Rubare i dati della carta di credito è uno dei crimini più frequenti sul web.

Una volta era relativamente facile farlo, si riceveva una email dallo stile uguale al proprio fornitore di servizi (banca, circuito creditizio, ecc.) e si veniva invitati ad entrare nell'account inserendo i propri dati con una scusa più o meno valida. Di fatto però la pagina per l'inserimento dei dati non era sul server del fornitore ma su un altro server e i dati venivano rubati!

Col tempo sono aumentati i sistemi di sicurezza, non è così semplice inviare una email da un indirizzo diverso dal proprio (beh in realtà è ancora relativamente semplice), i siti ospite delle pagine fantasma vengono bloccati come siti sospetti dai filtri, i sistemi antispam si sono fatti più forti...tuttavia succede ancora e in maniera sempre più furba!

Ho appena ricevuto una email di questo tipo e, come sempre in questi casi ho fatto i solito controlli (pur sapendo a priori che era un tentativo di truffa).

Ecco l'email:

email fraud 1

Vediamo nel dettaglio:

il mittente apparente è servizio.clienti @ visaitalia.com

il dominio visaitalia.com esiste e corrisponde al vero.

Il testo è buono ma  non privo di errori, significa che è stato tradotto con un sistema automatico online.

Nel testo non vi è riferimento al mio nome, quindi è generico.

Le lettere accentate non ci sono e neppure il simbolo del © è corretto, significa che la codifica del messaggio è errata, altro segno di mail sospetta.

Non vi sono link: questo permette allo spammer di non essere filtrato dagli antispam e altro che vedremo poi.

Andiamo a vedere ora la parte nascosta del messaggio, ovvero il formato sorgente...visibile con qualunque programma di posta.


email fraud 2

Cosa capiamo da qui?

circa a metà vediamo che il server di spedizione è "server1.raspberrypress.com (unknown [64.237.60.110])". Se andiamo all'indirizzo raspberrypress.com troviamo un sito che non ha nulla a che fare con visaitalia! Cosa significa? Che lo spammer ha utilizzato un buco di sicurezza di questo server per inviare l'email con mittente "(envelope-from <servizio.clienti @ visaitalia.com>)". La maggior parte dei server di spedizione non permette più di inviare email da un indirizzo diverso da uno permesso. Evidentemente questo server non ha controlli di questo tipo ed è ancora "pulito", ovvero non è stato precedentemente usato per spam e non è in lista nera (black list). Tra poco lo sarà sicuramente!

Vediamo poi che la mail ha passato tutti i controlli antispam e antivirus.

E fin qui tutto bene (per lo spammer)

Analizziamo ora il contenuto della mail che è un allegato file html.

Banalmente se ci clicchiamo sopra appare questa pagina:

email fraud 3

Lo stile grafico è quello spartano di Visa, sono presenti tuttavia un sacco di errori ortografici.

Primo banale controllo lo possiamo fare cliccando con il tasto destro sull'immagine e guardando dove è situata:

email fraud 4

E' sul sito luphers.com, che non c'entra nulla con Visa. L'hacker ha copiato il file su questo sito approfittando di un buco di sicurezza di qualche software. Il gestore del dominio luphers.com è ignaro di tutto questo.

Ormai è più che evidente che si tratta di una truffa, ma procediamo!

Guardiamo con un editor html il contenuto del file e vediamo che contiene un javascript codificato eseguibile, ovvero non è così immediato capirene il funzionamento, soprattutto per un filtro antispam, motivo questo che ha permesso di passare i controlli.


email fraud 5

Quando la pagina viene però aperta nel browser il codice viene eseguito e con un apposito sistema scopriamo dove andrebbero a finire i nostri dati se riempissimo il formulario e cliccassimo invio:

email fraud 6

Una pagina, illegalmente copiata sul server di koreasurgery . com dal "nostro" hacker, raccoglierebbe tutti i dati in un database e sicuramente nel momento in cui scrivo è quello che sta facendo dal momento che il sito è attivo...evidentemente nessuno ha ancora segnalato il sito come contraffatto a Google! (io si)

email fraud 7

Tutto questo si chiama phishing e pur essendo abbastanza semplice scoprirlo, è evidente che dato che il fenomeno dura da anni, qualcuno ci casca ancora!

Attenzione sempre! Nel dubbio e sospetto contattate sempre telefonicamente il fornitore di servizi e segnalate il caso.

Ovviamente tutti gli attori di questo tentativo di phishing, Visaitalia e i vari server, sono ignari e innocenti di quanto messo in atto dall'hacker!