Spam dal Proprio Indirizzo nella Casella GMail

Ho l’abitudine di controllare periodicamente la casella spam di Gmail. Credo che l’unico valido motivo per fare ciò sia legato ad una fiducia non proprio totale nei confronti del filtro. Ho in sostanza paura che il filtro possa essere troppo severo e generare quindi dei falsi positivi.

Per questo motivo controllo periodicamente ciò che viene archiviato come spam e naturalmente svuoto tutto (per rendere meno oneroso il successivo controllo).

Bene, devo dire che il filtro funziona a dovere. Finora solo un messaggio etichettato spam per errore. E in questi giorni mi ha anche stupito positivamente, riuscendo ad intercettare dei messaggi di spam anche se l’indirizzo del mittente era…uh…il mio!!!

[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]

Gmail Spam Box
Gmail Spam Box

La prima volta che è successo, qualche giorno fa, ho archiviato la cosa come un baco in qualche mass-mailer che avesse, ahimè, anche il mio indirizzo. Poi sono andato a guardare gli header del messaggio. In Gmail potete vederli facendo click sulla freccina accanto a reply, e scegliendo fra le opzioni “Show original”. E negli header ho visto cose brutte:

Delivered-To: mioindirizzo@gmail.com
Received: by 10.142.104.12 with SMTP id b12cs7943wfc;
        Tue, 11 Nov 2008 12:15:52 -0800 (PST)
Received: by 10.210.66.13 with SMTP id o13mr9588525eba.74.1226434551118;
        Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Return-Path: <mioindirizzo@gmail.com>
Received: from m85-94-175-97.andorpac.ad (m85-94-175-97.andorpac.ad [85.94.175.97])
        by mx.google.com with ESMTP id g9si9762451gvc.0.2008.11.11.12.15.46;
        Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Received-SPF: neutral (google.com: 85.94.175.97 is neither permitted nor denied 
by domain of mioindirizzo@gmail.com) client-ip=85.94.175.97;
Authentication-Results: mx.google.com; spf=neutral (google.com: 85.94.175.97 is neither 
permitted nor denied by domain of mioindirizzo@gmail.com) smtp.mail=mioindirizzo@gmail.com
Date: Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Message-Id: <4919e7f7.096c100a.3153.3259SMTPIN_ADDED@mx.google.com>
To: <mioindirizzo@gmail.com>
Subject: Barak and McCain's conssultants
From: <mioindirizzo@gmail.com>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Segue in testo del messaggio...

No ho particolare confidenza con in protocollo in questione, ma confrontando gli header con quelli di un messaggio legittimo la somiglianza è preoccupante. Purtroppo i pochi post(al momento) presenti nei relativi gruppi google non sono assolutamente d’aiuto.
I consigli che al momento posso dare sono abbastanza basilari:

[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]

  • cambiate password;
  • cambiate domanda segreta;
  • verificate o cancellate eventuali “account secondari” a cui avevate concesso l’accesso. Non mi riferisco agli account secondari di posta, me agli altri indirizzi che usate (se ne usate) per autenticarvi con i servizi di Google;
  • monitorate il fenomeno.

Conoscendo i personaggi in questione e l’attenzione verso questo prodotto, se la cosa dovesse diffondersi probabilmente ci metteranno una pezza.

Non mi fermo con le analisi. Spero di scoprire che si tratta di una banale configurazione di un client che si spaccia per un altro, nel qual caso (forse) c’è meno da preoccuparsi, ma vi invito comunque a verificare le vostre caselle spam. Chiaramente la preoccupazione più grande è che lo stesso messaggio possa essere mandato alla propria rubrica, ma al momento nessuno dei miei contatti ha riportato manifestazioni del genere. Uno di loro mi ha invece confermato di avere lo stesso problema dei messaggi auto-inviati.

Disclaimer: l’apertura di un messaggio di posta, specie dentro un browser con javascript abilitato, può causare l’esecuzione di codice maligno. Se non vi fidate dei messaggi che avete in spam e volete cancellarli senza correte rischi, eliminateli direttamente (“Delete all spam messages now”) senza aprirli.

UPDATE: Dopo pochi scambi di battute su FF (grazie a chi ha contributo alla discussione colmando la mia ignoranza), forse la cosa si può archiviare come un semplice tentativo di Socal Engineering tarato proprio su Gmail, e sulla sua funzionalità che associa l’etichetta “me” (come mittente) al proprio indirizzo di posta elettronica. Questo vuol dire che la sicurezza del vostro accont è con tutta probabilità inviolata (cioè la presenza di tali email non è un indice di effrazione).

Ho provatto a connettermi ad un smtp del provider (quindi non google) e inserendo a mano (tecnicamente spoofando) il campo “from” sono riuscito a riprodurre un messaggio per il 90% simile a quello che ho segnalato (ma mai identico negli header).

Il tentativo di autenticazione che Google cerca di fare tramite Sender Policy Framework non da un risultato significativo, ed è probabile che il filtro antispam tenga conto anche di questo.

Malware per Facebook

Primo malware per Facebook, almeno il primo che mi colpisca direttamente. per fortuna senza conseguenze.

Arriva con l’identità di un amico. La fortuna è che si tratta in realtà di un ex collega di lavoro. Fortuna, nel senso che storco subito il naso quando Filippo (lo chiameremo così per comodità) mi scrive di aver trovato un video che mi ritrae su YouTube:

Filippo sent you a message.

Subject: i fonud coool vvideo wtih you on youtubee.

“W O W
http://www.facebook.com/l.php?u=http://cc.msnscache.com%2Fcache.aspx
%3Fd%3D74245521488477%26watch%3D3194 – ea9baabb825ea0eb99ea4f95b91d”

Chrome segnala che la pagina linkata (passando prima tramite il redirect di FaceBook) contiene malware del tipo youtube-spy.info.

Attenzione ad arpire i link nelle email!
Attenzione ad aprire i link nelle email!

A parte cestinare immediatamente la mail, ora mi tocca scoprire se l’account del mio amico è compromesso, o se uno spambot abbastanza intelligente può mandare in giro sta roba senza bisogno delle credenziali del mittente. Stay tuned.

UPDATE: mi segnala Flavio che il virus si manifesta anche come link sul wall, e non sono come messaggio.

Technorati Tags: ,

Tentativo di Phishing per Utenti AdWords

Ad un conoscente è appena arrivata questa email, tutto sommato abbastanza ben fatta, e che a maggior ragione rappresenta un pericolo per il quasi ignaro utente.

Da: Google-AdWords [mailto:support-adwords@google.com]
Inviato: giovedì 9 ottobre 2008 15.51
A: ….
Oggetto: Submit your payment information.

——————————————————————————–

This message was sent from a notification-only email address that does
not accept incoming email. Please do not reply to this message. If you
have any questions, please visit the Google AdWords Help Centre at
https://adwords.google.com/support/?hl=en_GB
the page.
————————————————————————–

Hello,

Our attempt to charge your credit card for your
outstanding Google AdWords account balance was declined.
Your account is still open. However, your ads have been suspended. Once
we are able to charge your card and receive payment for your account
balance, we will re-activate your ads.

Please update your billing information, even if you plan to use the
same credit card. This will trigger our billing system to try charging
your card again. You do not need to contact us to reactivate your
account.

To update your primary payment information, please follow these steps:

1. Log in to your account at http://adwords.google.com/select (ndr: ho tolto il link, che era: http://www.adwords.google.com.agdopt.cn/select/Login)
2. Enter your primary payment information.
3. Click ‘Update’ when you have finished.

In the future, you may wish to use a backup credit card in order to
help ensure continuous delivery of your ads. You can add a backup
credit card by visiting your Billing Preferences page or visit the
AdWords Help Centre for more details:
Sincerely,

The Google AdWords Team

Thank you for advertising with Google AdWords. We look forward to
providing you with the most effective advertising available.

———————————————

Semplicemente evitate di cliccare sopra quel link camuffato (come dovreste fare praticamente in ogni caso!) e cestinate la mail. Sempre, sempre, sempre guardare l’indirizzo nascosto dietro il link.

Per continuare ad usare MSN…

Ciao Massimiliano.
Ora che hai distribuito un paio di centinaia di indirizzi email ad una ventina di (quasi) sconosciuti (almeno a me), ti posso comunicare che i signori Andy e John NON sono i direttori di MSN, non so di quale interruzione debbano scusarsi, e come dicono loro, non è uno skerzo. Però una grandissima Bufala sì, e ci sei cascato in pieno, come la persona che ti ha girato la mail.
Niente di grave, in ogni caso.
Nel dubbio ho registrato comunque 577 dei 578 indirizzi email disponibili. 😉

Per favore, alcune basilari regole, tutte molto semplici.

  1. Quando vi arriva una mail che vi chiede di essere inoltrata, con tutta probabilità è una bufala (chi si ricorda il simpatico virus albanese? Quello talmente rudimentale che dovevate essere voi ad inoltrarlo?)
  2. Se decidi di inoltrarlo (perchè, per esempio, è una simpatica catena, e sperando che la valutazione di “simpatia” sia analoga anche per i tuoi amici), allora segui le regole 3 e 4.
  3. Cancella la porzione di testo che non serve, per esempio tutti i footer, incollati uno sotto l’altro, dei passi precedenti della catena, ed inoltre cancella le informazioni non rilevanti, soprattuto tutti gli indirizzi di posta di persone conosciute e non.
  4. Metti in BCC (o CCN) i destinatari, e te come destinatario principale, visto che possibilmente qualche tuo amico potrebbe non desiderare che tu diffonda il suo indirizzo di posta a chiunque, e soprattutto a degli sconosciuti (per lui).

Sennò, fa come ti pare.

Grazie.

PS: Dimenticavo, il testo della mail, giusto per avere un minimo di contesto.

> >
> > CIAO!!! LEGGI QUESTA EMAIL NOI SIAMO ANDY E JOHN I DIRETTORI DI MSN.
> > CI SCUSIAMO PER L’INTERRUZIONE PERO’ MSN NON ESISTERA’PIU’ ; PERCHE’MOLTEPERSONE
> > HANNO TROPPI ACCOUNT MSN, E NOI ABBIAMO SOLTANTO ALTRI 578 POSTI LIBERI.
> > SE VUOI CHE CHIUDIAMO IL TUO ACCOUNT NON MANDARE QUESTO MESSAGGIO;
> > MA SE VUOI CONSERVARLO ALLORA MANDA QUESTO MESSAGGIO A TUTTI TUOI CONTATTI.
> > NON E’ UNOSCHERZO MANDALO, GRAZIE.
> > PER USARE MSN E HOTMAIL,DALL’INVERNO 2008 BISOGNERA’ PAGARE (ANCHE SE LI USI DA TEMPO)
> > MA SE INVII QUESTO MESSAGGIO A 18 CONTATTI DIVERSI IL TUO OMINO DI MSN DA VERDE DIVENTERA’ BLU E CIO’ SIGNIFICA
> > CHE PER TE SARA’ GRATIS.
> > SE NON CI CREDI VAI A http://www.beppegrillo.it/2007/10/la_legge_levipr.html E GUARDA.’
> >

Email Truffa Cartasi: Pubblicazione estratto conto on-line

Il pericolo rappresentata da questa email truffa è che, per una volta, è scritta in un italiano praticamente perfetto. Il link invece è clamorosamente fasullo (e punta a “http://knid.edonica.com/apache2-default/.cartasi/index.htm”. Notare l’uso del punto per nascondere la cartella dal file system) e non dovrebbe essere difficile da riconoscere. Inoltre nella pagina linkata molti caratteri europei (le lettere accentate) non sono renderizzati correttamente, e contribuiscono a dare un effetto di scarsissima professionalità.

Occhi sempre aperti…

Gentile Cliente,

la informiamo che e’ disponibile on-line “www.cartasi.it” il suo estratto conto (riferito al codice del rapporto 06155-26742):
potra’ consultarlo, stamparlo e salvarlo sul suo PC per creare un suo archivio personalizzato.
Le ricordiamo che ogni estratto conto rimane in linea fino al terzo mese successivo all’emissione.

Grazie ancora per aver scelto i servizi on-line di CartaSi.
I migliori saluti.

Servizio Clienti CartaSi

Sito Contraffatto: Poste.it (scrivono pure “Gentile Cliente!”)

Altro che contraffatto…

Nel più classico dei tentativi di phishing la mail che vedete riprodotta qui sotto cerca di dirottarvi su questo indirizzo: http://www.ocalawebsolutions.com/poste/index.htm

Lì troverete pronta ad accogliervi un’interfaccia che riproduce in maniera abbastanza realistica una interfaccia di login del sito di Poste Italiane SpA. Ma ovviamente non e quello ufficiale. E che cosa succede delle credenziali (username a password) che eventualmente decidete di fornire, neanche ve lo dico…

Per fortuna Firefox si accorge che si tratta di un “Sito Contraffatto” e vi invita ad allontanarvene immediatamente.

Una cosa strana (ed interessante al tempo stesso) è che le immagini, come nella precedente mail fasulla da Ebay sull’oggetto 258572119275, sono prese direttamente dal sito originale. Possibile che questo elemento non si possa usare per fermare all’origine l’uso di quelle immagini con mail fasulle?

Poste.it [Link Rimosso] chiede il vostro contributo:
Per i possessori di carta PostePay o di un conto BancoPosta, a seguito di verifiche nei nostri database clienti, si и reso necessario per l’utilizzo online la conferma dei suoi dati. Le chiediamo perciт di confermarci i dati in nostro possesso entro 7 giorni dalla presente, accedendo al seguente form protetto:
Accedi    ai Servizi online » Accedi a BancoPostaonline »
Accedi a Poste.it ? Accedi ai servizi online di Poste.it e verifichi il suo account » [Link Rimosso]
L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicita, provvedera immediatamente ad attivare il suo ” COMPUTER Utente Verificato “.
Per chi non fosse ancora cliente di Poste.it ….
Da oggi la possibilitа di usufruire dei servizi online di Poste.it anche ai titolari di carte di creditodebito di altri gestori, potendo cosм tenere sempre sotto controllo il proprio saldo, gli ultimi 40 movimenti, potendo ricaricare carte postepay, pagare le sue bollette direttamente da casa e moltissimo altro!
Sarа inoltre possibile per tutti i possessori di carte di creditodebito dei circuiti VISA Electron, Mastercard, American Express, ricaricare il proprio telefono cellulare * senza alcun costo aggiuntivo *
Contact Center
TELEFONO TELEFONO
Numero gratuito 803.160 (dal lunedi al sabato dalle ore 8 alle ore 20).

Poste italiane 2007

0a8qmz.info

Lo vedete il dominio in oggetto? Ecco, evitatelo.

Se siete utenti Messenger c’è il rischio che vi attivi, da uno dei vostri amici, un link fatto in questo modo:

http://nomedelvostroamico.0a8qmz.info

Evitate di cliccarci sopra e soprattutto di fornire le vostre credenziali, dato che il sistema che c’è dietro con tutta probabilità le userebbe per accedere al vostro account live messanger, leggere tutti i vostri contatti, e mandare lo stesso messaggio, col vostro nome, agli stessi.

Hai ricevuto una domanda sul tuo eBay item # 258572119275

No, non è vero. Non l’hai ricevuta. Fidati.

Scommetto un link che il numero del tuo oggetto è uguale al mio. E che il link è un pericolosissimo oggetto, da non cliccare affatto. Che ti porterebbe su un indirizzo IP (81.10.5.102) nel quale, ne sono sicuro, non troveresti niente di buono. La mail è pure ben fatta, purtroppo. E questo, temo, potrebbe trarre in inganno molti utenti, ignari che si tratti dell’ennesimo phishing ai loro danni.

Domanda da eBay – Rispondete ora eBay
eBay ha inviato questo messaggio per conto di un utente eBay tramite I miei messaggi. Le risposte inviate tramite email andra alla utente eBay direttamente e comprendera il tuo indirizzo email. Rispondete ora fare clic sul pulsante riportato di seguito per inviare la risposta tramite I miei messaggi (il tuo indirizzo e-mail non verra incluso).

View the dispute thread
Respond Now

Ancora Phishing: Tocca a Banca di Roma – Unicredit

Ennesimo tentativo di phishing a danno degli utenti dei servizi bancari.

Questa volta tocca ai clienti di Banca di Roma-Unicredit stare attenti. La seguente falsa comunicazione urgente non è originata dalla banca, ma da chissà quale malfattore. Occhi aperti. Sempre. Tra l’altro questo è uno di quelli peggio fatti.

Come al solito un buon antivirus, magari con uno scanner delle email in arrivo, può aiutare.

Comunicazione Urgente Banca di Roma – Servizio Clienti

Gentile Cliente,
UNICREDIT Banca di Roma

Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.
Per proteggere suo conto abbiamo sospeso il acceso.
Per recuperare il acceso prego di  accedere (Link rimosso, puntava all’host
“Fc-24-130-151-178.hsd1.ca.comcast.net”) e completare la pagina di attivazione.

Se scegliete di ignorare la nostra richiesta, purtroppo non avremo altra scelta che bloccare temporaneamente il suo conto.

Grazie ancora per aver scelto i servizi on-line di Unicredit Banca di Roma.

Unicredit Banca di Roma garantisce il corretto trattamento dei dati personali degli utenti ai sensi dell’art. 13 del D. Lgs 30 giugno 2003 n. 196 ‘Codice in materia di protezione dei dati personali’.

Cordiali Saluti.
Unicredit Banca di Roma – Servizio Clienti

[SCAM] Benvenuto nel gruppo WPP! (Sì…magari!!!)

Molti di quelli che mi conoscono sanno del mio collaterale interesse (perchè passione sarebbe un po’ troppo) per il settore della comunicazione. Leggo libri più o meno fantasiosi scritti da art directors, seguo blog specializzati sull’advertising innovativo, mi interesso di M&A nel settore, e ho parecchi cari amici che ci lavorano.
Quando in testa alla mia inbox è arrivato un messaggio di congratulazioni per essere stato accolto nel più grande gruppo mondiale del settore, un attimo di sbandamento c’è stato. Non che abbia pensato neanche solo per un secondo che potesse essere vero, anche perchè non ho mandato CV o altro in nessuna delle 240 aziende del gruppo (sì, 240, avete capito bene. E se non ci credete, guardate qua!).
Per chi non lo sapesse la WPP ha al suo interno colossi del calibro di J. Walter Thompson (dal 2005 “JWT”), Ogilvy & Mather e Young & Rubicam, per citarne alcune…
Ecco il testo integrale della mail.

Benvenuto in WPP Group!

Noi siamo lieti che Lei desidera di unirsi con la nostra squadra! Lei deve collaborare con noi e occupato come presentante della societa (manager regionale), ritenere il dovere di partecipare nei operazioni con clienti. Per Lei sara nacessario rapidamente ricevere pagamenti.
Questo e un modo migliore per offrire un nuvo servizio finanziario per nostri clienti grazie alla sua collaborazione. Percio questo lavoro Vi porta via soli 2-3 ore al giorno.

Il lavoro non?e complicato e tipico. Lei deve realizzare gli pagamenti per I nostri clienti. I nostril manager sarano alla vostra disposizione tutto periodo di prova e spiegare tutto che e necessario per la collaborazione con noi. Vi offriremo un stipendio fluttuante: il primo mese Lei gudagna fino a $2000 e successivamente tutto dipende da Lei – lavora di piu e guadagno aumenta molto veloce.
Rimasto da fare solo un passo per iniziare una buona.carriera.

Manda un e-mail al indirizzo: karen.hrdepartment@gmail.com

Nella lettera indicare il numero di telefono e un’ora conveniente per chiamata. Cosi i nostri manager avranno la possibilita di collegarsi telefonicamente con Lei e rispondere a tutti I vostri domande..

Karen Ferguson
HR Manager
WPP Finance

Signora Karen Ferguson, la ringrazio per l’attenzione, le suggerisco di procurarsi un assistente che abbia l’italiano come lingua madre e che abbia fatto almeno la terza media, e…come si suol dire in questi casi…le faremo sapere!

Faccio notare che una WPP Finance esiste davvero nel gruppo WPP (anche se non si trova nell’elenco delle società citato da Wikipedia).