Nuovo Phishing sulle poste...

I ragazzetti del Phishing ci stanno dando dentro.
Si... Sono ragazzetti che mandano mail simili a quelle inviate da banche ed enti, cercando di convincere i destinatari a inserire i loro dati personali in pagine Web SIMILI a quelle istituzionali... Ma in loro possesso.
I dati vengono rubati e usati per svuotare i conti dei malcapitati di turno.
Stavolta, il phishing colpisce ancora le poste italiane, con un messaggio dall'oggetto: "Misure di sicurezza il tuo account è stato bloccato!".
Il mittente risulta BPOL@bancopostaonline.poste.it [servizi.online@bancoposteonline.it ].
Ovviamente è una TRUFFA. Nessun servizio online serio manda messaggi di tono così minatorio...
Il testo, invece, è abbastanza credibile:
Caro cliente Poste.it,

Una nuova gamma completa di servizi online èdesso disponibile !
Per poter usufruire dei nuovi servizi online di Poste.it occorre prima diventare UTENTE VERIFICATO.

Accedi a Poste.it »
Accedi ai servizi online di Poste.it e diventa UTENTE VERIFICATO »

L'Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicit provveder immediatamente ad attivare il suo " Nome Utente Verificato ". Verrai informato telefonicamente di tale attivazione.

ContactCenter
Numero gratuito 803.160 (dal lunedìl sabato dalle ore 8 alle ore 20).

© Poste Italiane 2007 contattaci privacy mappa del sito personalizza visualizzazione Partita IVA 01114601006


Caratteristica del messaggio è che tutti i link si collegano direttamente al sito di poste.it.
Tutti tranne due: quello "sotto" la scritta "Diventa utente verificato" e sotto "Accedi a poste.it".
Questi due link, NON rimandano a poste.it ma a un sito chiamato www.poste.it.omoadm.com. Per essere precisi alla pagina /bancopostaonline.poste.it/index.php.
Inutile dire che l'aspetto della pagina è identico a quella di login di poste.it e più d'uno può esserne ingannato.
Andiamo un po' a vedere cos'è il sito omoadm.com... E scopriamo che è un server negli USA (205.234.106.186) , anzi: della virginia. Di Ashburn.
Il cui nome reale è unknown186.106.234.205.defenderhosting.com.
Chi è defenderhosting.com?
Indaghiamo... Basta un Geo IP Tool qualsiasi...
Che ci dice che il server di base è www1.powervps.com, il cui IP è 205.177.13.10. Che sta anche questo negli USA, in Virginia, a Sterling. Dove c'è una delle più famose università americane... Vuoi vedere che hanno usato un server dell'università come punto di appoggio?
Seguiamo, però, un'altra rotta... E cerchiamo il server a cui viene rediretto il traffico... basta cercare l'indirizzo completo: www.poste.it.omoadm.com.
Il risultato è quello di identificare un server francese. Che strano... Ricordo che i francesi c'entravano già in queste storie di phishing...
per essere precisi, risaliamo al server 20-5-73-62.serveur-heberge.com che ha IP 62.73.5.20.
Chi è serveur-heberge.com?
Qui ci dobbiamo fermare...
Si, perché la classe di Ip assegnati a questo nome... In realtà non esiste. Servirebbero i dati del server in Virginia per capire che fine fa il traffico. Dati facilmente recuperabili dalle autorità di polizia, per andare lì e fargli il culo.
In realtà, uno strumento l'abbiamo da SECOLI... Si chiama "tracert".
Facciamo un tarcert verso quell'IP e scopriamo che i nostri dati transitano allegramente sul server di smistamento di Axinet.com per finire direttamente su quel server.
Allora... Andiamo a vedere chi cazzo è 'sto Axinet...
Ecco...
Un provider Svedese.
Però... Il computer precedente a quello di destinazione si chiama, in realtà, "feth2-1-gw1.paris-defense.axinet.com" ed ha come IP il 62.73.2.24.
Dall'Italia (da me si passa tramite la rete server di Telia.net e passando dal loro gateway verso axinet.com) si va in Virginia, si passa in Francia dove le tracce si perdono... Sulla rete di un provider Svedese... Forse tramite un maldestro tentativo di mascherare questo "fattaccio".
Chissà se le autorità faranno qualche indagine?
Io ci ho messo 10 minuti a capire che bisogna iniziare dalla comunità europea e identificare i provider coinvolti... Chissà.

Un consiglio amichevole... PRIMA di cliccare su un collegamento... Cercate di capire dove state andando a finire. pensavate di finire su qualche server di Roma? O di un'altra città italiana? No... Siete in Virginia e venite rispediti in Francia e, da lì, chissà dove...