Nelle ultime ore sta circolando un messaggio di phishing contro i clienti di Poste Italiane confezionato diversamente a quelli, già segnalati, delle scorse settimane.

La mail confezionata risulta ben fatta e scritta in un Italiano corretto. A fianco potete vedere uno screenshot della mail originale che comprende i loghi di Poste Italiane. Di seguito riporto il testo originale e alcune intestazioni:

To: xxxxxx@xxxxx.xxx
Subject: Poste.it chiede la vostra collaborazione
From: Poste Italiane <BPOL@poste.it>
Reply-To: BPOL@poste.it

Caro cliente Poste.it,
Il Servizio Tecnico di Poste Italiane sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che troverà alla fine di questo messaggio
Acceda ai servizi online di Poste.it e verifichi il suo account »
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente a riattivare il suo account.
Grazie della collaborazione lo staff di Poste.it

Come ogni classico messaggio di phishing il link associato al testo “Acceda ai servizi online di Poste.it e verifichi il suo account »” porta ad un dominio simile a quello originale proprio per confondere gli utenti meno esperti.
L’indirizzo utilizzato per ospitare le pagine falsificate di Poste Italiane è hxxp://postepay.us/ il quale effettua una ridirezione verso hxxp://faq.cybersmart.co.za/attachments/.poste/.poste/
Il dominio utilizzato per il phishing è ospitato sull’indirizzo IP 196.15.138.10 che ha come DNS host name php.cybersmart.co.za .
Il messaggio, almeno nel mio caso, risulta partito da un server Web di kasserver.com .

Consiglio la visione del video rilasciato da pochi giorni da Poste Italiane che spiega come difendersi da questo tipo di truffe.

La U.S. Securities and Exchange Commission (SEC) è intervenuta sospendendo le contrattazioni di 35 titoli che hanno subito un alto rialzo grazie al massiccio invio di email spam contenenti false informazioni finanziarie.
Il SEC ha dichiarato che i titoli saranno sospesi per 10 giorni (lavorativi) per poter proteggere gli investitori da possibili truffe.
Tutto è nato circa un anno fa: una serie di informazioni fasulle fatte circolare via mail e relative ad informazioni commerciali e finanziarie delle aziende quotate sulle borse U.S.A. Le informazioni erano in grado di generare precisi rialzi sulla quotazione dei titoli coinvolti così che i malintenzionati potessero compiere operazioni “pump and dump“, volti a innalzare la quotazione dei titoli in maniera fraudolenta.
Da i dati pubblicati dall’operazione “spamalot” sarebbero 100 milioni le e-mail inviate ogni settimana dagli spammer aventi come obbiettivo quello di generare rialzi su titoli azionari. Gli autori delle truffe tramite queste tecniche avrebbe guadagnato circa 700.000 dollari generando, al tempo steso, gravi danni per investitori e broker. Senza contare il costo, in termini di tempo e di denaro, per lo smistamento, il filtraggio e la cancellazione delle e-mail inviate.
La SEC ha inoltre reso noto che nel 2006 più 600 titoli (alcuni catalogati da Stock Spam Gallery) sono stati usati per generare “pump and dump” da malintenzionati. Nello stesso anno Sophos ha stimato che il volume di tutto lo spam mondiale volto a rilasciare false informazioni finanziarie era intorno al 15% in confronto allo 0.8% del Gennaio 2005.

Alcuni blog di sicurezza negli ultimi giorni stanno ponendo l’attenzione su una e-mail, che tramite phishing, si propone come un controllo dell’ISP che ospitata il proprio dominio.

Gli attacker prendendo le e-mail di contatto specificate nei WHOIS dei domini spediscono una richiesta, in inglese, che inivta ad caricare sul proprio spazio uno script in php (offuscato) che, secondo quanto scoperto dalle prime indagini, raccoglie informazioni sul sistema, apre una shell e installa un bot IRC scritto in Perl.

Solitamente il mittente, falsificato, è il proprio ISP, ma sono state rilevate anche varianti con mittente lo US FDIC (Federal Deposit Insurance Corporation).

I file php allegati che sono stati rilevati fin ora sono:

• webguard.php, size 130990 bytes, MD5: 1071956063131f0fd178ace92ab526bb e SHA1: c47dd28e336030e3d940b66e2884aba91124a831
• vprotect.php, size: 156686 bytes, MD5: 43f3c330f6e85943fd4a60c3b89787e2 e SHA1: d58bcb698417cbcf005a0e26e9e962a5097892d9

Quello che segue è una delle varianti della mail:

Dear #Nome dell’ISP# valued Members

Regarding our new security regulations, as a part of our yearly maintenance we have provided a security guard script in the attachment.

So, to secure your websites, please use the attached file and (for UNIX/Linux Based servers) upload the file “guard.php” in: “./public_html”

or (for Windows Based servers which use ASP) upload the file “guard.asp” in: “./wwwroot” in your site.

If you do not know how to use it, you can use the following instruction:

For Unix/Linux based websites that use PHP/CGI/PERL:
1) Download the attachment named “guard.zip”
2) Extract file “guard.php”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “Public_html” or “htdocs”
6) Choose “Upload Files”
7) Upload the file “guard.php”
Check its URL too “http://www.yoursite.com/guard.php”, if it is ok

For Windows based websites that use ASP:
1) Download the attachment named “guard.zip”
2) Extract file “guard.asp”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “wwwroot” directory
6) Choose “Upload Files”
7) Upload the file “guard.asp”
Check its URL too “http://www.yoursite.com/guard.asp”, if it is ok

Thank you for using our services and products. We look forward to providing you with a unique and high quality service.

Best Regards

#Nome dell’ISP#

L’attacco è stato rilevato per la prima volta l’8 Febbraio 2007 (Solid Space – Bluehost) mentre i principali blog ne stanno parlando solo negli utlimi giorni.

Nuova “moda” tra gli spammer. Essi stanno riproducendo, molto fedelmente, newsletter ed e-mail pubblicitarie di grossi marchi come NFL, Amazon, Wal-Mart, eBay, ESPN, US Airways, Kohls, Verizon e 1-800-Flowers.

Doug Bowers, direttore dei sistemi antifrode di Symantec afferma “Loro (gli spammer n.d.) agiscono riproducendo in ogni minimo dettaglio i messaggi originali spediti dalle aziende, inserendo, al loro interno, immagini o link ad esse”. Doug conclude dicendo che sono state avvistate le prime forme, di questa tecnica, dagli inizi del mese scorso.

Come riportato da Darkreading.com, i ricercatori di Symantec hanno appurato che gli spammer, usando una combinazione di tecniche, riescono a passare i filtri anti-spam, consentendo così, alla e-mail apparentemente legittima, di cambiare radicalmente il contenuto dopo alcuni secondi dall’apertura.
Questo tecnica è stata definita dai ricercatori di Symantec come “wait and switch” proprio perché dopo pochi secondi dall’apertura il contenuto viene cambiato.

I ricercatori che seguono lo sviluppo di questo fenomeno non hanno rilevato nessuna forma di malware nei messaggi di spam. Dopotutto è chiaro, con in allegato un worm, le probabilità che l’e-mail venga bloccata sono molto alte se non certe.
Sin dalla loro nascita newsletters e bollettini informativi di aziende sono stati bombardati da spam, scartato con filtri software anti-spam. Oggi queste risorse non bastano più, pertanto sarà opportuno innalzare il livello di guardia e di qualità dei filtri, non un problema da poco per le aziende impegnate a spedire il loro materiale informativo usando le e-mail.

“Give me $1 to unsubscribe”, questo è quello che vorrebbe far credere uno spammer Russo.
L’immagine alla sinistra è quella invata da Andrey Slabosnickiy, così si chiama il Russo artefice dell’email, residente in Rostov-on-Don che è evidentemente caduto in una casella e-mail creata per raccogliere spam.

Con tutti i dati che Andrey ha lasciato, per farsi mandare i pagamenti, non sarebbe difficile per le autorità rintracciarlo applicando le locali leggi sullo spam.

Questa immagine a sinistra è la versione tradotta in Inglese dal laboratorio di ricerca di McAfee.

Non è la prima volta che vengono inviate questo tipo di richieste da spammer. E’ chiaro che non ci sarà nessuna cancellazione dalle liste degli spammer della propria e-mail dopo il pagamento. Ogni spammer ha la sua lista “personale” e non si curerebbe del fatto che altri spammer gli chiedano di cancellare e-mail presenti nella propria lista.