un phishing spudoratamente simpatico

ho ricevuto questo tentativo di phishing molto simpatico.

Da: "Il Team di G.mail" <soldaantonio@gmail.com>
Data: 27/Apr/2015 18:38
Oggetto: Indicazioni operative

Gentile utente,

Molti tentativi di connessione sospetto e non-autorizzato sono stati rilevati su molti conti, vi occorrerà imperativamente confermare i vostri dati personali; Consulta questo documento.
Tutto rifiuto di cooperazione tradurrà la disattivazione del vostro account messaggeria dopo 48 Ore.
NB: Dovete considerare questo messaggio essendo l'ultimo avvertimento prima di chiudere il vostro account messaggeria.
Cordialmente.

in allegato si trova un pdf con un link che oppurtunamente offuscato e “accorciato” porta ad un sito http://mobmsgaccoun.fulba.com

Screenshot from 2015-04-27 21:38:54

se clicchi sul pulsante vai ad una pagina in vengono chieste le vostre credenziali di Google

Screenshot from 2015-04-27 21:42:17

Ovviamente queste pagine sono dei fake usate per carpire la vostra password dell’account Gmail, se vi arriva una email del genere segnalatela come phishing.

segnalazione phishing google

io nel frattempo ho proseguito la compilazione del recupero password con un account inventato di sana pianta.

Screenshot from 2015-04-27 21:48:00

ecco gli header da cui si capisce che molto probabilmente soldaantonio@gmail.com è cascato nel tranello e la sua casella di posta è diventata veicolo di infezione.

Delivered-To: xxxxxxxxxx@gmail.com
Received: by 10.202.173.133 with SMTP id w127csp1362636oie;
 Mon, 27 Apr 2015 09:38:35 -0700 (PDT)
X-Received: by 10.152.27.194 with SMTP id v2mr10639736lag.75.1430152714535;
 Mon, 27 Apr 2015 09:38:34 -0700 (PDT)
Return-Path: <soldaantonio@gmail.com>
Received: from mail-la0-x241.google.com (mail-la0-x241.google.com. [2a00:1450:4010:c03::241])
 by mx.google.com with ESMTPS id p3si3131734lap.99.2015.04.27.09.38.33
 for <xxxxxxxxxx@gmail.com>
 (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
 Mon, 27 Apr 2015 09:38:34 -0700 (PDT)
Received-SPF: pass (google.com: domain of soldaantonio@gmail.com designates 2a00:1450:4010:c03::241 as permitted sender) client-ip=2a00:1450:4010:c03::241;
Authentication-Results: mx.google.com;
 spf=pass (google.com: domain of soldaantonio@gmail.com designates 2a00:1450:4010:c03::241 as permitted sender) smtp.mail=soldaantonio@gmail.com;
 dkim=pass header.i=@gmail.com;
 dmarc=pass (p=NONE dis=NONE) header.from=gmail.com
Received: by mail-la0-x241.google.com with SMTP id mn9so7590373lab.2
 for <xxxxxxxxxx@gmail.com>; Mon, 27 Apr 2015 09:38:33 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=gmail.com; s=20120113;
 h=mime-version:date:message-id:subject:from:to:content-type;
 bh=zeaim2qx4rgpGWDRTpYv3fJAR2si+1rRZhvUOxEKG80=;
 b=yM3OoN2PnRIjXeKxhthOFLw7gR2/K02Fjjtrp+JlvCuU0uZjnq9F0X0fGpgzFP72iZ
 Kvf/9NKsXM4/RfRTeToslQ6Ti5gPwnVH2zpaZdft+V8RilAy/7EkAoKHTUIlIprJfj35
 p0jicDvfGApdGLIp/Ghvac90NzWyaSiZMFPT459RsqwGPzPltlJkoRcqGBKwg+KszyVW
 Osjz8Q7ocWzqytlKRJmzCyCLDxB0c7n0sPZ2N8LKBeFYQijUiTkOgDURk0EtTsMK7jLs
 +l95Ejw5oJux9ZEmaNyzN2McyNIyNdU3NfdF2Woxfy1gmjZsYOaRrZ8Gwnz99NlYSQOK
 9YNQ==
MIME-Version: 1.0
X-Received: by 10.152.87.70 with SMTP id v6mr10606454laz.30.1430152713276;
 Mon, 27 Apr 2015 09:38:33 -0700 (PDT)
Received: by 10.112.3.169 with HTTP; Mon, 27 Apr 2015 09:38:32 -0700 (PDT)
Date: Mon, 27 Apr 2015 18:38:32 +0200
Message-ID: <CA+1yqXe=USYbU4HcLeV2MuKUsqwELegnMpqMn56Ramp6J3bVDw@mail.gmail.com>
Subject: Indicazioni operative
From: "Il Team di G.mail" <soldaantonio@gmail.com>
To: undisclosed-recipients:;
Content-Type: multipart/mixed; boundary=001a11c363cc73487f0514b76048
Bcc: xxxxxxxxxx@gmail.com

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *