Stavo dando un occhiata alla cartella dello spam sul client di posta quando una e-mail attira la mia attenzione:

From: “Glover, Erica” <Spivey6Z@powerplantsystems.com>
To: [random_name]@gmail.com
Date: Sun, 08 Jul 2007 23:39:17 -0500
Subject: Refiance Approval. Sun, 08 Jul 2007 23:39:17 -0500

L’intestazione di per se non ha niente di particolare, è il corpo ad avermi incuriosito:

Please complete your application Sun, 08 Jul 2007 23:39:17 -0500

Tired of paying high interest rates?

Refinaance us lowest rate.

http://www.google.com/search?hl=en&q=easyratemortage+100%+mortgage+refinance&btnI=04Yi9N5jkF

“Absence and death are the same – only that in death there is no suffering.” Theodore Roosevel

La mail non contiene nessuna allegato, la cosa interessante però è il link proposto al destinatario, il quale potrebbe indurre quest’ultimo a fidarsi vedendo il nome di Google.

I furbetti di turno hanno prima fatto indicizzare da Google il sito Web che ospita le pagine di spam, dopodichè hanno individuato quali keywords proponevano, nella lista dei risultati del motore di ricerca, come primo risultato il sito in questione. A questo punto hanno creato una URL che restituisse un codice HTTP (302) di redirect verso il sito di spam servendosi della funzione “Mi sento fortunato” (o nella sua versione inglese “I’m Feeling Lucky”).
Analizzando l’URL si nota il parametro “btnI”, utilizzato da Google proprio per identificare una ricerca di tipo “Mi sento fortunato”. Piccola nota: il parametro può essere valorizza a piacimento.

Confrontando alcune e-mail sono arrivato alla conclusione che in ciascuna viene modificato il soggetto, la parte finale del corpo e il valore del parametro “btnI” dell’URL.

Dopo le precendeti segnalazioni il phishing su Poste Italiane non si è fermato, anzi si è fatto ancora più insistente.

Di recente è cambiata l’impaginazione delle e-mail, alcune con un italiano alquanto ostentato, altre invece sono state confezionate veramente bene.

Ecco alcune esempi:

From: “Poste Italiane” <account@poste.it>
Reply-To: “Poste Italiane” <account@poste.it>
To: xxxxxx@xxxxxx.xxx
Subject: Autenticazione di cliente richiesta

Caro Poste Italiane cliente ,

Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto è stato scelto a caso per questa manutenzione, e lei sarà adesso portato attraverso una serie di pagine di verifica di identità.
[...]
Se facciamo no riceve la verifica di conto appropriata entro 24 ore, poi presumeremo che questo conto è fraudolento e sarà sospeso. Lo scopo di questa verifica è assicurare che il suo conto non è stato fraudolentamente usato e combattere la frode dalla nostra comunità.

From: “Poste Italiane” <staff@poste.it>
Subject: Aggiorna i tuoi dati
To: undisclosed-recipients:;

Caro cliente Poste.it,

Una nuova gamma completa di servizi online è adesso disponibile !
Per poter usufruire dei nuovi servizi online di Poste.it occorre prima diventare UTENTE VERIFICATO.

Accedi a Poste.it » Accedi ai servizi online di Poste.it e diventa UTENTE VERIFICATO »

L’Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente ad attivare il suo ” Nome Utente Verificato “. Verrai informato telefonicamente di tale attivazione.

To: xxxxxx@xxxx.xxx
Subject: Aggiorna i tuoi dati
From: “Poste Italiane” <staff@poste.it>

Caro cliente Poste.it ,
Il Servizio Tecnico di Poste Italia sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che trover alla fine di questo messaggio

Accedi a Poste.it Acc! edi ai servizi online di Poste.it e verifichi il suo account
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicit provveder immediatamente ad riattivare il suo account.
Grazie della collaborazione Poste.it

Reply-To: <staff@poste.it>
From: “Poste Italiane” <staff@poste.it>
Subject: Il tuo conto di PostePay sara chiuso oggi
To: undisclosed-recipients:;

Il vostro conto sara chiuso perche non lo avete utilizzato nel mese passato.
Se volete annullare la chiusura, dovete verificare le vostre informazioni di utente

Accedi a Poste.it » Accedi ai servizi online di Poste.it e verifica i tuoi dati per continuare usare i nostri servizi!

Dopo che hai verificato i dati riceverai un email di conferma tra 24 ore.

To: xxxxxxxxx@xxxxxxx.xxx
Subject: Communicazione!
From: Poste Italiane <support@poste.it>
Reply-To:

Gentile Cliente,
Abbiamo ricevuto una segnalazione di accredito di Euro 129 ricevuta il giorno 24/4/2007 da UFFICIO POSTALE 13.55 BRANDIZZO. L’accredito è stato temporaneamente bloccato a causa delle fascie orarie, potrà ora essere verificato e successivamente accreditato sul suo conto postale:

Accedi a Poste.it » Acceda al servizio accrediti di Poste.it e verifichi le sue transazioni »

Seguono alcuni URL utilizzati per ospitare le pagine di phishing (httx e l’underscore dopo il dominio o l’ip sono stati aggiunti per sicurezza):

• httx://www.larimer.org_/store/red.html
• httx://71-246.lerstenen.t3.se_/.bancoposta/index.htm
• httx://web2.sbinet.com_/bancopostaonline.poste.it/poste/bpol/bancoposta/formslogin.htm
• httx://216.84.195.93_/www.poste.it/online/bancopostaonline.poste.it/formslogin.htm
• httx://pponline.altervista.org_/priv/bpol/cartepr/index.htm
• http://www.aquitania.co.uk_/gallery/albums/300d1/www.poste.it/formslogin.htm

Analizzando le intestazioni delle e-mail si capisce come esse siano state inviate tramite script ospitati su account, presumibilmente compromessi, e tramite worm che sfruttano il terminale dell’ignara vittima per connettersi a server smtp esteri.

Nelle ultime ore sta circolando un messaggio di phishing contro i clienti di Poste Italiane confezionato diversamente a quelli, già segnalati, delle scorse settimane.

La mail confezionata risulta ben fatta e scritta in un Italiano corretto. A fianco potete vedere uno screenshot della mail originale che comprende i loghi di Poste Italiane. Di seguito riporto il testo originale e alcune intestazioni:

To: xxxxxx@xxxxx.xxx
Subject: Poste.it chiede la vostra collaborazione
From: Poste Italiane <BPOL@poste.it>
Reply-To: BPOL@poste.it

Caro cliente Poste.it,
Il Servizio Tecnico di Poste Italiane sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che troverà alla fine di questo messaggio
Acceda ai servizi online di Poste.it e verifichi il suo account »
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente a riattivare il suo account.
Grazie della collaborazione lo staff di Poste.it

Come ogni classico messaggio di phishing il link associato al testo “Acceda ai servizi online di Poste.it e verifichi il suo account »” porta ad un dominio simile a quello originale proprio per confondere gli utenti meno esperti.
L’indirizzo utilizzato per ospitare le pagine falsificate di Poste Italiane è hxxp://postepay.us/ il quale effettua una ridirezione verso hxxp://faq.cybersmart.co.za/attachments/.poste/.poste/
Il dominio utilizzato per il phishing è ospitato sull’indirizzo IP 196.15.138.10 che ha come DNS host name php.cybersmart.co.za .
Il messaggio, almeno nel mio caso, risulta partito da un server Web di kasserver.com .

Consiglio la visione del video rilasciato da pochi giorni da Poste Italiane che spiega come difendersi da questo tipo di truffe.

La U.S. Securities and Exchange Commission (SEC) è intervenuta sospendendo le contrattazioni di 35 titoli che hanno subito un alto rialzo grazie al massiccio invio di email spam contenenti false informazioni finanziarie.
Il SEC ha dichiarato che i titoli saranno sospesi per 10 giorni (lavorativi) per poter proteggere gli investitori da possibili truffe.
Tutto è nato circa un anno fa: una serie di informazioni fasulle fatte circolare via mail e relative ad informazioni commerciali e finanziarie delle aziende quotate sulle borse U.S.A. Le informazioni erano in grado di generare precisi rialzi sulla quotazione dei titoli coinvolti così che i malintenzionati potessero compiere operazioni “pump and dump“, volti a innalzare la quotazione dei titoli in maniera fraudolenta.
Da i dati pubblicati dall’operazione “spamalot” sarebbero 100 milioni le e-mail inviate ogni settimana dagli spammer aventi come obbiettivo quello di generare rialzi su titoli azionari. Gli autori delle truffe tramite queste tecniche avrebbe guadagnato circa 700.000 dollari generando, al tempo steso, gravi danni per investitori e broker. Senza contare il costo, in termini di tempo e di denaro, per lo smistamento, il filtraggio e la cancellazione delle e-mail inviate.
La SEC ha inoltre reso noto che nel 2006 più 600 titoli (alcuni catalogati da Stock Spam Gallery) sono stati usati per generare “pump and dump” da malintenzionati. Nello stesso anno Sophos ha stimato che il volume di tutto lo spam mondiale volto a rilasciare false informazioni finanziarie era intorno al 15% in confronto allo 0.8% del Gennaio 2005.

E’ in corso da qualche ora un nuovo attacco phishing contro Poste Italiane.

La mail confezionata risulta ben fatta e scritta in un Italiano corretto. A fianco potete vedere uno screenshot della mail originale che comprende i loghi di Poste Italiane. Di seguito riporto il testo originale e alcune intestazioni:

Date: Fri, 23 Feb 2007 19:24:39 +0100
Subject: Aggiorna i tuoi dati
To: xxx@xxx-xxx.xx
From: Poste Italiane <staff@poste.it>
Reply-To: staff@poste.it

Caro cliente Poste.it,
Il Servizio Tecnico di Poste Italiane sta eseguendo un aggiornamento programmato del software al fine di migliorare la qualita’ dei servizi bancari. Le chiediamo di avviare la procedura di conferma dei dati del Cliente. A questo scopo, La preghiamo di cliccare sul link che troverà alla fine di questo messaggio

Accedi a Poste.it » Accedi ai servizi online di Poste.it e verifichi il suo account »
Il sistema automaticamente, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente ad riattivare il suo account.
Grazie della collaborazione Poste.it.

Come ogni classico messaggio di phishing il link associato al testo “Accedi a Poste.it » Accedi ai servizi online di Poste.it e verifichi il suo account »” porta ad un dominio simile a quello originale proprio per confondere gli utenti meno esperti.

L’indirizzo utilizzato per ospitare le pagine falsificate di Poste Italiane è hxxp://wxw.poosteitaliane.info/bancopostaonline.poste.it/bpol/cartepre/ (ho volontariamente modificato http e www).
I dati richiesti dalle pagine sono: nome utente, password, numero di carta di credito (PostePay), data di scadenza della carta, CCV (codice di verifica della carta) e infine tutte le lettere di controllo contenute nel tagliando inviato da Poste Italiane a casa del cliente. In questo modo l’aggressore è in grado di ottenere il controllo completo della carta di credito.
Il dominio utilizzato per il phishing è ospitato sull’indirizzo IP 66.232.103.2 che ha come DNS host name uhn.amazingdealmail.com. Il messaggio, almeno nel mio caso, risulta partito da un server Web del datacenter di Aruba; è molto probabile che sia avvenuto l’abuso (tramite injection di header ad hoc) di qualche form per l’invio di email.

Per maggiori informazioni su come difendersi da questi attacchi Poste Italiane ha creato una apposita pagina che vi consiglio di leggere.

Aggiornamento 26 Febbraio ore 21: una diversa variante della mail sta girando da pochi minuti.
E’ cambiato il dominio utilizzato per ospitare i file ma il contenuto è il medesimo. Seguono i dettagli della nuova mail:

Date: Mon, 26 Feb 2007 20:43:38 +0100
Subject: Aggiorna i tuoi dati
To: xxxx@xxxxxx.xxx
From: Poste Italiane <BPOL@poste.it>
Reply-To: BPOL@poste.it

Il nuovo indirizzo utilizzato è: hxxp://wxw.possteitaliane.info/poste/bancopostaonline.poste.it/bpol/cartepre/ (ho volontariamente modificato http e www).

Ringrazio Aruba: nonostante abbia personalmente segnalato sin da venerdì (23 Febbraio) che uno dei loro webserver è utilizzato per inviare questi messaggi di phishing ad oggi (26 Febbraio) non solo il server non è stato minimamente controllato ma viene ancora utilizzato dagli attacker.

Aggiornamento 8 Marzo ore 22
E’ cambiato il dominio utilizzato per ospitare i file e l’email mittente (chiaramente falsificata).

Date: Fri, 9 Mar 2007 00:47:44 +0300
To: xxx@xxxxx.xxx
Subject: Poste.it chiede il vostro contributo.
From: Poste Italiane <assistenza@posteitaliane.it>
Reply-To: assistenza@posteitaliane.it

Il nuovo indirizzo utilizzato è hxxp://predkav.ru/modules/PNphpBB2/includes/poste/ (ho volontariamente modificato http).

Questa volta il server utilizzato per l’invio è stato usato un server Web di valuehost.ru