Ancora Phishing – Relazione di notifica decreto

Ancora una campagna di phishing indirizzata all’Italia, con una mail scritta in un italiano abbastanza corretto ed un invito a scaricare un file – sicuramente infetto – da un sito web che è stato compromesso.

Ecco il testo del messaggio. I nomi e gli indirizzi potrebbero ovviamente cambiare o essere generati automaticamente.

Io sottoscritto Avv. Giuseppe De Luca con studio a Adria situato in VIA GUBBIO, 818 P.IVA:767974381234 nella mia qualità di difensore e domiciliatario del Sig. Stefano Ferrari, res. a Adria indirizzo VIA GUBBIO, 997

NOTIFICO

Ad ogni effetto di legge l’atto N. 7347534458 in originale informatico
Che lo po scaricare al seguente indirizzo web: Atti [Link rimosso] (ovvero) in copia digitale conforme all’originale digitale da me predisposto nel giudizio civile dinanzi al Tribunale di Adria, mediante invio di messaggio di posta elettronica dalla mia casella, e con ricevuta completa, all’indirizzo [il vostro indirizzo]

Attesto infine che il messaggio , oltre alla presente relata di notifica sottoscritta digitalmente, contiene il seguente Decreto che lo po scaricare al seguente indirizzo web: Decreto anch’essi sottoscritti digitalmente: – copia informatica della decreto.

E’ anche probabile che un Avvocato Giuseppe De Luca esista, ma di sicuro non ha nulla a che fare con questa faccenda. La Partita IVA peraltro ha un formato errato, quindi è certamente non valida.

Che fare? Marcare come SPAM la mail (se il vostro client lo consente) e non cliccare mai, per nessun motivo, sui link sospetti.

Facebook, il pulsante “Mi Piace” e la Privacy (alle ortiche!)

GET /widgets/like.php?width=300&show_faces=1&layout=standard&href=http://www.imdb.com/title/tt1470023/
HTTP/1.1 Host: www.facebook.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.38 Safari/533.4
Cache-Control: max-age=0
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch Accept-Language: it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __utma=87286159.95024650.1229115815.1257501181.1257504432.15;
locale=it_IT; lsd=oXejW; c_user=713360587; datr=1232743389-2[…..][…..]a82db3f71bcfb4e652b6;
lo=bG3rNTGVwNb_XhGkftfasg; lxe=eugenio%40schinina.it; lxs=2; sct=1274172610; xs=ca120d8ee7341b01dc86ee8a74c18154;
x-referer=http%3A%2F%2Fwww.facebook.com%2Fhome.php%23%2Fhome.php;
presence=DJ274172612G27[…..][…..]72612QQQ
RESPONSE
HTTP/1.1 200 OK P3P: CP=”DSP LAW” Content-Encoding: gzip Content-Type: text/html;
charset=utf-8
X-Cnection: close Date: Tue, 18 May 2010 08:50:49 GMT
Transfer-Encoding:  chunked
Connection: keep-alive
Vary: Accept-Encoding Connection: Transfer-Encoding

Qualche giorno fa ho espresso agli amici le mie preoccupazioni sulla presenza ormai irrimediabilmente diffusa del pulsante “Like” (da poco riadattato in italiano con “Mi piace”).

Davanti alle loro facce un po’ spiegavo che Facebook è in grado adesso di conoscere le nostre abitudini di navigazione. Sa cioè esattamente quando e su che pagina passiamo, da quale link arriviamo e varie altre cose, probabilmente.

La cosa incredibile è che – in barba a qualunque criterio di privacy – è in grado di associare in maniera diretta questa serie di informazioni al nostro profilo. Vedere sotto per credere.

I (don’t) like this fu*%#g pixel tracking!

Ogni sito che intenda inglobare il pulsante “I like” non fa altro che aprire un IFRAME verso un altro dominio (facebook.com, nella fattispecie). Nella chiamata che ne consegue vengono scambiate interessanti informazioni.

Quello che segue è l’estratto di uno sniffing effettuato accedendo non a Facebook ma ad uno di questi partner sites, nella fattispecie IMDB.com. Di tutto il traffico ho isolato la porzione che accede al widget di FB.

Nei log ho evidenziato quello che mi interessa far notare: nella seconda chiamata, quella fatta da un computer su cui l’utente (il sottoscritto) è loggato su Facebook, noterete la presenza di un paio di dati interessanti, fra cui il mio facebook userid. Devo andare oltre o posso fermarmi qui?

GET /widgets/like.php?width=300&show_faces=1&layout=standard&href=http://www.imdb.com/title/tt1470023/
HTTP/1.1 Host: www.facebook.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows NT ...... Safari/533.4
Accept: application/xml,application/x[.....]age/png,*/*;q=0.5
Accept-Encoding: gzip,d[.....].8,en-US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __utma=87286159.95024650.1229115815.1257501181.1257504432.15;
lo=6xfx4qgM83b_WezVn2tp-Q; datr=1232743389-2c1f750af4cf324[.....]e652b6;
locale=it_IT

Il server risponde

HTTP/1.1 200 OK P3P: CP="DSP LAW" Content-Encoding: gzip Content-Type: text/html;
charset=utf-8
X-Cnection: close Content-Length: 2465
Vary: Accept-Encoding Date: Tue, 18 May 2010 08:48:51 GMT
Connection: keep-alive
Set-Cookie: reg_fb_gate=http%3A%2F%2Fwww.facebook.com%2Fwi[.....][.....]e%252Ftt1470023%252F;
 path=/; domain=.facebook.com
Set-Cookie: reg_fb_ref=http%3A%2F%2Fwww.facebook.com%2Fwi[.....][.....]e%252Ftt1470023%252F;
path=/; domain=.facebook.com

Poco male. Tanti dati in qualche modo oscuri (c’è sicuramente già qualche tipo di tracking), ma niente di così evidente come invece avviene nella caso che segue…

GET /widgets/like.php?width=300&show_faces=1&layout=standard&href=http://www.imdb.com/title/tt1470023/
HTTP/1.1 Host: www.facebook.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows[.....] ri/533.4
Cache-Control: max-age=0
Accept: application/xml,application/xhtm[.....]=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch[.....]US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: __utma=87286159.95024650.1229115815.1257501181.1257504432.15;
locale=it_IT; lsd=oXejW; c_user=713360587; datr=1232743389-2[.....][.....]a82db3f71bcfb4e652b6;
lo=bG3rNTGVwNb_XhGkftfasg; lxe=lamia%40email.it; lxs=2; sct=1274172610; xs=ca120[.....]c18154;
x-referer=http%3A%2F%2Fwww.facebook.com%2Fhome.php%23%2Fhome.php;
presence=DJ274172612G27[.....][.....]72612QQQ

E la risposta del server…

HTTP/1.1 200 OK P3P: CP="DSP LAW" Content-Encoding: gzip Content-Type: text/html;
charset=utf-8
X-Cnection: close Date: Tue, 18 May 2010 08:50:49 GMT
Transfer-Encoding:  chunked
Connection: keep-alive
Vary: Accept-Encoding Connection: Transfer-Encoding

Ho omesso il resto in quanto non interessante.

Notare che il parametro c_user è quello usato da Beacon, prima che venisse spento proprio per questioni di privacy.

Embè, dove sarebbe il problema?

Il problema non c’è, se accettate di fornire gratuitamente ad un operatore d’oltre oceano i dettagli delle vostre abitudini di navigazione. Probabilmente (ma io non ho modo di saperlo, vedi disclaimer) Facebook utilizza questi dati per personalizzare gli annunci che vi propone. O forse li vende ad altri. Chi lo sa?

Cosa posso fare per evitarlo?

Al momento credo che evitare di stare loggati su Facebook (Account, poi Logout) possa mitigare il problema, come documentano i traffici che ho riportato sopra, ma dovrei approfondire.

Alcuni doverosi disclaimer: primo, non sono uno specialista di sicurezza, anche se me ne interesso, quindi è possibile che in alcuni passaggi abbia preso delle cantonate. Secondo, non ho alcun elemento per dire che Facebook con quei dati ci faccia chissà che porcherie. Anzi, per essere precisi non ho neanche elementi di prova per dire che li memorizzino e li utilizzino in qualche modo. So però che cosa sarei in grado di farci io, avendoli a disposizione. E vi assicuro che potrebbe non piacervi. Terzo, Facebook non è certamente il primo è certamente non sarà l’ultimo sito web a fare uso di qualche variazione della tecnica del pixel tracking: la cosa (per me) sconvolgente è che lo faccia associando la navigazione in maniera assolutamente diretta al singolo utente. Infine, devo precisare che la mia analisi è tutt’altro che completa, per questioni di tempo, principalmente. Spero di poter dedicare un altro paio d’ore per completare gli scenari. Mi interessa capire in particolare se il problema si presenta anche quando non si è loggati in Facebook.

Squilli da 899104074

Sono già due gli squilli che ricevo oggi sul cellulare da questo numero telefonico: +39899104074.

Notare che togliendo il +39 (prefisso internazionale italiano) quel che resta è un numero a pagamento. Scopro cercando su internet di non essere l’unico. E che non è l’unico numero che usa questo becero meccanismo. Sospetto che si tratti di una truffa, anche se ovviamente non ho elementi per poterlo affermare.

Statev’accuort! (“State attenti”, per chi non parla le lingue).

Home Banking Intesa SanPaolo, fate molta attenzione!

Cosa curiosa stasera! Curiosa e molto pericolosa!

Per circa mezz’ora ho cercato di accedere al servizio di home banking, senza riuscirci. L’ho anche scritto su twitter, con toni decisamente poco lusinghieri.

A un’ora di distanza mi ritrovo la mail che vedete qui riprodotta, nella cartella spam di Gmail.

Phishing Intesa SanPaolo

Il fatto che i miei recenti tentativi di accesso fossero falliti, mi ha erroneamente portato a pensare che la mail potesse essere genuina, nonostante fosse stata archiviata come spam dal filtro di Aruba, e come tentativo di phishing da GMail. Ovviamente il sospetto è durato solo un attimo. Il tempo di vedere, nel testo della mail, una frase scritta in un italiano a dir poco fantozziano!

Accedi ai servizi online di intesasanpaolo.com e verifichi il suo account

Accedi?!? Che fa, mi da del tu?!? No, no, Accedi Lei! (cit.)

Ecco il testo completo della mail:

Caro cliente, Recentemente abbiamo notato uno o piů tentativi
  di entrare al vostro conto di Intesa Sanpaolo da un IP indirizzo differente.
  Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi
  insoliti di accedere a vostro Conto Intesa Sanpaolo possono essere iniziati
  da voi. Tuttavia, visiti prego appena possibile Intesa Sanpaolo per controllare
  le vostre informazioni di conto

Come detto è estremamente preoccupante che si tratti di un tentativo molto tempestivo di sfruttare una indisponibilità del servizio. Sono propenso a credere che il Denial of Service sul sito legittimo sia stato creato ad arte, dagli stessi mittenti della mail.

Ora faccio subito una segnalazione.

Punta e Viaggia? O Paga e Pentiti?!?

Un articolo di oggi di Tom’s Hardware pubblicizza il sito Punta e Viaggia, meccanismo di aste al ribasso con cui Meridiana ed Eurofly pensano probabilmente di svoltare (a livello di bilanci aziendali, almeno) in un ancora penalizzato settore.

Sono molto critico e scettico, per via del fatto che il meccanismo scelto è tanto conveniente per il venditore quanto lo sembra (ma solo sembra!) per l’acquirente.

Mi spiego: chi fa l’affare è chi vende, non chi compra!

Sicuro?

Sì, almeno su base statistica. Circa 6 mesi fa Piero Tofy ha fatto un’analisi molto dettagliata, scoprendo ad esempio che i guadagni per un oggetto da poche centinaia di euro (un iPod, nella fattispecie) potessero sfiorare i 5000 Euro. Sì, oltre il 2000% (duemilapercento!) del valore dell’oggetto.

D’altro canto questo spiegherebbe anche l’incredibile proliferare di questi siti negli ultimi anni.

Okkio al portafogli, quindi!

PS: Il meccanismo proposto da Punta e Viaggia prevede un limite nel numero di puntate per singolo utente. Questo altera probabilmente i risultati dell’analisi di cui si parlava, ma d’altro canto rende ancora più esplicito il guadagno del venditore. Provate a pensare cosa succedere se solo 20 o 30 utenti fanno il numero massimo di puntate?

I problemi dell’Italia: l’Ignoranza

Sono tanti i problemi che affliggono la mia povera Italia, come ama dire il Prof. Fuggetta.

Ma tanti tanti tanti, specie in questo periodo. E io comincerei con uno di questi, l’Ignoranza. Scritto proprio così, con la I maiuscola. E’ un tema delicato, perchè in fondo si corre il rischio di scadere facilmente nel classismo: “non tutti hanno le stesse possibilità” e “tu sei fortunato perchè hai una famiglia che ti ha fatto studiare” e…sì, è facile. Ma dobbiamo provarci lo stesso.

Ecco, c’è l’ignoranza diffusa, quella che fa sì che 8 milioni di cittadini (amesso che i dati siano veri) stiano a guardare il Grande Fratello; che poi è la stessa che rende problematico il tema del conflitto di interessi. Già, perchè se uno ha – mettiamo il caso – il controllo di un numero cospicuo dei mezzi di informazione, ed è libero di utilizzarli a proprio piacimento, allora è facile pilotare una massa di ignoranti (nel senso che ignorano…).

Ma stasera vorrei parlare dell’Ignoranza, quella con la I maiuscola, dicevo. L’Ignoranza che nella fattispecie stanno dimostrando i nostri governanti, mentre discutono in Senato una legge che è una vera schifezza, sia sotto il piano tecnico, sia sotto quello giuridico; per non parlare di quello sociale, facendoci fare peraltro una figura barbina a livello internazionale. Credo che, come spesso accade per i temi di cui è padrone, l’analisi più lucida sia quella di Stefano Quintarelli, e a lui rubo i passaggi più significativi. Però consiglio di leggerla tutta, la sua analisi.

Ambito della Legge

L’osservazione di Stefano è qui molto puntuale, e corredata da un esempio significativo.

istigazione a delinquere o a disobbedire alle leggi”:  mi pare decisamente troppo ampio. Nel codice penale mi risulta che ci sono due reati che parlano di “disobbedienza alle leggi”: 226 che riguarda i militari e il 415 c.p. quest’ultimo parla di istigazione a disobbedire alle leggi di ordine pubblico e di istigazione all’odio tra classi sociali. Tra “disobbedire alle leggi” e “disobbedire alle leggi di ordine pubblico” mi pare ci siano ordini di grandezza di differenza! Esistono leggi per gli orari di accensione del riscaldamento. Se scrivo “bisognerebbe accendere il riscaldamento piu’ di quando stabilito e mettere la temperatura a piu’ di quanto stabilito” e’ una istigazione alla disobbedienza delle leggi.

E’ abbastanza preoccupante la vaghezza con cui viene definito appunto l’ambito. Ma non è la cosa peggiore…

Via telematica o “siti web”?

Con il testo attuale – segnala sempre Stefano – qualunque tipo di comunicazione che avvenga attraverso la rete potrebbe dover essere censurata, è questo è un bel problema. E’ un problema perchè è di fatto impossibile monitorare in tempo reale….oh mio dio! Ecco il punto! (Ok, some emphasis added!) Il punto è che l’obbligo per il fornitore di filtrare (che brutta espressione!) i contenuti inappropriati significa essere autorizzato a guardarci dentro! E questa è una cosa inaccettabile!

E a dirla tutta potrebbe rappresentare un grossissimo problema per i provider. E come tutte le norme fatte male, procureranno un danno agli onesti, e non faranno alcun male ai cattivi, che già oggi possono impedire ai propri provider (tunneling, VPN, HTTPS…) di guardare dentro ai loro pachetti elettronici.

Il regolamento

Ma cazzo! Siamo stati tutta la settimana a discutere di norme costituzionali, del fatto che il Governo non possa scavalcare il Parlamento e la sua sovranità nel legiferare (se non fosse stato semplicemente il suo dovere, avrei detto “Napolitano santo subito!), e che facciamo? Mettiamo una legge wirdcard che rimanda alla totale discrezione di un Ministero la definizione delle regole (peraltro modificabili come e quando vuole?). Almeno, così la vedo io…vi prego, correggetemi!

Infine, cosa fare?

Il Popolo è ancora sovrano in questo paese (io ci credo, altrimenti sarei già andato via), e può fare solo una cosa, farsi sentire dai propri rappresentati. Sempre sul blog di Stefano trovate l’elenco delle email dei parlamentari. Mandate (e fate mandare ad altri) una email al vostro rappresentante. Un esempio del testo potreste trovarlo qui.

On.le …..

Le scrivo in merito all’emendamento 50 bis (Repressione di attività di apologia o incitamento di associazioni criminose o di attività illecitecompiuta a mezzo internet) del sen. Gianpiero D’Alia -Udc-, introdotto nel decreto Sicurezza e approvato al Senato [resoconto stenografico seduta 143]; è importante che in sede di Camera dei deputati si prenda in considerazione l’opportunità di valutare concretamente tale proposta di filtraggio dei flussi di dati, anche con l’ausilio di pareri tecnici di strutture preposte (ad esempio Autorità delle Comunicazioni, Fondazione Bordoni -il “thinktank” del ministero-).
È importante si capisca che: NON ESISTE ALCUN MEZZO TECNOLOGICO, per quanto complesso e costoso, che consenta di impedire ad un utente determinato di comunicare via internet con un altro utente o macchina.
L’unica possibilità sarebbe vietare la comunicazione digitale tout-court.
Devono essere rispettate le garanzie fissate dalla nostra Costituzione: “La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili” e ancora “Tutti hanno diritto di manifestare liberamente il proprio pensiero con la parola, lo scritto e ogni altro mezzo di diffusione”; con le norme introdotte con l’art 50 bis, per colpire un illecito, si correrebbe il rischio di attuare una vera e propria censura.
Mi auguro che proprio attraverso la rete sia possibile fare chiarezza per rivedere l’emendamento, partorito frettolosamente in risposta all’emergenza dei gruppi deviati su Facebook.

Cordiali saluti,
ecc.

E naturalmente, se lo ritenete utile, diffondete la notizia come potete. Ci sono già dei gruppi su Facebook, ad esempio (anche se sono annegati fra dozzine di gruppi stupidi), ma ci sono anche tanti forum e bacheche dove probabilmente la discussione prenderà piede nei prossimi giorni.

EDIT: Aggiungo il post di Stefano, che mi pare condivida il pensiero espresso qui.

Il tuo sosia su Facebook? L’ennesima burla!

Questa volta il creatore del gruppo vorrebbe farvi credere che un sistema automatico sia in grado di trovare, fra le foto del profilo di tutti gli utenti del gruppo, quella che più assomiglia alla vostra.

Il tuo sosia su Facebook? Una burla!
Il tuo sosia su Facebook? Una burla!

Premesso che la cosa – dal punto di vista puramente tecnico – sarebbe anche fattibile (anche se con risorse computazionali elevate e con diversi vincoli sui soggetti da confrontare – vi posso assicurare che non otterrete certamente questo risultato tramite l’iscrizione al gruppo.

 

Ecco alcuni indizi sfavorevoli:

  • Il sito web a cui punta il gruppo è inesistente, o per lo meno mal configurato.
  • Il testo è scritto in maniera del tutto incoerente: prima vi si dice che servono 14 giorni, poi che il sistema vi darà il risultato in poche ore.
  • Il “comunicato” è firmato da un certo Davide Falstazzi, la cui identità su Facebook e sulla intera rete sembra essere poco credibile.

Una nota positiva è che l’autore ha scritto nel comunicato che non è necessario invitare i vostri amici, a differenza di quanto accaduto nel caso del gruppo creato per scoprire i visitatori del proprio profilo. Tuttavia questo non ha fermato il meccanismo estremamente virale, che ha portato il gruppo ad avere a pochi giorni dalla sua creazione oltre 500.000 iscritti.

Ancora una volta una burla, dunque.

Continuo a pensare che ci siano modi più ragionevoli di usare un social network.

PS: se vi va di iscrivervi al gruppo così, solo per passare il tempo, non c’è (quasi) nulla di male! 🙂

Google c’è!

Lo cito per la seconda volta in 12 ore, ma solo perchè ritengo il follow-up importante.

Mi riferisco al post sul presunto auto-spam di GMail. La conclusione a cui arrivammo era che si trattava di un tentativo di fare leva sulla feature di GMail che associa il me al proprio indirizzo.

Ebbene, a quanto pare non è più così, come potete vedere dall’immagine.

A suo tempo segnalai la cosa in questo gruppo di assistenza dedicato proprio a GMail.

Anche se banale come modifica, mi sembra una risposta corretta e veloce.

Vecchia Falla di Google Ancora Pericolosa!

Qualche giorno fa ho segnalato un anomalo comportamento di Google, erroneamente identificato come bug. Mi riferivo alla feature che associa l’etichetta me al propio indirizzo, feature che gli spammer usano per far comparire come mandate da voi stessi delle mail, anche se l’ottimo filtro di Google riesce comunque ad intercettare il contenuto come spam.

Oggi si tratta invece di una cosa più seria e decisamente più pericolosa, se rapportata al fatto che molti di noi utilizzano oggi l’indirizzo di GMail come email primario e di contatto per molti servizi. Prima di alzare i toni è comunque opportuno che dica che mi riferisco ad un bug di sicurezza patchato (corretto) già da almeno un anno.

Ma tocca fare un po’ di ricostruzione, almeno un anno, appunto, di tempo!

Verso fine Settembre 2007 GNUCitizen prima descrive sommariamente una pericolosa vulnerabilità nel meccanismo di autenticazione di GMail, e poi – dopo la comunicazione da parte di Google che affermava di aver fixato il bug – la documenta con il cosiddetto proof of concept. La tecnica usata prevede sostanzialmente che l’hacker riesca ad “impostare” dei filtri che possono forwardare la posta ricevuta presso un indirizzo di suo gradimento. Oltre a esporre messaggi privati, questa tecnica può essere resa arbitrariamente distruttiva in quegli scenari in cui l’utente abbia utilizzato la casella di GMail come – ad esempio – mail di contatto per la registrazione di domini.

Pochi giorni dopo – il primo Ottobre dello stesso Anno – ZDNet pubblica un post di Ryan Naraine, un security evangelist di Kaspersky Lab, che spiega l’opportunità per tutti gli utenti di andare a controllare i propri “filtri”. La patch infatti elimina la vulnerabilità che permette all’hacker di impostarli, ma non bonifica quelli già impostati.

Negli ultimi 12 mesi (secondo questo articolo su RWW) almeno due domini di una certa rilevanza sono stati rapiti con questa tecnica, ed il secondo molto di recente!

Suggerimenti (presi direttamente da chi ha vissuto questa brutta esperienza):

  • Verificate i vostri filtri e disabilitate l’IMAP;
  • Non utilizzate la posta di GMail come casella di contatto per registrazioni “sensibili”;
  • Come sempre, non aprite i link nelle email, a meno che non siate certi di conoscere il mittente o l’origine.