Nelle ultime ore sta circolando un messaggio di phishing contro i clienti di Poste Italiane confezionato diversamente a quelli, già segnalati, delle scorse settimane.

La mail confezionata risulta ben fatta e scritta in un Italiano corretto. A fianco potete vedere uno screenshot della mail originale che comprende i loghi di Poste Italiane. Di seguito riporto il testo originale e alcune intestazioni:

To: xxxxxx@xxxxx.xxx
Subject: Poste.it chiede la vostra collaborazione
From: Poste Italiane <BPOL@poste.it>
Reply-To: BPOL@poste.it

Caro cliente Poste.it,
Il Servizio Tecnico di Poste Italiane sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che troverà alla fine di questo messaggio
Acceda ai servizi online di Poste.it e verifichi il suo account »
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente a riattivare il suo account.
Grazie della collaborazione lo staff di Poste.it

Come ogni classico messaggio di phishing il link associato al testo “Acceda ai servizi online di Poste.it e verifichi il suo account »” porta ad un dominio simile a quello originale proprio per confondere gli utenti meno esperti.
L’indirizzo utilizzato per ospitare le pagine falsificate di Poste Italiane è hxxp://postepay.us/ il quale effettua una ridirezione verso hxxp://faq.cybersmart.co.za/attachments/.poste/.poste/
Il dominio utilizzato per il phishing è ospitato sull’indirizzo IP 196.15.138.10 che ha come DNS host name php.cybersmart.co.za .
Il messaggio, almeno nel mio caso, risulta partito da un server Web di kasserver.com .

Consiglio la visione del video rilasciato da pochi giorni da Poste Italiane che spiega come difendersi da questo tipo di truffe.

La U.S. Securities and Exchange Commission (SEC) è intervenuta sospendendo le contrattazioni di 35 titoli che hanno subito un alto rialzo grazie al massiccio invio di email spam contenenti false informazioni finanziarie.
Il SEC ha dichiarato che i titoli saranno sospesi per 10 giorni (lavorativi) per poter proteggere gli investitori da possibili truffe.
Tutto è nato circa un anno fa: una serie di informazioni fasulle fatte circolare via mail e relative ad informazioni commerciali e finanziarie delle aziende quotate sulle borse U.S.A. Le informazioni erano in grado di generare precisi rialzi sulla quotazione dei titoli coinvolti così che i malintenzionati potessero compiere operazioni “pump and dump“, volti a innalzare la quotazione dei titoli in maniera fraudolenta.
Da i dati pubblicati dall’operazione “spamalot” sarebbero 100 milioni le e-mail inviate ogni settimana dagli spammer aventi come obbiettivo quello di generare rialzi su titoli azionari. Gli autori delle truffe tramite queste tecniche avrebbe guadagnato circa 700.000 dollari generando, al tempo steso, gravi danni per investitori e broker. Senza contare il costo, in termini di tempo e di denaro, per lo smistamento, il filtraggio e la cancellazione delle e-mail inviate.
La SEC ha inoltre reso noto che nel 2006 più 600 titoli (alcuni catalogati da Stock Spam Gallery) sono stati usati per generare “pump and dump” da malintenzionati. Nello stesso anno Sophos ha stimato che il volume di tutto lo spam mondiale volto a rilasciare false informazioni finanziarie era intorno al 15% in confronto allo 0.8% del Gennaio 2005.

E’ in corso da qualche ora un nuovo attacco phishing contro Poste Italiane.

La mail confezionata risulta ben fatta e scritta in un Italiano corretto. A fianco potete vedere uno screenshot della mail originale che comprende i loghi di Poste Italiane. Di seguito riporto il testo originale e alcune intestazioni:

Date: Fri, 23 Feb 2007 19:24:39 +0100
Subject: Aggiorna i tuoi dati
To: xxx@xxx-xxx.xx
From: Poste Italiane <staff@poste.it>
Reply-To: staff@poste.it

Caro cliente Poste.it,
Il Servizio Tecnico di Poste Italiane sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che troverà alla fine di questo messaggio

Accedi a Poste.it » Accedi ai servizi online di Poste.it e verifichi il suo account »
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente ad riattivare il suo account.
Grazie della collaborazione Poste.it.

Come ogni classico messaggio di phishing il link associato al testo “Accedi a Poste.it » Accedi ai servizi online di Poste.it e verifichi il suo account »” porta ad un dominio simile a quello originale proprio per confondere gli utenti meno esperti.

L’indirizzo utilizzato per ospitare le pagine falsificate di Poste Italiane è hxxp://wxw.poosteitaliane.info/bancopostaonline.poste.it/bpol/cartepre/ (ho volontariamente modificato http e www).
I dati richiesti dalle pagine sono: nome utente, password, numero di carta di credito (PostePay), data di scadenza della carta, CCV (codice di verifica della carta) e infine tutte le lettere di controllo contenute nel tagliando inviato da Poste Italiane a casa del cliente. In questo modo l’aggressore è in grado di ottenere il controllo completo della carta di credito.
Il dominio utilizzato per il phishing è ospitato sull’indirizzo IP 66.232.103.2 che ha come DNS host name uhn.amazingdealmail.com. Il messaggio, almeno nel mio caso, risulta partito da un server Web del datacenter di Aruba; è molto probabile che sia avvenuto l’abuso (tramite injection di header ad hoc) di qualche form per l’invio di email.

Per maggiori informazioni su come difendersi da questi attacchi Poste Italiane ha creato una apposita pagina che vi consiglio di leggere.

Aggiornamento 26 Febbraio ore 21: una diversa variante della mail sta girando da pochi minuti.
E’ cambiato il dominio utilizzato per ospitare i file ma il contenuto è il medesimo. Seguono i dettagli della nuova mail:

Date: Mon, 26 Feb 2007 20:43:38 +0100
Subject: Aggiorna i tuoi dati
To: xxxx@xxxxxx.xxx
From: Poste Italiane <BPOL@poste.it>
Reply-To: BPOL@poste.it

Il nuovo indirizzo utilizzato è: hxxp://wxw.possteitaliane.info/poste/bancopostaonline.poste.it/bpol/cartepre/ (ho volontariamente modificato http e www).

Ringrazio Aruba: nonostante abbia personalmente segnalato sin da venerdì (23 Febbraio) che uno dei loro webserver è utilizzato per inviare questi messaggi di phishing ad oggi (26 Febbraio) non solo il server non è stato minimamente controllato ma viene ancora utilizzato dagli attacker.

Aggiornamento 8 Marzo ore 22
E’ cambiato il dominio utilizzato per ospitare i file e l’email mittente (chiaramente falsificata).

Date: Fri, 9 Mar 2007 00:47:44 +0300
To: xxx@xxxxx.xxx
Subject: Poste.it chiede il vostro contributo.
From: Poste Italiane <assistenza@posteitaliane.it>
Reply-To: assistenza@posteitaliane.it

Il nuovo indirizzo utilizzato è hxxp://predkav.ru/modules/PNphpBB2/includes/poste/ (ho volontariamente modificato http).

Questa volta il server utilizzato per l’invio è stato usato un server Web di valuehost.ru