Schininà.it – LogBook

Primo malware per Facebook, almeno il primo che mi colpisca direttamente. per fortuna senza conseguenze.

Arriva con l’identità di un amico. La fortuna è che si tratta in realtà di un ex collega di lavoro. Fortuna, nel senso che storco subito il naso quando Filippo (lo chiameremo così per comodità) mi scrive di aver trovato un video che mi ritrae su YouTube:

Filippo sent you a message.

Subject: i fonud coool vvideo wtih you on youtubee.

“W O W

http://www.facebook.com/l.php?u=http://cc.msnscache.com%2Fcache.aspx

%3Fd%3D74245521488477%26watch%3D3194 – ea9baabb825ea0eb99ea4f95b91d”

Chrome segnala che la pagina linkata (passando prima tramite il redirect di FaceBook) contiene malware del tipo youtube-spy.info.

Attenzione ad aprire i link nelle email!

A parte cestinare immediatamente la mail, ora mi tocca scoprire se l’account del mio amico è compromesso, o se uno spambot abbastanza intelligente può mandare in giro sta roba senza bisogno delle credenziali del mittente. Stay tuned.

UPDATE: mi segnala Flavio che il virus si manifesta anche come link sul wall, e non sono come messaggio.

Technorati Tags: malware, facebook

Ad un conoscente è appena arrivata questa email, tutto sommato abbastanza ben fatta, e che a maggior ragione rappresenta un pericolo per il quasi ignaro utente.

Da: Google-AdWords [mailto:support-adwords@google.com]
Inviato: giovedì 9 ottobre 2008 15.51
A: ….
Oggetto: Submit your payment information.

——————————————————————————–

This message was sent from a notification-only email address that does
not accept incoming email. Please do not reply to this message. If you
have any questions, please visit the Google AdWords Help Centre at

https://adwords.google.com/support/?hl=en_GB

the page.
————————————————————————–

Hello,

Our attempt to charge your credit card for your
outstanding Google AdWords account balance was declined.
Your account is still open. However, your ads have been suspended. Once
we are able to charge your card and receive payment for your account
balance, we will re-activate your ads.

Please update your billing information, even if you plan to use the
same credit card. This will trigger our billing system to try charging
your card again. You do not need to contact us to reactivate your
account.

To update your primary payment information, please follow these steps:

1. Log in to your account at http://adwords.google.com/select (ndr: ho tolto il link, che era: http://www.adwords.google.com.agdopt.cn/select/Login)
2. Enter your primary payment information.
3. Click ‘Update’ when you have finished.

In the future, you may wish to use a backup credit card in order to
help ensure continuous delivery of your ads. You can add a backup
credit card by visiting your Billing Preferences page or visit the
AdWords Help Centre for more details:
Sincerely,

The Google AdWords Team

Thank you for advertising with Google AdWords. We look forward to
providing you with the most effective advertising available.

———————————————

Semplicemente evitate di cliccare sopra quel link camuffato (come dovreste fare praticamente in ogni caso!) e cestinate la mail. Sempre, sempre, sempre guardare l’indirizzo nascosto dietro il link.

Ciao Massimiliano.
Ora che hai distribuito un paio di centinaia di indirizzi email ad una ventina di (quasi) sconosciuti (almeno a me), ti posso comunicare che i signori Andy e John NON sono i direttori di MSN, non so di quale interruzione debbano scusarsi, e come dicono loro, non è uno skerzo. Però una grandissima Bufala sì, e ci sei cascato in pieno, come la persona che ti ha girato la mail.
Niente di grave, in ogni caso.
Nel dubbio ho registrato comunque 577 dei 578 indirizzi email disponibili.

Per favore, alcune basilari regole, tutte molto semplici.

1. Quando vi arriva una mail che vi chiede di essere inoltrata, con tutta probabilità è una bufala (chi si ricorda il simpatico virus albanese? Quello talmente rudimentale che dovevate essere voi ad inoltrarlo?)
2. Se decidi di inoltrarlo (perchè, per esempio, è una simpatica catena, e sperando che la valutazione di “simpatia” sia analoga anche per i tuoi amici), allora segui le regole 3 e 4.
3. Cancella la porzione di testo che non serve, per esempio tutti i footer, incollati uno sotto l’altro, dei passi precedenti della catena, ed inoltre cancella le informazioni non rilevanti, soprattuto tutti gli indirizzi di posta di persone conosciute e non.
4. Metti in BCC (o CCN) i destinatari, e te come destinatario principale, visto che possibilmente qualche tuo amico potrebbe non desiderare che tu diffonda il suo indirizzo di posta a chiunque, e soprattutto a degli sconosciuti (per lui).

Sennò, fa come ti pare.

Grazie.

PS: Dimenticavo, il testo della mail, giusto per avere un minimo di contesto.

> >
> > CIAO!!! LEGGI QUESTA EMAIL NOI SIAMO ANDY E JOHN I DIRETTORI DI MSN.
> > CI SCUSIAMO PER L’INTERRUZIONE PERO’ MSN NON ESISTERA’PIU’ ; PERCHE’MOLTEPERSONE
> > HANNO TROPPI ACCOUNT MSN, E NOI ABBIAMO SOLTANTO ALTRI 578 POSTI LIBERI.
> > SE VUOI CHE CHIUDIAMO IL TUO ACCOUNT NON MANDARE QUESTO MESSAGGIO;
> > MA SE VUOI CONSERVARLO ALLORA MANDA QUESTO MESSAGGIO A TUTTI TUOI CONTATTI.
> > NON E’ UNOSCHERZO MANDALO, GRAZIE.
> > PER USARE MSN E HOTMAIL,DALL’INVERNO 2008 BISOGNERA’ PAGARE (ANCHE SE LI USI DA TEMPO)
> > MA SE INVII QUESTO MESSAGGIO A 18 CONTATTI DIVERSI IL TUO OMINO DI MSN DA VERDE DIVENTERA’ BLU E CIO’ SIGNIFICA
> > CHE PER TE SARA’ GRATIS.
> > SE NON CI CREDI VAI A http://www.beppegrillo.it/2007/10/la_legge_levipr.html E GUARDA.’
> >

Il pericolo rappresentata da questa email truffa è che, per una volta, è scritta in un italiano praticamente perfetto. Il link invece è clamorosamente fasullo (e punta a “http://knid.edonica.com/apache2-default/.cartasi/index.htm”. Notare l’uso del punto per nascondere la cartella dal file system) e non dovrebbe essere difficile da riconoscere. Inoltre nella pagina linkata molti caratteri europei (le lettere accentate) non sono renderizzati correttamente, e contribuiscono a dare un effetto di scarsissima professionalità.

Occhi sempre aperti…

Gentile Cliente,

la informiamo che e’ disponibile on-line “www.cartasi.it” il suo estratto conto (riferito al codice del rapporto 06155-26742):
potra’ consultarlo, stamparlo e salvarlo sul suo PC per creare un suo archivio personalizzato.
Le ricordiamo che ogni estratto conto rimane in linea fino al terzo mese successivo all’emissione.

Grazie ancora per aver scelto i servizi on-line di CartaSi.
I migliori saluti.

Servizio Clienti CartaSi

Altro che contraffatto…

Nel più classico dei tentativi di phishing la mail che vedete riprodotta qui sotto cerca di dirottarvi su questo indirizzo: http://www.ocalawebsolutions.com/poste/index.htm

Lì troverete pronta ad accogliervi un’interfaccia che riproduce in maniera abbastanza realistica una interfaccia di login del sito di Poste Italiane SpA. Ma ovviamente non e quello ufficiale. E che cosa succede delle credenziali (username a password) che eventualmente decidete di fornire, neanche ve lo dico…

Per fortuna Firefox si accorge che si tratta di un “Sito Contraffatto” e vi invita ad allontanarvene immediatamente.

Una cosa strana (ed interessante al tempo stesso) è che le immagini, come nella precedente mail fasulla da Ebay sull’oggetto 258572119275, sono prese direttamente dal sito originale. Possibile che questo elemento non si possa usare per fermare all’origine l’uso di quelle immagini con mail fasulle?

Poste.it [Link Rimosso] chiede il vostro contributo: Per i possessori di carta PostePay o di un conto BancoPosta, a seguito di verifiche nei nostri database clienti, si и reso necessario per l’utilizzo online la conferma dei suoi dati. Le chiediamo perciт di confermarci i dati in nostro possesso entro 7 giorni dalla presente, accedendo al seguente form protetto: Accedi ai servizi online di Poste.it e verifichi il suo account » [Link Rimosso] L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicita, provvedera immediatamente ad attivare il suo ” Utente Verificato “. Per chi non fosse ancora cliente di Poste.it …. Da oggi la possibilitа di usufruire dei servizi online di Poste.it anche ai titolari di carte di creditodebito di altri gestori, potendo cosм tenere sempre sotto controllo il proprio saldo, gli ultimi 40 movimenti, potendo ricaricare carte postepay, pagare le sue bollette direttamente da casa e moltissimo altro! Sarа inoltre possibile per tutti i possessori di carte di creditodebito dei circuiti VISA Electron, Mastercard, American Express, ricaricare il proprio telefono cellulare * senza alcun costo aggiuntivo * Contact Center TELEFONO Numero gratuito 803.160 (dal lunedi al sabato dalle ore 8 alle ore 20). Poste italiane 2007

Lo vedete il dominio in oggetto? Ecco, evitatelo.

Se siete utenti Messenger c’è il rischio che vi attivi, da uno dei vostri amici, un link fatto in questo modo:

http://nomedelvostroamico.0a8qmz.info

Evitate di cliccarci sopra e soprattutto di fornire le vostre credenziali, dato che il sistema che c’è dietro con tutta probabilità le userebbe per accedere al vostro account live messanger, leggere tutti i vostri contatti, e mandare lo stesso messaggio, col vostro nome, agli stessi.

No, non è vero. Non l’hai ricevuta. Fidati.

Scommetto un link che il numero del tuo oggetto è uguale al mio. E che il link è un pericolosissimo oggetto, da non cliccare affatto. Che ti porterebbe su un indirizzo IP (81.10.5.102) nel quale, ne sono sicuro, non troveresti niente di buono. La mail è pure ben fatta, purtroppo. E questo, temo, potrebbe trarre in inganno molti utenti, ignari che si tratti dell’ennesimo phishing ai loro danni.

Domanda da eBay – Rispondete ora

eBay ha inviato questo messaggio per conto di un utente eBay tramite I miei messaggi. Le risposte inviate tramite email andra alla utente eBay direttamente e comprendera il tuo indirizzo email. Rispondete ora fare clic sul pulsante riportato di seguito per inviare la risposta tramite I miei messaggi (il tuo indirizzo e-mail non verra incluso).

View the dispute thread

Ennesimo tentativo di phishing a danno degli utenti dei servizi bancari.

Questa volta tocca ai clienti di Banca di Roma-Unicredit stare attenti. La seguente falsa comunicazione urgente non è originata dalla banca, ma da chissà quale malfattore. Occhi aperti. Sempre. Tra l’altro questo è uno di quelli peggio fatti.

Come al solito un buon antivirus, magari con uno scanner delle email in arrivo, può aiutare.

Comunicazione Urgente Banca di Roma – Servizio Clienti

Gentile Cliente,
UNICREDIT Banca di Roma

Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.
Per proteggere suo conto abbiamo sospeso il acceso.
Per recuperare il acceso prego di  accedere (Link rimosso, puntava all’host “Fc-24-130-151-178.hsd1.ca.comcast.net”) e completare la pagina di attivazione.

Se scegliete di ignorare la nostra richiesta, purtroppo non avremo altra scelta che bloccare temporaneamente il suo conto.

Grazie ancora per aver scelto i servizi on-line di Unicredit Banca di Roma.

Unicredit Banca di Roma garantisce il corretto trattamento dei dati personali degli utenti ai sensi dell’art. 13 del D. Lgs 30 giugno 2003 n. 196 ‘Codice in materia di protezione dei dati personali’.

Cordiali Saluti.
Unicredit Banca di Roma – Servizio Clienti

Molti di quelli che mi conoscono sanno del mio collaterale interesse (perchè passione sarebbe un po’ troppo) per il settore della comunicazione. Leggo libri più o meno fantasiosi scritti da art directors, seguo blog specializzati sull’advertising innovativo, mi interesso di M&A nel settore, e ho parecchi cari amici che ci lavorano.
Quando in testa alla mia inbox è arrivato un messaggio di congratulazioni per essere stato accolto nel più grande gruppo mondiale del settore, un attimo di sbandamento c’è stato. Non che abbia pensato neanche solo per un secondo che potesse essere vero, anche perchè non ho mandato CV o altro in nessuna delle 240 aziende del gruppo (sì, 240, avete capito bene. E se non ci credete, guardate qua!).
Per chi non lo sapesse la WPP ha al suo interno colossi del calibro di J. Walter Thompson (dal 2005 “JWT”), Ogilvy & Mather e Young & Rubicam, per citarne alcune…
Ecco il testo integrale della mail.

Benvenuto in WPP Group!

Noi siamo lieti che Lei desidera di unirsi con la nostra squadra! Lei deve collaborare con noi e occupato come presentante della societa (manager regionale), ritenere il dovere di partecipare nei operazioni con clienti. Per Lei sara nacessario rapidamente ricevere pagamenti.
Questo e un modo migliore per offrire un nuvo servizio finanziario per nostri clienti grazie alla sua collaborazione. Percio questo lavoro Vi porta via soli 2-3 ore al giorno.

Il lavoro non?e complicato e tipico. Lei deve realizzare gli pagamenti per I nostri clienti. I nostril manager sarano alla vostra disposizione tutto periodo di prova e spiegare tutto che e necessario per la collaborazione con noi. Vi offriremo un stipendio fluttuante: il primo mese Lei gudagna fino a $2000 e successivamente tutto dipende da Lei – lavora di piu e guadagno aumenta molto veloce.
Rimasto da fare solo un passo per iniziare una buona.carriera.

Manda un e-mail al indirizzo: karen.hrdepartment@gmail.com

Nella lettera indicare il numero di telefono e un’ora conveniente per chiamata. Cosi i nostri manager avranno la possibilita di collegarsi telefonicamente con Lei e rispondere a tutti I vostri domande..

Karen Ferguson
HR Manager
WPP Finance

Signora Karen Ferguson, la ringrazio per l’attenzione, le suggerisco di procurarsi un assistente che abbia l’italiano come lingua madre e che abbia fatto almeno la terza media, e…come si suol dire in questi casi…le faremo sapere!

Faccio notare che una WPP Finance esiste davvero nel gruppo WPP (anche se non si trova nell’elenco delle società citato da Wikipedia).

Attenzione, attenzione, ci risiamo con il più clasico dei tentativi di phishing.
L’unica variazione sul tema, piuttosto significativa, direi, è che invece del classico “abbiamo bisogno di aggiornare i tuoi dati”, in questo caso vi viene segnalato un accredito da sbloccare. Come al solito evitate di fare click sui link contenuti nelle email, e proteggetevi con una versione recente di qualche antivirus.

La mail è arrivata in due formati diversi, e può provenire da indirizzi della Banca di Roma o di Unicredit, indistintamente.
In una delle due la segnalazione di accredito è solo nel titolo, nell’altra invece si fa esplicito riferimento a 120,5 Euro che aspettano i vostri dati per essere accreditati.
Ecco il testo completo di entrambi i messaggi.

Gentile CLIENTE,

Nell’ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei
servizi di Banca di Roma e stata riscontrata una incongruenza relativa ai dati anagrafici in
oggetto da Lei forniti all momento della sottoscrizione contrattuale.

L’inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli
art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato
penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il
riciclaggio e la transparenza dei dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l’aggiornamento dei dati relativi
all’anagrafica dell’Intestatario dei servizi bancari.

Effetuare l’aggiornamento dei dati cliccando sul seguente collegamento sicuro:

Acceda al servizio Filiale via Internet »

Cordiali Saluti,

Banca di Roma

Mentre l’altra recita:

Gentile Cliente,
E’ arrivata una segnalazione di accredito di Euro 120,50 ricevuta dal ufficio di Roma. L’accredito e’ stato temporaneamente bloccato а causa dell’incongruenza dei suoi dati, potrа ora verificare i suoi dati e’ successivamente sarа accreditato l’accredito ricevuto:

Acceda al servizio accrediti online »

Sai che da oggi offriamo il doppio dei servizi? Vi offriamo solo servizi sicuri e di alta qualitа.

Cordiali saluti,

Banca di Roma