Mi arriva nella casella di posta personale.
Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto stato scelto a caso per questa manutenzione, e lei sar adesso portato attraverso una serie di pagine di verifica di identit.
Per eseguire la manutenzione regolare per favore scatto qui
Proteggere la sicurezza del suo Primo conto bancario di Scambio il nostro interesse primario, e chiediamo scusa per qualunque inconvenienza che questo pu causare
Per favore nota:
Se facciamo no riceve la verifica di conto appropriata entro 24 ore, poi presumeremo che questo conto fraudolento e sar sospeso. Lo scopo di questa verifica assicurare che il suo conto non stato fraudolentamente usato e combattere la frode dalla nostra comunit.
2007 CartaSi. Tutti i diritti hanno riservato.
Anche un deficiente capirebbe che si tratta di spam, ancor più se è un deficiente come me che non è cliente CartaSi. Questi hanno tradotto il testo con babelfish?
Può capitare però che la mail sia del tutto verosimile, scritta in italiano ineccepibile e magari abbia la struttura copiata para para da quella usata dal reale servizio di comunicazioni della società.
Prima i soliti consigli:
- Ricordate che ne la vostra banca, ne il finanziatore della carta di credito vi chiederanno mai le vostre credenziali di accesso. Ne telefonicamente, ne tantomeno, via form internet.
- Una mail con minaccia di chiusura conto e/o blocco carta in seguito alla NON comunicazione delle credenziali è del tutto fasulla.
Ma se avessimo ancora dubbi, ci basterà leggere gli header completi della mail.
Ogni email inviata contiene informazioni molto preziose. Di solito noi degli header vediamo solo la lista dei destinatari, il mittente e l’oggetto (a volte il tempo di invio).
Tutti i mail client (da quelli off line a quelli caricati su server) hanno la possibilità di mostrare gli header completi di una mail.
Analizziamo gli header della mail sopra riportata (gli omissis sono miei).
Return-path: <data@cartasi.it>
Envelope-to: omissis
Delivery-date: Fri, 15 Jun 2007 14:03:26 +0200
Received: from [209.226.175.188] (helo=tomts25-srv.bellnexxia.net)
by omissis with esmtp (Exim 4.52)
id 1HzAWU-0002T3-IW
for info@baglieri.it; Fri, 15 Jun 2007 14:03:26 +0200
Received: from User ([69.159.197.147]) by tomts25-srv.bellnexxia.net
(InterMail vM.5.01.06.13 201-253-122-130-113-20050324) with SMTP
id <20070615120320.DMXY25739.tomts25-srv.bellnexxia.net@User>;
Fri, 15 Jun 2007 08:03:20 -0400
From: "CartaSi"<data@cartasi.it>
Subject: Notifica urgente
Date: Fri, 15 Jun 2007 08:02:42 -0400
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <20070615120320.DMXY25739.tomts25-srv.bellnexxia.net@User>
Status: R
La mail è stata inviata da un pc ad un altro dello stesso provider prima di essere inviata al mio mail server. Già questo dovrebbe far pensare che è strano che i sistemi di CartaSi abbiano bisogno di appoggiarsi a terzi server. Come se la mail fosse stata spedita da una postazione interna, in un ufficio di cartasi.
Andando su nic.com è possibile effettuare un WHOIS agli IP interessati all’inoltro delle mail. In questo caso esce fuori che sono riferibili ad un provider canadese.
Possiamo anche risalire al titolare della macchina da cui è passata la mail. Difatti bellnexxia.net sembra essere un server mail di Bell Canada.
Dal precedente WHOIS all’IP che per primo ha inviato la mail, rieso anche a vedere con che tipo di contratto naviga l’utente. Ha comprato l’offerta Sympatico! Non so a voi, ma a me tanto sympatico non sta, anzi, mi sta proprio sulle balle.
Ma siamo sicuri che la mail sia partita dal canada? Forse si, ma sicuramente è stata fatta partire da qualcuno che in Canada non c’era 🙂 .
Il charset della mail è infatto uno stranissimo Windows-1251. Perchè mai un Canadese dovrebbe usare il set di caratteri in cirillico?!
Ultima cosa: ce lo vedete voi il MegaServerissimoSuperCazzuto di CartaSi inviare mail con Outlook Express 6.0?
Buon fine settimana 🙂
NON CI AVRETE MAI SPAMMERS!!!!
Oddio, io ci sono cascato !
!!
Dato che non ho cartaSi, per sicurezza ho inserito i dati della Visa, della Mastercard, dell’American Express, PayPal e del Club di Topolino
Anche io metto sempre i dati della TUA american express 😀
Il post nasce in seguito al solito genio che stava per farsi fregare…
Però quella mail era fatta bene bene. Messa a confronto con quelle di servizio realmente mandate dalla banca le differenze non si notavano.
Più che spam , questo mi sembra un attacco di phishing … domanda : non è che quel clicca qui è un link ? Hai controllato dove punta ? – evitando di cliccarci sopra 😀
Magari anche quello sarebbe servito a raccogliere informazioni utili a risalire all’origine del mex … io non sarei così sicuro che l’email sia partita dal Canada … probabilmente quel computer il cui IP è [209.226.175.188] fa parte della botnet del phisher/spammer e ci saràinstallato tipo un un virus/trojan che serve proprio per far “rimbalzare” le email
Si, in effetti è phishing, mi sono espresso male 🙂
E quel clicca qui è proprio un link.
Non c’avevo cliccato perchè mi interessava fare un’analisi della mail.
Fatto ora. Porta ad un dominio .ca intestato a persona fisica. Cercando la mail compare in un forum che spammava proprio quel dominio.
Ma il post risale al gennaio 2006.
Il forum visualizza in chiaro anche l’IP (strano, ma vero) ed ovviamente tramite quello non si arriva a niente 🙂
Il sito è ben fatto devo dire. Sfrutta via hotlink le immagini del vero sito di cartasi.
Ho controllato e la marea di jacascript presente serve solo a dare una parvenza di vero al tutto.
E’ tutto focalizzato sul form, messo non troppo in vista, come di solito è presente in altri siti del genere. Senza dare nell’occhio.
L’IP 209.226.175.188 è di proprietàdi Bell. Provider canadese.
O qualcuno sfruttava la connessione di un cliente bell per far casino e passare inosservato, oppure un loro cliente ha un trojan che manda mail del genere, ma in questo caso mi sembrerebbe molto strano il charset utilizzato.
Impostato com’è sembra che sia stata mandata dalla russia. E non penso lo spammer nel trojan si prenda la briga di impostare un charset di mail del tutto inutilizzato dagli utenti vittime…
Comunque ecco il report di antipishing-italia.it :
http://www.anti-phishing.it/news/articoli/news.150620072.php
Il charset utilizzato – a meno di cosa fatta apposta , che credo sia un’ipotesi da scartare
– fa indubbiamente pensare che la mail abbia avuto origine su un PC nell’est europeo, tuttavia l’IP da cui è partita la mail , se fa parte di una botnet o di una lista di server utilizzata per spedire le email , credo sia l’ultimo della catena : non credo che la lettera sia stata creata in Russia e spedita direttamente attraverso quel computer … brutte bestie le botnet : http://punto-informatico.it/p.aspx?i=2020211
Comunque chi ha messo in piedi l’ambaradan , non conosceràbene la lingua italiana ma sicuramente sa cosa “gira” in Italia
Saluti
Tentativo n° 2 :
http://www.anti-phishing.it/news/articoli/news.220620072.php
Ormai da tempo in Outlook Express, appunto il 6, al mio indirizzo di posta primario, *****@alice.it, mi arriva quotidianamente una marea di spazzatura spamming, in particolare da carta si, vedi l'ultima ineccepibile in quanto ad italiano, info@cartasi.it : ebbene non ho nè cartasi, nè sono iscritto al club di topolino. Me ne arrivano anche una marea da vari strani bancoposta.it, vuoi che sia info@ o altro. Ebbene, avevo fino a 4-5 anni fa un conto bancoposta, oramai appunto morto e sepolto.
Domando: ma i veri cartasi o bancoposta o varie altre banche presunte (nessuna delle quali sono mie), non dovrebbero fare qualcosa esse stesse per evitare tutto questo spamming? Non so in che modo e non so se è possibile dare segnalazione ai/alle veri/vere … ma servirebbe a qualcosa? Se ne sapete di più, sarei curioso…intanto procedo col mio block sender e cancello tutto.
P.S.: come mai al mio account in gmail non arriva neanche una piccolissima email spam?