bloccare la carta di credito, e prendete contatto con il centro assistenza di eBay per segnalare la cosa.



http://www.megalab.it/news.php?id=769
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi dany » 08/08/05 10:13

Da ns. news delle 11.00 di oggi
Link: http://www.pc-facile.com/allerta_phishi ... ta_n34765/


Allerta phishing Bancoposta

Il messaggio che arriva sembra provenire da "support@bancopostaonline.poste.it" e tradisce la propria natura truffaldina principalmente per colpa del suo italiano decisamente stravagante:

"Recentemente abbiamo notato uno o più tentativi di entrare al vostro conto di BancoPostaonline da un IP indirizzo differente.

Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi insoliti di accedere a vostro Conto BancoPosta possono essere iniziati da voi.

Tuttavia, visiti prego appena possibile BancoPostaonline per controllare le vostre informazioni di conto:"

Il link proposto è in apparenza questo:

https://bancopostaonline.poste.it/bpol/ ... slogin.asp

ma in realtà nasconde questo indirizzo coreano:

http://www.withwith.or.kr/zboard/icon/formslogin.php
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi *~Hayabusa~* » 15/08/05 02:21

E' arrivato anche a me qualcosina:
sicurezza_carim@cassarmini.com ha scritto:Caro Cliente,

Ci interessiamo molto per la sicurezza dei nostri clienti, perche costantemente elaboriamo nuovi dati e protezioni.
Di recente le prove non autorizzate per prelevare i soldi dal conto bancario diventano regolari.

Studiamo ogni operazione con scrupolosita ed elaboriamo criteri utili per trovare operazione sospette.
In questo momento sviluppiamo un sistema di sicurezza per l'accesso elettronico del conto bancario, pronto per l'adempimento.

Il sistema Segue il a.m. criterio e in certi condizioni chiede la domanda segreta in oltre il conto corrente e l'operazione
corrente si bloccano finchÈ non si accertano i particolari di pagamento.

La invitiamo a riempire la forma supplementare di autorizzazione, necessario per l'attivazione del sistema.

http://online-cassarimini.net

Attendiamo la vostra comprensione.
Speriamo, che valuterete il nostro sistema della protezione dei dati di nuovo livello.
Ringraziamenti per la collaborazione



Codice: Seleziona tutto
From - Sat Aug 13 15:56:18 2005
X-Account-Key: account3
X-UIDL: 5205
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <sicurezza_carim@cassarmini.com>
Received: from smtp6.libero.it (193.70.192.59) by ims3a.libero.it (7.2.059.5)
        id 42F2C84B0029D10E for mioindirizzo@libero.it; Sat, 13 Aug 2005 13:48:05 +0200
Received: from [61.206.77.54] (61.206.77.54) by smtp6.libero.it (7.0.027-DD01)
        id 42F2CBD801CB0123 for mioindirizzo@libero.it; Sat, 13 Aug 2005 13:48:05 +0200
Received: from cassarmini.com (-1209375176 [-1209359864])
   by izu0310.izubr1.thn.ne.jp (Qmailv1) with ESMTP id F5CA4105BB
   for <mioindirizzo@libero.it>; Sat, 13 Aug 2005 05:42:11 -0700
Date: Sat, 13 Aug 2005 05:42:11 -0700
From: Sicurezza Carim <sicurezza_carim@cassarmini.com>
X-Mailer: The Bat! (v2.00.9) Personal
X-Priority: 3
Message-ID: <9483298051.20050813054211@cassarmini.com>
To: Hayabusa <mioindirizzo@libero.it>
Subject: CARIM Online: avviso urgente
X-Virus-Scanned: Symantec AntiVirus Scan Engine
X-Antivirus: AVG for E-mail 7.0.338 [267.10.8]
Mime-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Type: text/plain



Il dominio sembra registrato ma non ci sono pagine..
Abbiamo fatto un ping da dos "ping online-cassarimini.net" e come risultato mi da impossibile raggiungere la destinazione, ma mi traduce il dns in ip 1.1.1.1 come se avessero avuto in passato quel dns registrato..ma ip 1.1.1.1 :eeh:
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi GAD » 15/08/05 02:23

@haya
che e' bello strano avere un ip 1.1.1.1,chissa come hanno fatto....
cmq ho provato e facendo anche un telnet alla 25 per vedere se risponde un mail server questo risponde con avg mail server
"telnet online-cassarimini.net 25"
eppure pare abbiano il webserver giu' o quantomeno non ci sono pagine raggiungibili dato il solo url
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi GAD » 15/08/05 02:26

pardon, non avevo letto l'header di haya.. effettivamente risponde lo stesso mail server cassarmini.com quando telnetto il .net quindi e' la stessa macchina regstrata con estensioni differenti... pero' mi incuriosisce sto fatto dell'ip 1.1.1.1
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi GAD » 15/08/05 02:31

cavolo ho provato anche "cassarmini.com" dove manda la I di rimini e risponde sempre lo stesso server mail... si capisce perche' saluta con "asta la vista"
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi GAD » 15/08/05 02:39

Ho controllato anche col whois e paiono tutti domini iscritti da persone differenti... pero' la cosa strana e' che tutti sono registrati il 10-agosto-2005 a pochi minuti di distanza l'uno dall'altro.. e sta bazza dell'ip 1.1.1.1 ritornato pingando qualsiasi dei 3 domini mi sta incuriosendo a buco!
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi dany » 15/08/05 08:10

Ciao, avevo proprio messo una news ieri alle 10,00 :)

http://www.pc-facile.com/allerta_phishi ... ni_n34932/

nell'articolo parla anche di una toolbar che ho proposto per la nostra sezione download.

Netcraft Toolbar indica un'analisi di rischio secondo i parametri determinati da Netcraft grazie alle segnalazioni degli utenti: più è rosso l'indicatore, più è alto il rischio. Se finite su un sito-trappola già segnalato come tale a Netcraft, compare una finestra di dialogo che vi avvisa (in inglese, purtroppo) del pericolo.


http://toolbar.netcraft.com/install
:)
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi GAD » 15/08/05 12:12

opsss non l'avevo letta :aaah
Cmq se ce' qualche esperto mi piacerebbe sapere tecnicamente come funziona il trick dell'ip 1.1.1.1
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi piercing » 15/08/05 12:45

mi viene da pensare che come quasi tutti questi siti, nel momento in cui ci arriva la mail il sito sia stato già bello che "oscurato"... e per questo potrebbe essere che i dns siano stati aggiornati ad un ip inesistente...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi piercing » 15/08/05 12:59

Nel frattempo aggiungo anche questo splendore...

Immagine

Faccio notare come il link indicato sia del tutto falso, infatti nella barra di stato compare quello reale a cui si è indirizzato che sfrutta un curiosissimo sistema di bounce tra i vari siti mondiali di google attraverso la querystring col comando q= che di fatto realizza un trasferimento diretto su un altro sito...
(provate ad esempio questo link http://www.google.ci/url?q=http://www.g ... facile.com )

Per finire notate come il testo sia in realtà un'immagine (incorporata nella mail) con una sottile trama sullo sfondo utilizzata per confondere eventuali sistemi automatici di "lettura" del corpo della mail...

In generale però mi rendo conto come siano ancora molto molto carenti nelle traduzioni in italiano... visto che quelle in inglese sono di fatto perfette.
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi GAD » 15/08/05 13:02

Piercing e' plausibile ma se la polizia postale oscura il sito non vedo perche' non dovrebbe lasciare aperto il mailserver, che io sappia in sti casi piombano tutto. Poi e' strano 1.1.1.1 , i siti sono stati aperti il 10 agosto e l'authority
ci mette sempre un po' a cancellare il dns globale anche se il webserver e' stato chiuso quindi per almeno una settimana il ping dovrebbe tradurre nel dns che avevano effettivamente mentre era online anche se i pacchetti non arrivano a destinazione.
Forse pero' come dici tu, visti i tempi di aggiornamento (troppo rapidi per la burocrazie effettiva) la polizia postale potrebbe aver comunicato direttamente con l'authority e questa ha inserito un ip inesistente al volo appositamente per rendere il sito irrintracciabile.
Pero' mi rimane il dubbio, se fosse avvenuta una comunicazione di sto tipo all'authority non bastava cancellare il dns e basta invece di immetterne uno falso?
....mi sto facendo pochi viaggi.... :lol:
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi piercing » 15/08/05 13:25

Comunque questo 1.1.1.1 non mi risulta... con un nslookup noto che i due domini puntano sullo stesso IP...

> online-cassarimini.net
Server: ns.interbusiness.it
Address: 151.99.125.1

Risposta da un server non di fiducia:
Nome: online-cassarimini.net
Address: 211.53.247.178

> cassarmini.com
Server: ns.interbusiness.it
Address: 151.99.125.1

Risposta da un server non di fiducia:
Nome: cassarmini.com
Address: 211.53.247.178


che sembrerebbe piazzato in corea... stranamente ;)

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 211.53.0.0 - 211.53.255.255
netname: BORANET-NET-211-53
descr: DACOM Corp.
descr: Facility-based Telecommunication Service Provider
descr: providing Internet leased-ine, on-line service, BLL etc.
country: KR
admin-c: DB50-AP
tech-c: DB50-AP
mnt-by: APNIC-HM
mnt-lower: MNT-KRNIC-AP
changed: hm-changed@apnic.net 20021025
status: ALLOCATED PORTABLE
source: APNIC

role: DACOM BORANET
address: DACOM Bldg., 706-1, Yoeksam-dong, Kangnam-ku, Seoul
country: KR
phone: +82-2-2089-7755
fax-no: +82-2-2089-0706
e-mail: ipadm@nic.bora.net
e-mail: abuse@bora.net
e-mail: security@bora.net
admin-c: EC115-AP
tech-c: SIJ1-AP
nic-hdl: DB50-AP
mnt-by: MNT-KRNIC-AP
remarks: IP address administrator group of NIC team, DACOM Corp.
remarks: If related with spam, send mail to abuse@bora.net
remarks: If related with security, send mail to security@bora.net
remarks: Only for whois information correction, send mail to ipadm@nic.bora.net
changed: jeonsi@bora.net 20041105
source: APNIC
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi GAD » 15/08/05 16:30

Piercing ti giuro che ieri notte alle 3 dava 1.1.1.1 anche sei pacchetti non arrivavano, testimone pure hayabusa che ci guardava con me. E in piu' nessuna pagina veniva trovata.... oggi invece cambia l'ip e ci sono pure pagine nel sito....
e la cosa strana e' che il whois dice che i vari dns sono registrati da gente differente ma ad orari simili sempre 8 agosto 2005.

online-cassarimini.net Mark Harding
cassarmini.com Angela Blair
cassarimini.com junior austin

Voi vedere che dopo che li hanno beccati in italia e li hanno fatti chiudere hanno spostato la truffa con sede in corea??
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi GAD » 19/08/05 10:11

Questa e' l'ultima che mi e' arrivata a nome ebay...
Non so se si vede bene.. ma ho contornato il corpo della mail per evidenziare che il testo non e' veramente testo, in verità e' un'unica immagine.
Quindi che l'utente clicchi sul link o sul logo o da qualsiasi altra parte sulla mail partirà subito un collegamento molto losco.
Immagine
Ovviamente la scusa e' che l'account potrebbe essere sospeso se l'utente non si logga immediatamente...
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi piercing » 19/08/05 10:28

GAD ha scritto:Questa e' l'ultima che mi e' arrivata a nome ebay...


Grazie per l'immagine... come sempre un errorino gli è scappato (l'oggetto riporta una variabile della procedura automatica di invio)... ma all'occhio disattento chi se ne accorge?

Per curiosita.... dove punta il link?
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Casi di Phishing: Collezione":

sito di Phishing
Autore: kimi79
Forum: Sicurezza e Privacy
Risposte: 9
Facebook e phishing
Autore: hydra
Forum: Sicurezza e Privacy
Risposte: 0

Chi c’è in linea

Visitano il forum: Nessuno e 31 ospiti