Torniamo a parlare di phishing, ed in particolare, dei tentativi di rubarci i dati delle carte di credito che arrivano via mail. Questa volta il tentativo viene effettuato attraverso una comunicazione di rimborso da parte della TIM, rimborso per una fantomatica bolletta pagata erroneamente due volte. La mail è scritta in italiano corretto, ed i loghi che appaiono sono “caricati” direttamente dal sito della TIM. Anche il “sender” ovvero il mittente della mail ha tutta l’apparenza di essere legittimo in quanto risulta “[email protected]” (il sito newstim.it è appunto un dominio di proprietà TIM che reindirizza all’assistenza ed all’help online), ma andando a visualizzare le intestazioni internet del messaggio vediamo che la mail è partita da un server francese, cosa decisamente strana per un’email proveniente da un provider internet italiano!
Ma vediamo qui di seguito come appaiono queste email; noi ne abbiamo ricevute due della stessa identica natura, che rimandavano però a due differenti siti di phishing. Ecco la prima
La prima mail al link indicato che riporta in modo “subdolo” l’indirizzo falso “http://rimborso.tim.it”, rimanda invece ad una pagina presente sul sito “saint-tropez-maville-enligne.com”. Al momento in cui abbiamo visitato questo link, fortunatamente, esso non era più attivo. Ricordiamo infatti che i “truffatori online” nascondono le proprie pagine in genere su siti di ignari proprietari che vengono quindi “hackerati” e quindi “truffati” proprio come coloro a cui rubano i dati delle carte di credito. In questo caso il proprietario legittimo del sito “civetta” si sarà accorto del problema, ed al momento della nostra visita il sito risultava completamente offline (forse proprio per ripulirlo dal contenuto malevolo inserito dai truffatori).
Ma passiamo all’altra email che abbiamo ricevuto, in tutto e per tutto uguale alla precedente, se non per l’indirizzo a cui reindirizza; ecco lo screenshot
In questo caso l’indirizzo falso “http://rimborso.tim.it”, rimanda invece ad una pagina presente sul sito “alesco.com.ua”. I proprietari di questo sito ancora non si sono accorti della presenza di questo contenuto, ed infatti cliccando sul link (cosa che abbiamo fatto all’interno di una macchina virtuale onde evitare problemi, dato che non sapevamo in che tipo di contenuto ci saremmo imbattuti) siamo stati reindirizzati alla seguente pagina:
Come si può vedere dalla barra degli indirizzi, nonostante il link rimandasse al sito “alesco.com.ua” (lo ricordiamo sito hackerato a propria volta, trattandosi di una societàrussa che si occupa di marketing), la vera propria pagina civetta si trova sul sito “beget.tech” (un provider di hosting che fa utilizzare ai propri clienti questo dominio per le pagine di prova). All’interno della schermato troviamo la parte più pericolosa, quella in cui si devono indicare i dati per il rimborso (noi la abbiamo cerchiata in rosso). Qui ovviamente non bisogna assolutamente inserire i dati, in quanto oltre al numero della nostra carta di credito ci chiedono anche il codice di sicurezza!
Le mail che abbiamo ricevuto sono decisamente credibili per una serire di ragioni; innanzitutto sono scritte in un corretto italiano, in secondo luogo i loghi, l’header ed il footer dell’email sono caricati direttamente da quelli originali del sito TIM, ed infine, sotto il link civetta (quello rimborso.tim.it) c’è il link al sito generale della tim “http://www.tim.it”, questa volta un link “reale” proprio per confondere le acque, come potete vedere dall’ultimo screenshot che riportiamo qui sotto:
Insomma, ancora una volta bisogna fare molta attenzione, ed è buona norma non cliccare mai direttamente sui link che sono contenuti nelle email che riceviamo, soprattutto quando non siamo particolarmente sicuri del mittente o quando l’oggetto sembra decisamente sospetto (come in questo caso).