• Analizza eventi recenti

Attenzione Al Phishing


andrew862

Messaggi consigliati

Tra ieri e oggi sto rivecendo diverse email di phishing moneybookers. Sono fatte molto bene da un punto di vista grafico, tanto che ieri sera quasi ci stavo per cascare, per foruna mi sono corto che l'indirizzo in alto, seppur simile non è quello di mb e che nel login c'era un semplice http:// al posto della classica connesione

protetta http://.

Nella mail si parla di blocco dell'account per transazioni sospette.

Attenzione che è fatta parecchio bene , quelle delle poste di solito si vedono a 1km di distanza che sono false.

Occhio!

post-2784-1191321948_thumb.jpg

Link al commento
Condividi su altri siti

http://203.46.83.66/login.pl.htm

è questo l'url

l'url proviene dall'australia

l'email nell'header aveva il seguente ip 4.19.64.6 che a quqnto pare proviene dalla california.

x localizzare gli ip ho usato http://www.ip-adress.com/, non so fino a che punto è attendibile

comunque potrebbero, anzi molto probabilmente useranno dei proxy server quindi da dove vengono veramente nessuno lo sa

ps comunque il sito di oggi si vede che è contraffatto, ma quello di ieri era fatto molto meglio, proprio perfetto spiccicato a quello di mb

Modificato: da andrew862
Link al commento
Condividi su altri siti

x localizzare gli ip ho usato http://www.ip-adress.com/, non so fino a che punto è attendibile

Sì, sembra attendibile, io uso DNSstuff perché possiede più funzionalità.

Dall' IP che hai postato viene fuori il negozio vegetariano Melissa's il quale sembra tutto meno che un proxy. Le possibilità sono (almeno) 3:

1) sono proprio loro i truffaldini (mah!)

2) l'indirizzo IP è un fake, quello vero sta tra le parentesi quadre come in questo esempio:

Received: from 4.19.64.6 ( [90.157.141.35]) by mx.google.com with ESMTP id o24sm6856852ugd.2007.04.27.04.16.45; Fri, 27 Apr 2007 04:16:46 -0700 (PDT)

3) un hacker (4m1c0) ha violato le protezioni del loro server e lo usa come proxy. In quest'ultimo caso faresti un' opera buona ad inviargli una email per informarli che dal punto di vista della sicurezza il loro server fa acqua da tutte le parti. Questo è l'indirizzo: hotline (at) melissas.com

Il fatto che abbiano bloccato il sito-tarocco così velocemente è la prova che ognuno di noi può fare qualcosa per arginare questo fenomeno. Quanti di noi si limitano a cestinare quella email, tutti contenti di non esserci cascati?

Invece qualcuno è intervenuto subito denunciando questo grave fatto al proprietario del server australiano che ospitava quel sito canaglia. E forse qualche povero diavolo è stato salvato da un furto sicuro. Non è poco.

Appena in tempo, la corda attorno al collo del malcapitato era stata tesa per benino, hanno proprio fatto i perfezionisti... ma hanno scordato le parole di Sentenza:

"Non basta una corda per fare un impiccato...anche uno straccione come quello ha un angelo custode...un angelo biondo che veglia su di lui !..."

Link al commento
Condividi su altri siti

Guarda io non sono molto espero di queste cose.

Ti do i dettagli dell'email, se hai tempo e voglia di fare segnalazioni vedi tu.

Questa è l'email ricevuta oggi

"Received: from FBCMMI01B06.fbc.local ([192.168.69.39]) by FBCMST06V01.fbc.local with Microsoft SMTPSVC(6.0.3790.1830); Tue, 2 Oct 2007 10:20:23 +0200

MIME-Version: 1.0

Content-Type: text/html;

charset="Windows-1251"

Content-Transfer-Encoding: quoted-printable

Received: from FBCMMX01B04.fbc.local ([192.168.69.33]) by FBCMMI01B06.fbc.local with Microsoft SMTPSVC(6.0.3790.1830); Tue, 2 Oct 2007 10:20:22 +0200

Received: from mail.cengis.com ([210.14.64.231]) by FBCMMX01B04.fbc.local with Microsoft SMTPSVC(6.0.3790.1830); Tue, 2 Oct 2007 10:20:21 +0200

Received: from localhost (localhost.localdomain [127.0.0.1]) by mail.cengis.com (Postfix) with ESMTP id 5CB02CB9A3; Tue, 2 Oct 2007 16:21:27 +0800 (CST)

Received: from mail.cengis.com ([127.0.0.1]) by localhost (mail.cengis.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id W3G8wMA585GM; Tue, 2 Oct 2007 16:21:23 +0800 (CST)

Received: from User (unknown [4.19.64.6]) by mail.cengis.com (Postfix) with ESMTP id 92712CB9A1; Tue, 2 Oct 2007 16:20:48 +0800 (CST)

Return-Path: <[email protected]>

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MimeOLE: Produced By Microsoft Exchange V6.5

X-OriginalArrivalTime: 02 Oct 2007 08:20:21.0844 (UTC) FILETIME=[13495940:01C804CD]

X-Virus-Scanned: amavisd-new at

X-Spam-Status: No, score=13.067 tagged_above=-10 required=20tests=[bAYES_50=0.001, FORGED_MUA_OUTLOOK=4.056,FORGED_OUTLOOK_HTML=2.713, FORGED_OUTLOOK_TAGS=2.492,HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.001, MSGID_FROM_MTA_ID=1.393,NORMAL_HTTP_TO_IP=0.175, NO_REAL_NAME=0.961, UNDISC_RECIPS=0.841,X_PRIORITY_HIGH=0.433]

X-Spam-Level: *************

X-Spam-Score: 13.067

Content-class: urn:content-classes:message

Subject: Account suspended

Date: Tue, 2 Oct 2007 10:54:58 +0200

Message-ID: <[email protected]>

X-MS-Has-Attach:

X-MS-TNEF-Correlator:

Thread-Topic: Account suspended

Thread-Index: AcgEzRSif3AAY+CuQ0SQQDD2CDm7jw==

X-Priority: 1

Importance: high

From: "moneybookers.com" <[email protected]>

To: "undisclosed-recipients" <undisclosed-recipients:;>

Reply-To: <[email protected]>"

Link al commento
Condividi su altri siti

L'IP che hai dato va benissimo e non dovrebbe essere un fake, probabilmente quel server è stato usato come proxy... oppure quello store potrebbe avere un servizio di Internet Point al suo interno, non puoi mai sapere cosa si inventano questi americani per vendere le loro schifezze.

Purtroppo solo il secondo sito che hai messo è stato bloccato, quello australiano è ancora in funzione... vedrò di reperire l'email del provider per segnalare l'abuso. Anche Moneybookers dovrebbe esserne informato, l'esistenza di un sito clone non può lasciarli indifferenti e forse loro hanno i mezzi giusti per procedere legalmente contro questo individuo.

Se qualcuno ha altre idee (o si offre di scrivere le emails riportanti l'abuso) si faccia pure avanti.

Ecco tutto quello che ho scoperto finora sul tuo amico truffatore:

1) invia le email da un pc in California (negozio vegetariano della sora Melissa)

2) usa un servizio web-mail cinese

3) il sito-clone di Moneybookers si trova in Australia

4) i dati riservati vengono spediti da un remailer giapponese

5) una frase scritta dal furfante è in lingua rumena

6) vende computer su Ebay a 1000$ spacciandosi per canadese (sarà vero?)

Riassumendo:

Los Angeles -> Shangai -> (tua casella) -> Brisbane -> Kyoto -> Thompson,Manitoba

Potrei provare a contattarlo fingendomi interessato all'acquisto di un pc, quasi quasi... :blink:

Link al commento
Condividi su altri siti

3) un hacker (4m1c0) ha violato le protezioni del loro server e lo usa come proxy. In quest'ultimo caso faresti un' opera buona ad inviargli una email per informarli che dal punto di vista della sicurezza il loro server fa acqua da tutte le parti. Questo è l'indirizzo: hotline (at) melissas.com

Permettimi di dissentire, anche se un tempo bucavo server qui e lì..non ho mai fatto danni a nessuno, al max ho saturato un pò qualche banda :blink: al contrario di questa persona che lo fa per i propri interessi, io non la definirei 'hacker' bensì 'lamer'..non puoi farmi questi erroracci caro il mio tonino ^^

Ciao

P.S.: aggiungo che comunque non mi ritengo neppure minimamente un hacker ;)

Link al commento
Condividi su altri siti

Cavolo quante cose hai scoperto, che il sito clone è australiano era facile da scoprire, ma che è un venditore ebay come hai fatto??

per la frase in rumeno, non mi stupisce, i rumeni sono mostri al pc.Soprattutto so che sono dei veri specialisti in truffe informatiche.

Purtroppo mb non ha un'email x questo tipo di segnalazioni.

Link al commento
Condividi su altri siti

ok, ho appena inviato l'email al provider australiano

se qualcun altro la vuole mandare questo è l'indirizzo:

abuse (at) telstra.net

Avrei bisogno di sapere due cose:

1 - la mail truffaldina è arrivata allo stesso indirizzo usato per Moneybookers?

2 - qualcuno di voi conosce delle persone che potrebbero tradurre gratis una lettera in rumeno? (no traduttori automatici)

Fatevi avanti, di sicuro avrete conosciuto qualche bella badante rumena! :033:

Link al commento
Condividi su altri siti

1) si è arrivata allo stesso indirizzo di mb, è per questo che ci stavo per cascare, ma non so se è un caso, mi arrivano a volte a quello stesso indirizzo anche phishing di banche con cui non ho nulla a che fare. ne io ne mio padre.

2)per il rumeno non so che dirti, non conosco nessuno

Link al commento
Condividi su altri siti

:033: ma ti sei offeso?! A volte sono un po' pesante, lo ammetto, ma non era assolutamente mia intenzione paragonarti ad un tipo del genere, figuriamoci!

L'associazione hacker=4m1c0 mi è venuta quasi automatica dopo la tua pubblica confessione. Tutto qui.

nono, tranquillo, ma che offeso, scusa se poteva sembrare così il post..ma assolutamente non era mia intenzione, doveva essere 1 post ironico e correttivo :ris:

Link al commento
Condividi su altri siti

1) si è arrivata allo stesso indirizzo di mb, è per questo che ci stavo per cascare, ma non so se è un caso

Magari è solo un caso, però il bricconcello potrebbe essersi procurato il tuo indirizzo intrufolandosi in uno dei tuoi conti casinò dove hai usato Moneybookers.

Nel dubbio io cambierei le password a questi casinò.

Link al commento
Condividi su altri siti

Nonostante la mia dettagliata segnalazione, il sito australiano è ancora funzionante :ris:

msg-1841-1191596602_thumb.jpg

Devo dire però che guardando la pagina trovo difficile che qualcuno, seppure distratto, riesca a cascarci, manca ad es. il disegnino random coi caratteri da riportare, inoltre il campo 'data di nascita' dovrebbe essere diviso in 3 parti...

da ciò si capisce che il birbaccione è poco esperto di Moneybookers e difficilmente riuscirà a fregare qualcuno.

Altra nota a demerito è che la pagina web clonata non funziona correttamente su Opera (almeno la versione in mio possesso).

Un giorno o l'altro proverò comunque a contattarlo gen009.gif

Modificato: da tonino
Link al commento
Condividi su altri siti

ok, ho appena inviato l'email al provider australiano

se qualcun altro la vuole mandare questo è l'indirizzo:

abuse (at) telstra.net

Avrei bisogno di sapere due cose:

1 - la mail truffaldina è arrivata allo stesso indirizzo usato per Moneybookers?

2 - qualcuno di voi conosce delle persone che potrebbero tradurre gratis una lettera in rumeno? (no traduttori automatici)

Fatevi avanti, di sicuro avrete conosciuto qualche bella badante rumena! :rolleyes:

Il mio compagno e rumeno per ciò, se interessa ancora la faccio tradurre io :P

Link al commento
Condividi su altri siti

Ottimo, Greys! :rolleyes:

Si tratta di poche righe, giusto per inquadrare meglio il tipo. Potrei anche mandare la email in inglese, ma è molto probabile che verrebbe considerata come spam e cestinata. Invece la (ipotetica) madrelingua dovrebbe catturare la sua attenzione.

Ti ringrazio fin d'ora per il favore. Ecco il testo della lettera:

Salute a te, utente di ebay

siamo la ATE e ci occupiamo del commercio di prodotti tecnologici di consumo in area Europa. Essendo interessati sia alla fase di acquisto che a quella di vendita, siamo disposti a ritirare interi stocks da piazzare sul mercato europeo.

Se invece desideri comprare a prezzi di realizzo, ti invitiamo a prendere visione delle nostre interessanti offerte. Puoi anche venire a visitare i nostri magazzini a Timisoara e constatare di persona lo stato della merce.

Buoni affari su ebay!

Dumitru Celanellanu

Amixam Timisoara Export

Link al commento
Condividi su altri siti

Ecco la tua lettera:

Stimat client de eBay,

Reprezint la ATE, societate ce se ocupa de comertul de produse tehnologice de

consum la nivel European.

Fiind interesati in vanzarea dar si in cumpararea produselor mai sus mentionate,

am fi dispusi sa cumparam stocuri intregi pentru clientii nostri de pe intreg teritoriul European.

In schimb, daca doresti sa cumperi la preturi de fabrica, te invitam sa dai o privire la ofertele

interesante ce ofrim. Poti veni chiar sa vizitezi magaziile noastre din Timisoara, pentru a vedea de persoana calitatea produselor noastre.

"Spor la treaba" si multe vanzari pe eBay.

Dumitru Celanellanu

Amixam Timisoara Export

E adattata un pochino perché tradotta alla lettera non ha tanto senso.

Comunque se sto qua e un po furbo non ci casca e ti dico anche perché : In lingua rumena hanno delle lettere che noi non abbiamo come per esempio la t con una specie di virgola sotto o la a con ^ o una specie di cappuccio :rolleyes: sopra. Almeno che tu non disponga di una tastiera rumena, mi sa che non funzionerà . Un altra cosa , cambia quel cognome rumeno perché non esiste.

Spero di esserti stata d'aiuto .

Modificato: da greys
Link al commento
Condividi su altri siti

Wow! Sembra latino o friulano! grande Greys! davvero grazie! :)

Non preoccuparti per i caratteri speciali, ho notato che alcuni siti web rumeni non li adottano affatto, esempio: http://www.cotidianul.ro

immagino che questa sia una tendenza moderna che prenderà piede sempre di più.

Tieni anche conto che colui che invia questa lettera (l'ineffabile Dumitru) non deve rappresentare una azienda pulita e regolare che fa dell' email-marketing, bensì una sorta di ricettatore da quattro soldi in cerca di posti dove ripiazzare la sua 'merce'. Qualche ingenuità e imprecisione ci stanno tutte.

L'importante secondo me è che la lettera appaia scritta da un rumeno di madrelingua.

Magari la email verrà cestinata in ogni caso, e allora si passerà alla FASE 2 :)

cambia quel cognome rumeno perché non esiste

e vorrei vedere... me lo sono inventato io! :)

era una provocazione piuttosto volgarotta (Ce-l-ha-nell-anu) per vedere che cosa avresti risposto.

Tornando a cose un po' più serie, per il discorso della tastiera rumena è più semplice di quanto credi:

sei hai Windows XP, nella barra di avvio in basso a dx dovresti avere il simbolo IT (è la barra della lingua), clicca ed accedi alle impostazioni. Seleziona Aggiungi (al centro) e magicamente la tua tastiera si trasforma in rumena. Attraverso la combinazione di tasti alt + maiusc puoi saltare alternativamente alla lingua ed alla tastiera che preferisci.

Io l'ho appena fatto e al posto delle accentate mi ritrovo dei bei caratteri speciali draculeschi (5 minuscoli e altrettanti maiuscoli):

? ? î Î ? ? ? ? â Â

Per i file locali funziona alla grande, invece i servizi sul web (web-mail, forum, ecc.) pare non li riconoscano.

Ultima cosa: puoi dirmi che significa "stapane"? spero che non sia una parolaccia.

Ciao e ancora grazie.

Link al commento
Condividi su altri siti

Ultima cosa: puoi dirmi che significa "stapane"? spero che non sia una parolaccia.

Ciao e ancora grazie.

Vuol dire padrone almeno se la 2° a e cosi â e la prima con il cappuccio al contrario.

Cacchio sto diventando esperta della lingua rumena :)

Link al commento
Condividi su altri siti

Unisciti alla conversazione

Adesso puoi postare e registrarti più tardi. Se hai un account, registrati adesso per inserire messaggi con il tuo account.

Ospite
Rispondi

×   Incolla come testo formattato.   Incolla invece come testo normale

  Sono permesse un massimo di 75 faccine.

×   Il tuo link è stato inserito automaticamente.   Visualizza invece come link

×   Il tuo contenuto precedente è stato ripristinato.   Editor trasparente

×   Non puoi incollare le immagini direttamente. Carica o inserisci immagini dall'URL.

Caricamento