Strani messaggi in agenzia di viaggi....

[tahcniolos]

Ciao. Un amico che lavora in agenzia di viaggi mi ha detto che da un po' di tempo arrivano strane mail di questo tipo:

Buongiorno
Vorrei sapere se posso effettuare prenotazione a distanza con voi con la societa
AIR FRANCE-ROYAL AIR MAROC-BRITISH AIRWAYS-KLM-ALITALIA
Il modo di pagamento (VISA , MASTER ).
- AUTORIZZAZIONE DI DEBIT
- COPIA DELLA CARTA DI CREDIT
- CARTA DI IDENTITE
Grazie
Sig Lorrion David
MSN:Lorriondavid@hotmail.fr

Queste mail sono inviate a moltissimi soggetti (una volta è apparso visibile un elenco di agenzie di viaggi alle quali il messaggio era stato inviato), cambiano sempre i nomi delle persone che richiedono l'informazione, a volte si fa precisa richiesta di prenotare alcuni voli per determinate persone.
In genere i collegamenti richiesti sono tra l'Africa e l'Europa.
A me sembra una cosa molto particolare...... in ogni caso non un semplice spamming.
Che ne dite?

[Dylan666]

http://www.pc-facile.com/combattere_spyware_t111274/

http://www.pc-facile.com/guida_hijackthis_t148946/

[tahcniolos]

Ciao.
Il computer dell'agenzia "passato" con adaware e spybot s&d risulta pulito. In ogni caso, tu credi che sia semplicemente un problema di spyware e spamming? Non, per esempio (magari ho visto troppi film gialli), qualche traffico strano di persone e di carte di credito rubate o altro?

[Dylan666]

Mi pare strano che una pubblicità tanto mirata sia un caso. posta un log di hijackthis

[tahcniolos]

Prima di tutto cerco di spiegare meglio il problema:
il messaggio che arriva non è pubblicitario, ma una richiesta di effettuare prenotazioni di voli aerei con la eventuale possibilità di pagarli a distanza tramite carte di credito. E' come se tu, dall'estero, mandassi una mail alla tua agenzia di viaggi chiedendo di farti un biglietto aereo e pagando con carta. Ciò che è sicuramente strano è che intanto questi soggetti non sono clienti e non fanno altro che dare un nome e un cognome e chiedere se è possibile fare questa operazione; poi anche il fatto che questi messaggi sono inviati a numerose agenzie, e messaggi simili arrivano dopo un po' di tempo con altri nomi. Spero di essere stato più chiaro. In ogni caso allego log di Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 10.00.57, on 03/12/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\WINDOWS\SYSTEM\LINKSTS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMMI\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMMI\RVS\WCOM\SYSTEM\CCUI.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\RVS\WCOM\SYSTEM\CCSRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\Run: [Linksts] Linksts.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programmi\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programmi\RVS\WCOM\SYSTEM\ccui.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O15 - Trusted Zone: http://*.worldspan.com
O15 - Trusted Zone: http://*.wspan.com
O15 - Trusted Zone: http://www.autobus.it
O15 - Trusted Zone: www2.autobus.it
O15 - Trusted Zone: www3.autobus.it
O15 - Trusted Zone: new.autobus.it
O16 - DPF: {9145A52A-9B22-4858-AEE7-74D6C7D3F366} (BrowserConfig Class) - https://go6d.wspan.com/secure/DLLs/WSBrowserConfig.cab
O16 - DPF: {E99BF99C-5D95-11D4-A0EC-00500489A32D} (WSFileIO Class) - https://go6d.wspan.com/secure/DLLs/WSFileIO.cab
O16 - DPF: {52454909-B15F-11D3-83A3-000083613743} (SCMDir Class) - https://go4b.wspan.com/Secure/DLLs/SCMDIRCTL.CAB
O16 - DPF: {EFFFC7A6-4D95-4A18-8A14-FEB082D9C67D} (SCM Class1) - https://go4b.wspan.com/Secure/DLLs/WSSCM1.CAB
O16 - DPF: {8D33B6F0-1E74-419C-BBEF-D00E976A3A5D} (WSFileIO Class 2) - https://go4b.wspan.com/Secure/DLLs/WSFileIO2.cab
O16 - DPF: {6FC2871E-004B-4141-B9C0-59708BD96CCE} (WSEmul Control 3) - https://go4b.wspan.com/Secure/DLLs/WSEMUL3.CAB
O16 - DPF: {85788258-6ACF-4FC1-A2CD-3BD248065AB9} (WSKeyboardMap Class) - https://go4b.wspan.com/Secure/DLLs/WSKe ... slator.cab
O16 - DPF: {A4D41E3A-613D-11D3-85B2-400011500081} (WSCustInst Class) - https://go4b.wspan.com/Secure/DLLs/WSCustInst.CAB
O16 - DPF: {6DD584C4-79F4-4F46-8F81-C26AA75D8467} (ComboBox.UserControl1) - https://go4b.wspan.com/Secure/DLLs/WSCombo.CAB
O16 - DPF: {7DB7E238-1425-4434-8B05-6453AD6A49C6} (WSPrint3 Control) - https://go4b.wspan.com/secure/DLLs/WSPrint3.CAB
O16 - DPF: {69B62AE7-E2F8-11D4-AB34-009027721369} (PrinterX Object) - http://www.autobus.it/Direct%20Printer% ... interX.cab
O16 - DPF: {53D602E4-66ED-4B03-A5B8-19E4F4F6F18F} (Tiphone Control) - http://netphone.tiscali.it/netphone/ocx/tiphone.cab
O16 - DPF: {7F8B2500-3B5D-474C-B828-C766ECE3AB3C} (ATLmosquito1 Class) - http://fax.tiscali.it/netphone/ocx/mosquito.cab
O16 - DPF: {03DF0933-6E10-4D32-9835-B9A815622831} (WSSystemInfo Class) - https://go3f.wspan.com/secure/DLLs/WSSy ... mation.cab
O16 - DPF: {1FCAC714-58A5-4EAF-9A28-55132521C0DD} (TraceRoute Class) - https://go3f.wspan.com/secure/DLLs/wstracer.cab
O16 - DPF: {D4233B6D-88A0-11D3-BC29-400011500032} (WspGoCal Class) - https://go12f.wspan.com/scripts/us/bin/WSCAL.CAB
O16 - DPF: {19AA6251-23F6-11D3-872A-400011500075} (GetFont Class) - https://go8f.wspan.com/secure/DLLs/WSFontCtrl.cab
O16 - DPF: {EFCF5E68-BDEC-4068-92B9-E09F57077804} (CLIENT_SETTIME.UserControl1) - https://www.autobus.it/PLUSMANAGER_SQL/ ... oneOra.ocx
O16 - DPF: {CE7C3CF0-4B15-11D1-ABED-709549C10000} - https://go10f.wspan.com/secure/DLLs/IEHelper.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://85.33.228.200/activex/AxisCamControl.cab

Grazie, in ogni caso!

[Dylan666]

Nel log tutte le voci riguardanti https://go4b.wspan.com sono conosciute?

Comunque ora ho capito il problema. Sì, è strano che persone mai viste mandino quel tipo di mail è probabile che alla fine l'agenzia paghi un biglietto che non gli verrà mai rimborsato. Ora non so la meccanica precisa come potrebbe funzionare ma mi sembra un tipo di "truffa" molto mirato dato che si parla di voli aerei a una agenzia che di quello si occupa.

[tahcniolos]

Sì, le voci riguardanti wspan sono conosciute in quanto si tratta di un sistema di prenotazione aerea (Worldspan) che opera attraverso internet e non con una linea dedicata.
La mia idea di truffa era magari qualcosa riguardante carte di credito clonate, o rubate; un po' più fantasiosa poteva essere l'idea, visto che i "traffici" andavano prevalentemente dall'Africa all'Europa e qualche volta arrivano anche messaggi con nomi ed itinerari precisi da prenotare in attesa di emettere il biglietto, di far spostare persone cui non sarebbe stato permesso di muoversi agendo tramite normali canali. Ma forse Hitchcock questa volta non c'entra!!!!!!!
Nessuno di voi ha qualche amico in agenzia di viaggi che ha ricevuto simili mail?

[snefu]

Ti risponde direttamente un agente di viaggi, cioè io ho ricevuto quintali di mail come quella, prontamente cestinate e segnalate ai colleghi. La mia sensazione è che cerchino qualche pollo (e nel settore ce ne sono parecchi, purtroppo) al quale appioppare un bel buco nei pagamenti. Tanto per chiarire meglio: alcuni paesi africani, Nigeria in testa, sono vere e proprie patrie delle carte di credito clonate; alcune compagnie aeree non accettano pagamenti con carta di credito per biglietti emessi con destinazione in quei paesi. Ciononostante ogni anno ci sono parecchie agenzie che, per ignoranza o per ragionamenti tipo "ma cosa vuoi che capiti a me" restano allegramente fregate. E' capitato ad una mia conoscente, che dopo aver fatto due biglietti per, guarda caso, Lagos (Nigeria), un paio di settimane dopo è stata chiamata da un commissariato di Polizia che aveva appena arrestato i due nigeriani in aeroporto e chiedeva informazioni..... Così va il mondo, Jack..

[tahcniolos]

....and I think to myself: what a wonderful world........