Condividi:        

Casi di Phishing: Collezione

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi GAD » 19/08/05 11:18

Ti metto tutta la stringa perche' c'e' qualcosa di interessante sia nei riferimenti che ad una stringa strana "Wimbledon I wish What a painful loss. Eye on Mac "...mbo?
Sembra collegarsi realmente al portale di ebay.com... da ignorante ci cadrei a buco. La cosa piu' lampante e' che e' arrivata ad un mio indirizzo che non ha niente a che fare col mio account ebay... e in piu' l'indirizzo e' sbagliato e viene chiaramente da un generatore automatico di indirizzi che prova tutte le combinazioni alfanumeriche


<html><p><font face="Arial"><A HREF="https://signin.ebay.com/ws/eBayISAPI.dll?SignIn&sid=verify&co_partnerId=2&siteid=0"><map name="gaam"><area coords="0, 0, 646, 569" shape="rect" href="http://218.4.140.130/.../e3b/"></map><img SRC="cid:part1.04040701.03060407@custservice_ref_53@ebay.com" border="0" usemap="#gaam"></A></a></font></p><p><font color="#FFFFF5">Wimbledon I wish What a painful loss. Eye on Mac </font></p></html>
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Sponsor
 

Postdi GAD » 19/08/05 11:27

Metto anche l'header se ti e' utile

Return-Path: <custservice_311@ebay.com>
Received: from smtp5.libero.it (193.70.192.55) by ims3c.libero.it (7.2.059.5)
id 42F775BA001863F2 for mio_indirizzo@libero.it; Sat, 13 Aug 2005 00:21:48 +0200
Message-ID: <42F775BA001863F2@ims3c.libero.it> (added by postmaster@libero.it)
Received: from [85.101.104.100] (85.101.104.100) by smtp5.libero.it (7.0.027-DD01)
id 42F2CBCC01C36887; Sat, 13 Aug 2005 00:21:48 +0200
FCC: mailbox://custservice_311@ebay.com/Sent
X-Identity-Key: id1
Date: Sat, 13 Aug 2005 00:24:47 +0100
From: eBay Inc <custservice_311@ebay.com>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: mio_indirizzo@libero.it
Subject: eBay Inc Email - [%To_Email] - Verification
Content-Type: multipart/related;
boundary="------------090105010107030205090004"



sembra risalire a "TurkTelecom"...una telecom turca, ahaha
http://www.ripe.net/whois?form_type=advanced&full_query_string=&searchtext=85.101.104.100&do_search=Search&inverse_attributes=None&ip_search_lvl=Default%28nearest+match%29&alt_database=RIPE&object_type=All
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi dany » 24/08/05 20:41

altro caso, clonata la homepage di bancoposta

http://www.pc-facile.com/bancoposta_hom ... ti_n35173/
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi dany » 06/09/05 16:36

Questa volta è toccato a Fineco
http://www.pc-facile.com/anche_fineco_f ... ng_n35582/

Aggiungo anche questa news che può essere utile

Da alcuni giorni è attivo in rete il sito http://www.anti-phishing.it dedicato alla lotta alle truffe on-line.
http://www.pc-facile.com/apre_anti-phis ... ia_n35585/
:)
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi dany » 08/09/05 12:00

infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi Heba » 15/09/05 16:21

dany ha scritto:Da ns. news delle 11.00 di oggi
Link: http://www.pc-facile.com/allerta_phishi ... ta_n34765/


Allerta phishing Bancoposta

Il messaggio che arriva sembra provenire da "support@bancopostaonline.poste.it" e tradisce la propria natura truffaldina principalmente per colpa del suo italiano decisamente stravagante:

"Recentemente abbiamo notato uno o più tentativi di entrare al vostro conto di BancoPostaonline da un IP indirizzo differente.

Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi insoliti di accedere a vostro Conto BancoPosta possono essere iniziati da voi.

Tuttavia, visiti prego appena possibile BancoPostaonline per controllare le vostre informazioni di conto:"

Il link proposto è in apparenza questo:

https://bancopostaonline.poste.it/bpol/ ... slogin.asp

ma in realtà nasconde questo indirizzo coreano:

http://www.withwith.or.kr/zboard/icon/formslogin.php


ora arriva da questo indirizzo e-mail Bancoposta@poste.it, mi è arrivata adesso...
In internet il saper leggere equivale al saper ascoltare nella realtà.
Chi sa ascoltare possiede le chiavi di molte porte.
Heba
Utente Senior
 
Post: 509
Iscritto il: 16/06/05 15:09
Località: Cremona

Postdi dany » 15/09/05 16:27

Esattamente come segnalato da news ;)

http://www.pc-facile.com/altro_caso_phi ... ta_n35969/

altro caso di phishing segnalato in news


http://www.pc-facile.com/non_cedete_cur ... oy_n35860/
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

Postdi Heba » 15/09/05 16:34

scusa, ho avuto dei problemi e sto ancora cercando di recuperare tutto l'arretrato, farò più attenzione la prossima volta...
In internet il saper leggere equivale al saper ascoltare nella realtà.
Chi sa ascoltare possiede le chiavi di molte porte.
Heba
Utente Senior
 
Post: 509
Iscritto il: 16/06/05 15:09
Località: Cremona

Postdi dany » 19/09/05 11:47

Attenzione, ad un nuovo caso di phishing all Fineco, questa volta l'email utilizza il sito (http://www.fineco.it)

vedi ns news
http://www.pc-facile.com/secondo_attacc ... ni_n36160/
infotecnonews
by by dany(Daniela)
Avatar utente
dany
Reporter
 
Post: 2239
Iscritto il: 17/07/04 14:19
Località: San Francesco al Campo

sempre Banco posta

Postdi anto4831 » 12/10/05 13:17

Ciao a tutti, riguardo al caso banco posta una domanda:
aprendo il link nella mail, esso punta a
http://www.google.mu/url?q=http://www.g ... 1.%25%352U

allora passando per google delle mauritius, Guernsey (che ignoro dove sia!) e google svizzera si passa all'ultimo indirizzo! che cos'è e dove è locato?? ci sono spazi e numeri...(dovrebbe puntare da qualche parte su http://pochta.ru/)

grazie
@nto
anto4831
Newbie
 
Post: 2
Iscritto il: 12/10/05 13:01

Postdi anto4831 » 13/10/05 00:25

Questo è il risultato dell'url encoding:

Decoded Results: <http://www.google.mu/url?q=http://www.google.gg/url?q=http://www.google.ch/url?q=http://%7% 35cmthc9%2ed%09%61.%52U/>

ma quest'ultimo non è proprio il sito che mi aspettavo, come mai?

@nto
anto4831
Newbie
 
Post: 2
Iscritto il: 12/10/05 13:01

Postdi Garde » 19/10/05 14:32

Uno fresco fresco appena arrivato
--------------------------------------------------------------
Banca Intesa/ San Paolo IMI/ Fineco chiede il vostro contributo:
Per i possessori di un conto Banca Intesa o di un conto San Paolo IMI o di un conto Fineco, a seguito di verifiche
di l'indirizzo di posta elettronica nei nostri database clienti, si è reso necessario utilizzo online la conferma dei
Suoi dati. Le chiediamo perciò di confermarci i dati in nostro possesso, accedendo al seguente form protetto:

Per i possessori di un conto Banca Intesa: http://www.bancaintesa.it/6AwVIyTEkkYfR388v7j4o6657bq7

Per i possessori di un conto San Paolo IMI: http://www.sanpaolo.com/e5TEwybGeGZT4AGDg79ds7j7z9k4u

Per i possessori di un conto Fineco: http://www.fineco.it/vZFzn9nUptu1Xc1JN6 ... vo3zs0g3xe
------------------------------------------------------------------------
Garde
Utente Senior
 
Post: 220
Iscritto il: 21/01/04 10:35

Postdi disgrazia » 06/11/05 17:34

Mi è appena arrivata la stessa e-mail citata da Garde, ma ho come l'impressione che ci sia qualcosa di diverso :lol:
B‮na‬ca In‮set‬a/ BancoP‮so‬ta/ San P‮oa‬lo IMI/ Fineco chi‮ede‬ il vostro co‮rtn‬ibuto:
Per i po‮ess‬ssori di un c‮tno‬o, a s‮uge‬ito di verif‮ehci‬ di l'in‮ired‬zzo di po‮ats‬ elettro‮in‬ca nei n‮rtso‬i dat‮ba‬ase cl‮nei‬ti, si e
r‮ose‬ neces‮iras‬o ut‮li‬izzo on‮nil‬e la c‮mrefno‬a dei Suoi dati. Le c‮aideih‬mo percio di con‮mref‬arci i d‮ita‬ in no‮ts‬ro posses‮os‬,
accede‮dn‬o al s‮tneuge‬e form pr‮teto‬to:

Per i possesso‮ir‬ di un c‮no‬to Ban‮ac‬ Intesa: http://www.bancaintesa.it/McpJZZeDV0Wam ... q2vtr2s6a4

Per i possess‮ro‬i di un c‮tno‬o Banco‮tsoP‬a: http://www.poste.it/bancoposta/abraIsvn ... i2ky2a3l43

Per i pos‮rosses‬i di un con‮ot‬ San Pao‮ol‬ IMI: http://www.sanpaolo.com/oe4Dc46aVQT0vq9 ... f05v1ncqmb

Per i possess‮iro‬ di un co‮otn‬ Fin‮oce‬: http://www.fineco.it/DHSPXQkoYzw9GR8dxt ... 2f957ns4sp


Tecniche occulte per evitare il filtraggio anti-spam?
Sarà, però il messaggio viene beccato lo stesso:
X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on server
X-Spam-Level: *******
X-Spam-Status: Yes, score=7.3 required=5.0 tests=ADDRESS_IN_SUBJECT,BAYES_50,
FORGED_OUTLOOK_TAGS,HELO_DYNAMIC_COMCAST,HTML_40_50,HTML_MESSAGE,
HTTP_ESCAPED_HOST,HTTP_EXCESSIVE_ESCAPES,MIME_HTML_MOSTLY,
MPART_ALT_DIFF autolearn=no version=3.0.3
X-Spam-Report:
* 3.7 HELO_DYNAMIC_COMCAST Relay HELO'd using suspicious hostname (Comcast)
* 1.8 ADDRESS_IN_SUBJECT To: address appears in Subject
* 0.5 HTTP_ESCAPED_HOST URI: Uses %-escapes inside a URL's hostname
* 0.2 HTTP_EXCESSIVE_ESCAPES URI: Completely unnecessary %-escapes inside a URL
* 0.0 HTML_40_50 BODY: Message is 40% to 50% HTML
* 1.0 MIME_HTML_MOSTLY BODY: Multipart message mostly text/html MIME
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.0 BAYES_50 BODY: Bayesian spam probability is 40 to 60%
* [score: 0.5018]
* 0.1 MPART_ALT_DIFF BODY: HTML and text parts are different
* 0.1 FORGED_OUTLOOK_TAGS Outlook can't send HTML in this format
disgrazia
Download Admin
 
Post: 708
Iscritto il: 08/07/02 22:16

Postdi Garde » 07/11/05 08:59

Altra versione. Se ci fate caso cambia la "dislessia" in molte parole.

Ba‮cn‬a I‮asetn‬/ Banc‮oPo‬sta/ San Pao‮ol‬ IMI/ F‮ceni‬o chi‮de‬e il v‮so‬tro contributo:
Per i poss‮rosse‬i di un conto, a s‮uge‬ito di verif‮ehci‬ di l'in‮zired‬zo di po‮ts‬a elettron‮ci‬a nei no‮ts‬ri d‮abata‬se cli‮tne‬i, si e
r‮se‬o ne‮ec‬ssario uti‮il‬zzo online la c‮no‬ferma dei Suoi da‮it‬. Le chiedi‮ma‬o p‮oicre‬ di confermar‮ic‬ i da‮it‬ in n‮so‬tro pos‮es‬sso,
ac‮edec‬ndo al se‮ug‬ente f‮ro‬m p‮ottetor‬:

Per i po‮ss‬essori di un c‮tno‬o B‮cna‬a In‮aset‬: http://www.bancaintesa.it/Nd2ppaf8YhRui ... v2g3c6z4v7

Per i p‮irossesso‬ di un co‮otn‬ Ban‮soPoc‬ta: http://www.poste.it/bancoposta/psElLCqX ... 4d2j2m07tz

Per i posses‮ros‬i di un conto San P‮loa‬o IMI: http://www.sanpaolo.com/bUwAYz9PuVngMnh ... 4p8f15zl7s

Per i po‮ossess‬ri di un c‮tno‬o F‮ceni‬o: http://www.fineco.it/G1ydLIGOWYoQ4x4Yht ... j35iw8s7g5
Garde
Utente Senior
 
Post: 220
Iscritto il: 21/01/04 10:35

Postdi Garde » 07/11/05 09:07

La cosa strane è che volevo inoltrarla al sito Anti phishing ma con il comando "inoltra" la mail creata riporta solo l'intestazione e non il testo della mail :eeh: :eeh:
Garde
Utente Senior
 
Post: 220
Iscritto il: 21/01/04 10:35

Postdi *~Hayabusa~* » 23/11/05 22:20

Mi è appena arrivata, ve la posto.
Codice: Seleziona tutto
X-Account-Key: account3
X-UIDL: 5671
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
Return-Path: <nobody@raonet.com>
Received: from smtp20.libero.it (193.70.192.147) by ims3a.libero.it (7.2.059.5)
        id 4371D57D003592E4 for mioindirizzo@libero.it; Wed, 23 Nov 2005 21:49:45 +0100
Received: from localhost (172.16.1.74) by smtp20.libero.it (7.0.027-DD01)
        id 4369E3B301A90D76 for mioindirizzo@libero.it; Wed, 23 Nov 2005 21:49:45 +0100
Received: from smtp10.libero.it ([172.16.1.115])
 by localhost (asav16.libero.it [193.70.193.3]) (amavisd-new, port 10024)
 with ESMTP id 16896-05-7 for <mioindirizzo@libero.it>;
 Wed, 23 Nov 2005 21:49:45 +0100 (CET)
Received: from raonet.com (unknown [58.72.229.194])
   by smtp10.libero.it (Postfix) with ESMTP id 571307000106
   for <mioindirizzo@libero.it>; Wed, 23 Nov 2005 21:49:43 +0100 (CET)
Received: (from nobody@localhost)
   by raonet.com (8.11.6/8.11.2) id jANKngN00485;
   Thu, 24 Nov 2005 05:49:42 +0900
Date: Thu, 24 Nov 2005 05:49:42 +0900
Message-Id: <200511232049.jANKngN00485@raonet.com>
To: mioindirizzo@libero.it
Subject: (ID 25701) Misure di sicurezza di cliente di BancoPosta
From: <BANC0P0STA@P0STE.IT>
Reply-To: BANC0P0STA@P0STE.IT
X-Scanned: with antispam and antivirus automated system at libero.it
X-Antivirus: AVG for E-mail 7.1.362 [267.13.6/179]
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="=======AVGMAIL-4384D6880731======="

--=======AVGMAIL-4384D6880731=======
Content-Type: text/html
Content-Transfer-Encoding: 8bit

<table>
<tr>
<td>
Caro mioindirizzo@libero.it,<br><br>
Recentemente abbiamo notato uno o più tentativi di entrare al vostro conto di BancoPostaonline da un IP indirizzo differente.<br>
Se recentemente accedeste al vostro conto mentre viaggiavate,
i tentativi insoliti di accedere a vostro Conto BancoPosta  possono essere iniziati da voi. <br>
Tuttavia, visiti prego appena possibile BancoPostaonline per controllare le vostre informazioni di conto:<br><br>
<a href="http://dakdoll.net/board/data/colorp.php">ht<font></font>tps://ba<font></font>ncoposta<font></font>online.pos<font></font>te.i<font></font>t/bp<font></font>ol/banco<font></font>posta/form<font></font>slog<font></font>in.asp</a><br><br>
Ringraziamenti per vostra pazienza.<br>
BancoPosta.<br><br>
----------------------------------------------------------<br><br>
Non risponda prego a questo E-mail. Il E-mail trasmesso a questo indirizzo non può essere risposto a.
</td></tr></table>



--=======AVGMAIL-4384D6880731=======
Content-Type: text/plain; x-avg=cert; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline
Content-Description: "AVG certification"

No virus found in this incoming message.
Checked by AVG Free Edition.
Version: 7.1.362 / Virus Database: 267.13.6/179 - Release Date: 23/11/2005

--=======AVGMAIL-4384D6880731=======--



Io sto mettendo dati a casaccio. Segnalato anche a Netcraft.
..ed e' cibo per la mente,
acqua dalla sorgente,
luce fosforescente
laddove il buio e' costante ..
*~Hayabusa~*
Hardware Admin
 
Post: 1386
Iscritto il: 12/05/02 22:44
Località: Davanti al monitor..

Postdi Heba » 03/12/05 09:07

mi è arrivato un paio di giorni fa, ve lo riporto, loro li ho già avvisati.

Da: <support@mandrivaonline.com>
Risposta: support@mandrivaonline.com
Inviato: giovedì 1 dicembre 2005 15.15.03
A: mioindirizzo
Oggetto: [MANDRIVA] Your Online service expires in 3 days




Dear mioindirizzo,

your current subscription to the Mandriva Online service will reach
its end in three days (on 2005-12-04).

Past this date, you will not benefit from this service for your host
heba
anymore unless you subscribe anew.

With Mandriva Online, you get:

* perfect system security; it provides automated software updates,
including security patches, bug fixes and errata notices;

* notification of updates for your system; Online can inform you
when new updates are available by an applet available on your desktop;

* automatic scheduled updates; you no longer need to worry
about manually checking and installing your updates.


*** To keep your service activated, renew now! ***
Go to http://store.mandriva.com/product_info. ... ucts_id=74
validate the order, and select your heba host that needs to be
renewed.

Do not forget to enter your Mandriva account email mioindirizzo
to renew your Online service.

Thank you for your interest in our products.

The Mandriva Online team.
In internet il saper leggere equivale al saper ascoltare nella realtà.
Chi sa ascoltare possiede le chiavi di molte porte.
Heba
Utente Senior
 
Post: 509
Iscritto il: 16/06/05 15:09
Località: Cremona

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "Casi di Phishing: Collezione":

sito di Phishing
Autore: kimi79
Forum: Sicurezza e Privacy
Risposte: 9
Facebook e phishing
Autore: hydra
Forum: Sicurezza e Privacy
Risposte: 0

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti