un amico mi ha segnalato questa email… ovviamente è finta cancellatela e/o segnalatela come spam/phishing al vostro gestore di email Leggi tutto “phishing: Attenzione! sistematica chiusura del tuo account Gmail!”
Phishing – Avviso di sicurezza – Addebito non autorizzato. #StornoID:PP-309-866-8233#
mi è arrivata questa email da noreply@www.paypalitalia.it Leggi tutto “Phishing – Avviso di sicurezza – Addebito non autorizzato. #StornoID:PP-309-866-8233#”
phishing: una email con immagine allegata che scarica un eseguibile (exe)
Le nuove frontiere del phishing.
Mi è arrivata una email senza testo da tale gerald_pinci@hotmail.com che conteneva solo una immagine che vi riporto.
Le risorse per questo tentativo di phishing (ma molto probabilmente un attacco virale) sono ospitati sul cloud Amazon Web Services (http://s3-sa-east-1.amazonaws.com/masj844/).
L’immagine è un file con nome docitalia.jpg, ed il fatto che non si chiami docitaly.jpg o altro indica che chi l’ha confezionata potrebbe essere italiano.
L’immagine è collegata tramite un link ad un file Documento.exe.
Il trucco è sempre quello sfruttare l’ignoranza e la curiosità delle persone a pensare: “che è sto coso?” cliccano aprono il file eseguibile (Documento.exe) e si infettano.
Come al solito cestinate queste email, contrassegnatele come spam oppure phishing attraverso il vostro gestore di email.
per i tecnici/smanettoni ecco gli header dell’email:
Delivered-To: macorte@gmail.com
Received: by 10.49.132.167 with SMTP id ov7csp354qeb;
Wed, 8 May 2013 21:06:28 -0700 (PDT)
X-Received: by 10.14.99.198 with SMTP id x46mr24204411eef.38.1368072388330;
Wed, 08 May 2013 21:06:28 -0700 (PDT)
Return-Path: <www-data@vsobr.com>
Received: from mxavas1.aruba.it (mxavas1.aruba.it. [62.149.157.11])
by mx.google.com with SMTP id j43si1872111eeo.51.2013.05.08.21.06.27
for <macorte@gmail.com>;
Wed, 08 May 2013 21:06:28 -0700 (PDT)
Received-SPF: fail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) client-ip=62.149.157.11;
Authentication-Results: mx.google.com;
spf=hardfail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) smtp.mail=www-data@vsobr.com
Received: (qmail 12424 invoked by uid 89); 9 May 2013 04:06:27 -0000
Delivered-To: marco@acor3.it
Received: (qmail 12420 invoked by uid 89); 9 May 2013 04:06:27 -0000
Received: from unknown (HELO mxcmd01.ad.aruba.it) (10.10.10.65)
by mxavas1.ad.aruba.it with SMTP; 9 May 2013 04:06:27 -0000
Received: from vsobr.com ([137.117.199.55])
by mxcmd01.ad.aruba.it with bizsmtp
id Zg6T1l00d1CCVdD01g6T1V; Thu, 09 May 2013 06:06:27 +0200
Received: by vsobr.com (Postfix, from userid 33)
id C1A2020F5A; Thu, 9 May 2013 04:06:28 +0000 (UTC)
To: marco@acor3.it
Subject: Nel documento allegato.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Importante <gerald_pinci@hotmail.com>
Message-Id: <20130509040628.C1A2020F5A@vsobr.com>
Date: Thu, 9 May 2013 04:06:28 +0000 (UTC)
X-Spam-Rating: mxavas1.ad.aruba.it 1.6.2 0/1000/N
Phishing: Monte Paschi Siena
Mi è appena arriva questa email di Phishing ai danni dei correntisti del Monte Paschi di Siena.
L’email è scritta in un buon italiano e il link “Accedi al collegamento sicuro” punta ad un sito web probabilmente hackerato
http://razortrack.uark.edu/board//cache/it/mps/monte/paschi/sicurezza/titolari/login/
che contiene una copia esatta della pagina di login del MPS.
state attenti e segnalate l’email come Phishing.
Gentile Cliente,
Nell’ambito di un progetto di verifica dei data anagrafici forniti durante la sotooscrizione dei servizi di Banca Monte dei Paschi di Siena e stata riscontrata una incogruenza relativa ai dati anagrafici in oggeto da Lei forniti all momento della sottoscrizione contrattuale.
L’inserimento dei dati alterati puo constituire motivo di interruzione del servizio secondo gli art 138 e 138/c da Lei accettati al momento della sottoscrizione, oltre a constituire reato penalmente perseguibile secondo il C.P.P art.216 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in auto certificazione.
Per ovviare al problema e necessaria la verifica e l’aggiornamento dei dati relativi all’anagrafica dell’intestatario dei servizi bancari.
Effetuare l’aggiornamento dei dati cliccando sul seguente collegamento sicuro:
Banca Monte dei Paschi di Siena S.p.A. | Partita IVA 00884060526
phishing: cartasi
mi è arrivata questa email
Gentile cliente,
CartaSi ha rinnovato il sistema antifrode, da oggi, il suo
conto corrente dal CartaSi è sicuro e inattaccabile.
Abbiamo modificato le limite di sicurezza, ogni volta che non consulterete
il vostro conto, tracorse le 48 ore, il suo conto verrà automaticamente
bloccato e sarà sbloccato al vostro prossimo collegamento.
Abbiamo inserito un ulteriore riferimento di richiesta dispositiva per ogni volta
che il tempo di sicurezza stabilita scadrà.
è una email di phishing , cancellate subito oppure segnalate al vostro gestore questa email.
phishing: proteggi il tuo accounto carige
mi è arrivata questa email da “Gruppo Carige servizi.technici@gruppocarige.it”
In allegato c’è un file html “Gruppo Carige.html” (2K) non cliccate, non scaricate, si tratta di phishing, non abboccate.
Gentile Cliente,
Abbiamo rilevato attivita irregolari sul tuo carige
Internet banking sul conto 02/02/2011.
Per la tua protezione, necessario verificare questo
attivita prima di poter continuare a utilizzare il
conto.
Si prega di scaricare il documento allegato alla presente
e-mail a rivedere le attivita del proprio account.
Rivedremo l’attivita sul tuo conto
con voi e alla verifica,
e ci consentira di eliminare le restrizioni imposte alle
il tuo account.
Se scegliete di ignorare la nostra richiesta, ci lasciano scelta
ma di sospendere temporaly tuo account.
Se scegli di ignorare la nostra richiesta, ci lasciano scelta
di sospendere temporaneamente il tuo account.
Ti chiediamo di consentire almeno 72 ore per il caso di essere
indagato e si consiglia di verificare il tuo conto in quel
momento.Con i migliori saluti,
Roberto Baggio
Responsabile della comunicazione del Cliente
© Copyright Gruppo Carige 2011 – Tutti i diritti
riservati
phishing: cartasi
Dopo il post di ieri ecco un altro tentativo di phishing ai danni di titolari di CartaSi.
ecco l’immagine:
ecco il testo:
from: CartaSi S.p.A <sicurezza@titolari.cartasi.it>
reply-to: sicurezza@titolari.cartasi.it
to: undisclosed-recipients
date: Fri, Aug 29, 2008 at 2:18 AM
subject: Stop alle frodi su Internet!
Gentile Cliente,
Stop alle frodi su Internet! Perche, allora, attivare una protezione contro le frodi on-line?
Perche il nostro numero di Carta puo essere trafugato nel mondo reale (ad esempio, da ricevute di pagamento gettate via in modo incauto) e usato per pagamenti su Internet a nostra insaputa!.
Tutti, quindi, siamo potenziali vittime delle frodi on-line: sia che usiamo la nostra Carta per acquisti su Internet, sia che non lo facciamo. E’ vero che CartaSi tutela sempre i suoi Titolari: in caso di addebiti non riconosciuti si puo infatti contestare e ricevere il rimborso.
Ma perche rischiare di ricevere addebiti indesiderati quando e possibile prevenirli?
Lo puoi fare subito dal sito CartaSi
Una garanzia di sicurezza per te, uno stop alle truffe on-line!
ATTIVA GRATIS LA PROTEZIONE!http://www.cartasi.it/download/sintesind.pdf)
Distinti Saluti,
© Cartasi Italiane 2008
Analisi dell’attacco
- La mail è scritta bene e non in italiano maccheronico
- l’immagine Gruppo Carta SI è presa dal sito www.subvedenti.it
- il link al pdf non punta al sito www.cartasi.it ma a http://sv01.futecs.jp/ che è probabilmente un server RedHat hackerato
- se si clicca sul link fortunatamente con Firefox 3.01 il sistema anti-phising integrato funziona bene
Raccomandazioni
- Non cliccate sui link di email sospette come questa
- Segnalate ai gestori di posta il tentativo di phishing
- Cancellate il messaggio
Azioni
- Segnalato ai gestori del sito www.nonvedenti.it
- Segnalato al Servizio Anti Phishing CartaSi
- Segnalato al sysadmin del server http://sv01.futecs.jp/
- Segnalato a www.anti-phishing.it
phishing cartasi
Ho ricevuto questa email da parte di CartaSi_Informa@cartasi.it (che è caduta sotto i colpi del filtro antispam di gmail)
Volevo porre alla vostra attenzione la pericolosità di questa email di phishing (perchè di questo si tratta).
La mail è ben formattata, scritta in italiano corretto, ma i link presenti portano tutti ad un ignaro sito (http://worldsbestsalestrainer.com) che è stato probabilmente hackerato per ospitare un pagina che fa un redirect su http://tienda.onlinermaster.es (anche questo hackerato).
Qui infatti troviamo una bella copia identica del portale CartaSI nel quale vi consiglio di non fare login
Vi riporto anche il testo della mail (togliendo i link pericolosi)
I vantaggi di CartaSi
Lavorare con CartaSi significa poter accettare i pagamenti di milioni di Clienti, italiani e stranieri, Titolari di carte di credito emesse sui Circuiti Internazionali VISA, MasterCard, JCB, China UnionPay (CUP) e usufruire di un’ampia gamma di servizi utili ad incrementare i volumi d’affari.
Scegliere CartaSi significa scegliere i vantaggi!
- Più Clienti, più vendite.
L’addebito posticipato delle spese e la sicurezza e comodità dei pagamenti invoglieranno i tuoi Clienti, vecchi e nuovi, a spendere con più libertà. E un Cliente soddisfatto è un Cliente conquistato!- Più vantaggi.
CartaSi ti garantisce sempre l’accredito immediato delle tue vendite.- Più comodità e sicurezza.
Eviterai le code, il calcolo dei resti e le lunghe compilazioni di assegni. E poi ridurrai gli accumuli di denaro contante in cassa e ti proteggerai così da spiacevoli sorprese.Addebiti periodici o ricorrenti
Vendi servizi che prevedono l’addebito ricorrente in bolletta e/o in abbonamento? Consiglia ai tuoi Clienti di domiciliare questi pagamenti direttamente sulla loro CartaSi: per loro la comodità dell’addebito posticipato, per te una serie di vantaggi davvero interessanti!
Eccone alcuni:
- eliminazione dei ritardi nei pagamenti da parte del Cliente
- eliminazione del rischio di insoluto
- riduzione degli oneri finanziari
- efficienza nel processo di incasso delle fatture
- sicurezza nelle transazioni
- offerta di un servizio aggiuntivo per i propri Clienti
Per favore, non risponda a questa mail: per eventuali comunicazioni,
acceda al Portale Titolari https://titolari.cartasi.it/portal/server.pt e ci scriva attraverso
‘Lo sportello del Cliente’: e’ il modo piu’ semplice per ottenere una rapida risposta dai nostri operatori.
Grazie della collaborazione.
Assistenza Titolari
199-13.10.10 – numero a pagamento (lunedì – venerdì 9.00 – 18.00)
Al solito diffidate da queste email cancellatele o segnalatele come phishing al vostro gestore di posta o ISP.
in questo caso contattate direttamente CartaSi ai seguenti canali:
NB. ho inviato anche una email ai proprietari dei domini hackerati per avvisarli del pericolo e segnalato il phishing a CartaSi.