Uno degli ultimi tentativi di phishing che ci sono capitatati sott’occhio risale a qualche giorno fa, con uno dei metodi più tradizionali, ovvero quella di una mail che comunica all’utente il blocco del proprio metodo di pagamento, con la presenza di un link che invita a controllare la propria situazione. Si tratta questa volta di una finta email che proviene da Lottomatica S.p.a. e che paventa la limitazione nell’utilizzo del conto per un fantomatico tentativo di contraffazione della carta paypal ad esso conto collegata. Ovviamente noi non avevamo nè un’account presso Lottomatica, nè una carta prepagata Paypal e di conseguenza è stato decisamente semplice individuare questo nuovo tentativo di phishing.
A differenza però di altri tentativi omologhi, dobbiamo dire che in questo caso la mail è scritta in un italiano corretto ed anche molto “plausibile”: non è eccessivamente “allarmante”, non è colloquiale, insomma ha esattamente il tenore delle mail vere che provengono da questa tipologia di mittenti; nel caso in cui avessimo avuto un conto Lottomatica con collegata una prepagata Paypal, molto probabilmente avremmo avuto da pensare prima di individuare questo nuovo tentativo di truffa.
Il link riportato alla voce “Area Clienti Login”, ovviamente, non rimanda al sito della Lottomatica, ma all’indirizzo “http://iasjudliry.vinayakcomputer.org.in”, in una sottopagina interna; il dominio, come abbiamo potuto appurare tramite un semplice “whois” appartiene ad una azienda indonesiana, come si può vedere dallo screenshot che riportiamo qui sotto:
L’home page del sito “http://vinayakcomputer.org.in/” ci sembra assolutamente lecita, anzi si tratta di un sito che promuove l’istruzione e l’informatica in Indonesia; ed il sottodominio “iasjudliry.vinayakcomputer.org.in” ospita la pagina normale di “Apache”, attraverso cui gli amministratori del sito possono controllare se tutto funziona correttamente nel portale; di conseguenza l’indirizzo di phishing, con ogni probabilità, è stato inserito nel sito all’insaputa dei legittimi proprietari, sfruttando un bug del sistema, come sempre più spesso accade; di conseguenza gli autori del phishing ed i proprietari del sito non coincidono, anzi si potrebbe dire che i proprietari del sito sono le prime vittime dei truffatori online. Se andiamo invece all’indirizzo riportato nella mail ci ritroviamo difronte ad una finta pagina web di Lottomatica, come appare nello screenshot che riportiamo qui sotto; ovviamente l’indirizzo web che compare nella barra indirizzi non è certo quello di Lottomatica, il che ci facilita il compito nel comprendere che si tratta di un tentativo di truffa (abbiamo cerchiato l’indirizzo con il rosso, ed abbiamo sfumato la parte finale che riportava l’indirizzo email a cui abbiamo ricevuto la mail)
Ovviamente ci siamo fermati qui e non siamo andati oltre… non abbiamo consegnato nessun dato personale, ma abbiamo solo provato a verificare come questo tentativo si sarebbe sviluppato; siamo ritornati quindi ad analizzare l’email rivevuta per capire se ci potesse essere qualche riferimento utilie al mittente reale della mail, che ci consentisse di risalire agli autori del tentativo di phising. Dall’analisi dell’header della mail ricevuta appare chiaro che il sender si è appoggiato ad un server di posta “finlandese”. L’header in questione (ovviamente abbiamo eliminato le indicazioni al nostro indirizzo di posta elettronica, era più o meno questo:
Da quel che possiamo capire provando a contattare i server .fi indicati nell’header, ci appare chiaro che quei server ospitano una pluralità di siti, e molto probabilmente, anche in questo caso l’indirizzo di partenza dell’email è stato “hackerato”, quindi così come il sito indonesiano, anche quello finlandese risultano, almeno prima facie, estranei all’attività truffaldina del phisher, che ha anche in questo caso approfittato di un bug di sistema ed utilizzato questo dominio per inviare l’email.
Fatto sta, che noi non ci siamo cascati; ma ovviamente conoscere questi fenomeni (e spiegarli, come proviamo a fare noi), crediamo possa evitare di far incorrere in spiacevoli (quanto meno) fraintendimenti. Speriamo di essere stati utili