Ci riprovano, un grezzo metodo di phishing con una nuova comunicazione con un allegato da aprire.

La mail risulta scritta in modo abbastanza maldestra (e mi chiedo, perché si ostinano ad usare traduttori automatici?)

Ecco il testo della mail:

Gentile Cliente,

Abbiamo rilevato attivita irregolari sul tuo Verified by Visa /
MasterSecure Code
Internet banking sul conto 15/07/2011.

Per la tua protezione, e necessario verificare questo
attivita prima di poter continuare a utilizzare il
conto.
Si prega di scaricare il documento allegato alla presente
email a rivedere le attivita del proprio account.
Rivedremo l’attivita sul tuo conto
con voi e alla verifica,
e ci consentira di eliminare le restrizioni imposte alle
il tuo account.
Se scegliete di ignorare la nostra richiesta, ci lasciano scelta
ma di sospendere temporaly tuo account.
Ti chiediamo di consentire almeno 48 ore per il caso di essere
indagato e si consiglia di verificare il tuo conto in quel
momento.

Con i migliori saluti,
Responsabile della comunicazione del Cliente

La novità di questa volta è che il codice  “escaped” in javascript, rendendolo apparentemente inintellegibile, ma con un semplice passaggio possiamo riconvertirlo in testo in chiaro. (Per maggiori informazioni sull’escape / unescape in javascript c’è una paginetta in inglese spiegata bene)

leggendo la pagina in chiaro veidamo che il metodo è sempre lo stesso: una pagina fatta con look&feel di cartaSI (anche se con qualche errorino) che invita ad inserire tutti i dati sensibili per poter poi utilizzare la nostra carta di credito.

Il form viene recapitato ad una pagina ospitata sul sito http://koreasurgery.com/ che evidentemente è all’oscuro della cosa… la loro homepage risulta aggiornata al 2001 come visibile sull’internet  wayback machine.

Richiamando la pagina del form ma semza parametri si viene mandati nella homepage del sito del credito cooperativo.

Ho cercato una mail nel sito Coreano per comunicargli di rimuovere la pagina in questione ma purtroppo non ho trovato nessun riferimento ad un indirizzo… pazienza, io la buona azione la volevo fare !

Come sempre vi invito a fare molta attenzione!

non mi stancherò mai di dirvelo:

tutti gli istituti bancari, online non vi chiederanno MAI di inserire le vostre credenziali!

Non datele mai neanche al telefono, nessuno è autorizzato a chiedervele.

Raramente mi capita di scrivere post cosi ma questi gufetti sono veramente divertenti.

Scoperto per caso grazie a Meemi dove l’autrice , Chiara Giovanelli , si è presentata, mi è veramente piaciuto il design semplice, divertente ed immediato dei gufetti.

Io sicuramente lo farò presto, ma anche voi,fatevi un giro nello shop !

Me la vedo già Miyu con i gufetti addosso

Ps. alcuni mi sembrano Gasparri

veramente brava , clap clap clap!

Ci riproviamo:

Sembra che la strada di allegare documenti in HTML alle mail sia diventato di moda.

ecco il testo della mail:

Gentile Cliente,

Abbiamo ripristinato la sua utenza e la invitiamo a ripetere l’operazione

Le alleghiamo la documentazione necessaria per ripristinare il
vostro conto CartaSi.

Si prega di compilare il modulo allegato.

Servizio Clienti

—————————————————————————————-

Per favore, non risponda a questa mail.

Scorrendo il file HTML, tutti i riferimenti al CSS vengono presi dal sito di Cartasi, mantenendo cosi il “look & Feel” del sito, ma il form che invia i contatti è ospitato su un server .co.jp (Giappone)

http://******.net-web.co.jp/analog/images/sq1.php

il server è attivo, ma la pagina sql.php non si trova, in compenso chi l’ha fatto non è molto tecnico perché le directory non sono protette dal browse e sono accessibili anche le statistiche:

Come sempre vi invito a fare molta attenzione!

non mi stancherò mai di dirvelo:

tutti gli istituti bancari, online non vi chiederanno MAI di inserire le vostre credenziali!

Appena arrivato fresco fresco nella mail:

Questa versione è molto grezza perché insieme alla mail c’è un allegato html da aprire….

ecco il testo della mail:

Gentile Utente,
Per i motivi di sicurezza abbiamo sospeso il Vostro conto corrente, una
misura di sicurezza progettata per contribuire a proteggere Voi ed il
Vostro conto. Dovete riconfermare i Vs. dati riguardanti il conto
corrente per ristabilire le funzionalita del vostro conto, e confermare
quindi che non siete stati vittime di furto informatico.
Dovete reinserire i Vs. dati alla seguente pagina per realizzare il
processo di verifica.

Inviare il modulo allegato al tuo indirizzo email al fine di verificare il
vostro conto CartaSi.

La ringraziamo per la Vostra cortese collaborazione.
© 2011 CartaSi.
Servizio Clienti CartaSi

Scorrendo il file HTML, tutti i riferimenti al CSS vengono presi dal sito di Cartasi, mantenendo cosi il “look & Feel” del sito, ma il form che invia i contatti è ospitato sul dominio di Altervista.

Ecco il testo della mail:

Ho appena mandato una mail a abuse(at)altervista.org segnalando la cosa:

Buongiorno,

per segnalarvi che ho ricevuto un grezzo tentativo di phishing che allego.

faccio notare che all’interno del file html, il sito che dovrebbe ricevere il form è http://**********.altervista.org/dolarei.php
immagino che in questi casi la chiusura immediata dell’account sia obbligatoria e da fare in breve tempo.
Resto in attesa di un vs gentile riscontro.
Cordiali Saluti
P.s. vi comunico che la segnalazione è stata effettuata anche sul mio sito www.akash.it

Attendiamo novità.

Come sempre vi invito a fare molta attenzione!

non mi stancherò mai di dirvelo:

tutti gli istituti bancari, online non vi chiederanno MAI di inserire le vostre credenziali!

Ricevo e segnalo l’enesimo tentativo di phishing:

il primo sito a cui si collega è

http://sitey.co.uk/Editor/**.**/oloks.html

la cosa positiva è che usando Firefox viene segnalato come contraffato già il primo sito.

Come sempre vi invito a fare molta attenzione!

non mi stancherò mai di dirvelo: tutti gli istituti bancari, online non vi chiederanno MAI di inserire le vostre credenziali!

ecco il testo integrale della mail

Gentile Cliente,

Le comunichiamo l’avvenuta modifica del Suo indirizzo
e-mail registrato sul profilo utente relativo al servizio di Internet
banking Area Banca.
Da questo momento eventuali comunicazioni Le saranno recapitate al nuovo
indirizzo.

Clicca qui per accedere al servizio di Home Banking.

Cordiali Saluti.
Cassa di Risparmio di Ferrara S.p.A.

Ecco un nuovo tentativo di carpire i vostri dati via mail:

Questa volta la grammatica é corretta, ma la mail è molto povera. ha solo un logo in alto a sx.

cliccando sul link si va ad un sito non più funzionante quindi mi da l’idea di essere vecchia come mail.

Come sempre vi invito a fare molta attenzione!

non mi stancherò mai di dirvelo: tutti gli istituti bancari, online non vi chiederanno MAI di inserire le vostre credenziali!

ecco il testo integrale

Gentile Cliente,

Il sistema ha rilevato che la password è scaduta.
Per motivi di sicurezza si richiede di impostare una nuova password.

Per continuare, clicca qui.

© Banca C.R.Asti S.p.A.

Ricevo e segnalo l’enesimo tentativo di phishing:

il primo sito a cui si collega è

http://mail.cookeandbrandpr.**.**/pp.html

che poi viene rimbalzato su

http://vojta.esencis.**/admin/www.paypal.it/index.php

la cosa positiva è che usando Firefox viene segnalato come contraffato già il primo sito.

Come sempre vi invito a fare molta attenzione!

non mi stancherò mai di dirvelo: tutti gli istituti bancari, online non vi chiederanno MAI di inserire le vostre credenziali!

ecco il testo integrale della mail

Gentile PayPal® dei clienti,
A causa di recenti transazioni fraudolente, abbiamo rilasciato i requisiti di sicurezza di seguito.

Si ? venuti a conoscenza che il 98% di tutte le transazioni fraudolente sono causati da membri utilizzando carte di credito rubate per l’acquisto o la vendita di componenti non esistono. Cos? si richiedono i nostri membri di aggiungere un debito / Check card alla documentazione di fatturazione come parte del nostro continuo impegno per proteggere l’account e per ridurre l’istanza di frodi sul nostro sito. Il vostro debito / Check scheda saranno utilizzati solo per identificare l’utente. Se si potesse si prega di prendere 5-10 minuti dalla vostra esperienza online e rinnovare il vostro record non incorrere in eventuali problemi futuri con il PayPal® servizio. Tuttavia, il mancato confermare i record si tradurr? in sospensione del tuo account.

Stiamo chiedendo queste informazioni per verificare e tutelare la tua identit?. regolamenti federali che tutte le finanziarie istituzioni per ottenere, verificare e registrare l’identificazione di tutte le persone che l’apertura di nuovi conti o per ottenere in corso servizi di pagamento. Ci? al fine di impedire l’uso del sistema bancario degli Stati Uniti in illegale di terrorismo e altri attivit?. Per queste ragioni, PayPal® utilizzare i servizi forniti da vari rapporti di credito per le agenzie verificare le informazioni inviate a noi.

Una volta che hai aggiornato il tuo account registra il suo attesa PayPal® conto delle operazioni non sar? interrotto e continuer? normalmente.

Per aggiornare i record di fatturazione si prega di procedere alle nostre webform sicuro da cliccando qui.

Grazie per il vostro tempo,
PayPal® reparto di fatturazione.

in questo caso viene allegato un file html che sembra innocuo in quanto contiene il look&Feel del sito cartasi, usandone anche i Css ufficiali.

Andando ad analizzare la pagina ecco che si trova il sito che cerca di ricevere le informazioni:

http://cartasi.wz.cz/verify.php

Come sempre vi invito a fare molta attenzione!

non mi stancherò mai di dirvelo: tutti gli istituti bancari, online non vi chiederanno MAI di inserire le vostre credenziali!

ecco il testo integrale della mail

Gentile Cliente,

Nell’ambito di un progetto di verifica dei dati anagrafici forniti durante la sottoscrizione dei servizi di CartaSi S.p.A e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale.

L’inserimento dei dati alterati pu? costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P art.415 del 2002 relativo alla legge contro il riciclaggio e la trasparenza dei dati forniti in autocertificazione.

Per ovviare al problema e’ necessaria la verifica e l’aggiornamento dei dati relativi all’anagrafica dell’Intestatario del servizio:

1. Inviare il modulo allegato al tuo indirizzo email al fine di verificare il vostro conto CartaSi.

2. Due CartaSi in piccoli depositi sul tuo conto bancario.

3. Controllare il tuo conto in banca in 3-5 giorni per gli importi deposito.

4. CartaSi accedi al tuo account e inserire il deposito importi esattamente.

come sempre fate attenzione non cliccate sui link che vi arrivano via mail…..

Caro Poste Italiane cliente ,

Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto e stato scelto a
caso per questa manutenzione, e lei sar adesso portato attraverso una serie di pagine di verifica di identita.

Per eseguire la manutenzione regolare per favore scatto qui

Proteggere la sicurezza del suo Primo conto bancario di Scambio e il nostro interesse primario, e chiediamo
scusa per qualunque inconvenienza che questo puo causare

Per favore nota:

Se facciamo no riceve la verifica di conto appropriata entro 24 ore, poi presumeremo che questo conto
e fraudolento e sara sospeso. Lo scopo di questa verifica assicurare che il suo conto non e stato
fraudolentamente usato e combattere la frode dalla nostra comunita.

2007 Banco Poste Italiane . Tutti i diritti hanno riservato

Avete inviato un eBay pagamento di 95,25 EURO a fabio@alice.it per un punto di eBay.

——————————

—–
Dettagli pagamento
———————————–

http://www.xxxxxx.co .uk/.ssl128/www.paypal.it/ (link cambiato)
Controversia transazione (crittografati Link)

—————————— —–
* Connessione SSL:
PayPal codifica automaticamente le vostre informazioni riservate in transito dal computer alla nostra utilizzando il SSL con una chiave di crittografia lunghezza di 128-bit (il piu alto livello disponibile in commercio)

Caro Cliente,

Grazie ancora per aver scelto i servizi on-line di Banca Popolare di Milano.

Questo messaggio contiene alcuni elementi che lo distinguono come spam: intanto l’errore di ortografia “abbiamo sospeso IL ACCESO”

poi era molto grezza, gli spammer non si sono impegnati molto, mail senza grafica, solo testo nudo e crudo.

come sempre occhio!!!

Questa volta è fatto bene, non ci sono errori grossolani, ma ricordate quindi sempre attenzione!!

Gentile Cliente,

Hai dichiarato di aver dimenticato la tua password PayPal.

Clicca sul link qui di seguito per verificare questo indirizzo email e creare una nuova password:
https://www.blablablabla.com

Grazie.

Cordiali saluti,
PayPal

—————————————————————-
PROTEGGI LA TUA PASSWORD

Non rivelare MAI la tua password ad altre persone, anche se sono dipendenti PayPal. Mettiti al riparo dall’attacco dei siti web fraudolenti aprendo una nuova finestra del browser web (Internet Explorer o Netscape) e immettendo l’URL di PayPal ogni volta che accedi al tuo conto.

—————————————————————-

Non rispondere a questa email. Questa casella di posta non e monitorata e quindi non riceverai alcuna risposta. Per ricevere assistenza, accedi al tuo conto PayPal e clicca sul link Aiuto situato nell’angolo superiore destro di qualsiasi pagina PayPal.

—————————————————————-
Copyright © 1999-2008 PayPal. Tutti i diritti riservati.

PayPal (Europe) S.a r.l. & Cie, S.C.A.
Societe en Commandite par Actions
Sede sociale: 5th Floor 22-24 Boulevard Royal L-2449, Luxembourg
RCS Luxembourg B 118 349

ID dell’email PayPal PP315

 Da uno scambio di informazioni tra colleghi di una filiale è venuto fuori
 quanto segue:
 Da alcuni giorni ho chiesto, ai servizi interbancari *CartaSi* l’attivazione
 della notifica, tramite sms, delle transazioni effettuate con carta di
 credito. Lo trovo infatti molto utile soprattutto al fine di verificare, in
 tempo reale, un uso da parte di terzi della propria carta di credito.
 Ieri (sabato…), verso le ore 17.00 ho ricevuto il seguente sms (*il
 mittente era CartaSI*): “Attenzione, chiami il numero 02-40707595 per
 verificare la transazione effettuata con carta di credito al fine di
 evitarne usi fraudolenti”.
 In un primo momento ho pensato che avrei aspettato lunedì ma il dubbio che
 qualcuno avesse appena usato la mia carta (io non avevo effettuato
 pagamenti) mi metteva in ansia cosi ho composto il numero riportato
 nell’sms.
 Una voce registrata si è presentata come servizio clienti cartasi e mi ha
 invitato ad attendere in linea al fine di essere messa in contatto con un
 operatore e dopo poco, proprio come il vero servizio cartasi, mi chiedeva di
 digitare il codice della carta di credito.
 Una volta digitato il codice la solita vocina mi chiedeva di attendere ma
 quasi subito si scusava invitandomi a richiamare lunedì. A questo punto,
 presa dal dubbio, ho chiamato il numero verde per il blocco cartasi
 (800151616) e spiegando l’accaduto mi è stato confermato trattarsi di una
 truffa che da tempo stanno cercando di sconfiggere.
 Ho bloccato la carta e oggi, a distanza di 24 ore, ho ricevuto un altro sms,
 questa volta dal vero servizio cartasi con scritto :
 “Autorizzazione di 51.00 euro negata (*CartaSi* – 05/02 ore 18.59
 CCBill.com)”
 Stavano portando a termine la truffa …..
 Ora fate girare questa mail a più non posso e state attenti perché
La differenza sta nel mittente dell’sms che nel caso truffa si presenta
 cosi:”*CartaSI”
 e nel caso servizio vero cosi: “CartaSi*” .
 Vista la differenza?? *( la “I ” maiuscola e la “i” minuscola del Si*)

 Fonte:
 Banca Popolare di Milano Servizio Risk Management Uff. 641,
 Settore Rischi Tel.02/77003796 Fax 02/77002751 Piazza Meda 4 20121 Milano

vi segnalo che in questi giorni sta circolando un SMS con scritto:

Urgente è presente un nuovo messsaggio Ore 12.09 del 06/05/2008 (1 messaggio) Per ascolto chiama 899331053

Non chiamate il numero in quanto essendo un 899 è ad alta tariffazione.

Ovviamente ho rimosso il link che punta al sito falso, comqunque come sempre fate attenzione, in questo messaggio come gli altri, è chiaro che si tratta di una brutta copia di una traduzione dall’inglese all’italiano.

Technorati tags: phishing, bancoposta

Gentile cliente,

Nell`ambito delle misure di sicurezza da noi adottate, controlliamo constantemente le attivita del sistema. Durante una recente verifica, abbiamo rilevato un problema riguardante il tuo conto. Abbiamo deciso di limitare l`accesso al tuo conto fino a quando non verra completate l`implementazione di misure di sicurezza aggiuntive.

Per controllare il tuo conto e le informazioni che UBI Banca ha utilizzato per decretare di limitare l`accesso al conto, visita il seguente sito:

https://www.quiubi.it/hb/login.do
Se, dipo aver controllato le informazioni sul conto, desideri ulteriori chiarimenti riguardo all`accesso al conto, contatta il modulo Contattaci nell`Aiuto

Ci scusiamo per gli eventuali disagi

Cordinali saluti,

©Gruppo UBI Banca 2007
P. I. 03053920165

il link proposto non era di paypal ma era molto simile.

fate sempre attenzione!

Dear PayPal ® customer,

We recently reviewed your account, and we suspect an unauthorized transaction on your account.
Protecting your account is our primary concern. As a preventive measure we have temporary limited your access to sensitive information.
Paypal features.To ensure that your account is not compromised, simply hit “Resolution Center” to confirm your identity as member of Paypal.

*    Login to your Paypal with your Paypal username and password.
*    Confirm your identity as a card memeber of Paypal.

Please confirm account information by clicking here Resolution Center   and complete the “Steps to Remove Limitations.”    

*Please do not reply to this message. Mail sent to this address cannot be answered.

il link proposto non era di paypal ma era molto simile.

fate sempre attenzione!

Dear PayPal ® customer,

We recently reviewed your account, and we suspect an unauthorized transaction on your account.
Protecting your account is our primary concern. As a preventive measure we have temporary limited your access to sensitive information.
Paypal features.To ensure that your account is not compromised, simply hit "Resolution Center" to confirm your identity as member of Paypal.

*    Login to your Paypal with your Paypal username and password.
*    Confirm your identity as a card memeber of Paypal.

Please confirm account information by clicking here Resolution Center   and complete the "Steps to Remove Limitations."    

*Please do not reply to this message. Mail sent to this address cannot be answered.

Prima di Cliccare verifica bene!

Caro cliente CartaSi,

Eseguiamo attualmente la manutenzione regolare delle nostre misure di sicurezza. Il suo conto e stato scelto a caso per questa manutenzione, e lei sara adesso portato attraverso una serie di pagine di verifica di identita.

Per eseguire la manutenzione regolare per favore scatto qui

Proteggere la sicurezza del suo conto e il nostro interesse primario, e chiediamo scusa per qualunque inconvenienza che questo puo causare

Per favore nota:

Se non riceviamo la verifica di conto entro 24 ore presumeremo che questo conto e fraudolento e sara sospeso. Lo scopo di questa verifica e assicurare che il suo conto non si e compromesso e combattere la frode dalla nostra comunita.

Mi raccomando fate anche voi SCATTO QUI :D

Ecco la prima

Quest email e notificarla che il suo conto e stato sospeso per un minimo di 7 giorni dovuti alla violazione del nostro Shill Fa un offerta la Linea di condotta.
Fare un offerta di Shill cio fa un offerta aumenta artificialmente un prezzo dell articolo o lattrattiva apparente.
Fare un offerta di Shill e proibito sull eBay. Le informazioni su Shill dell eBay Fanno un offerta la Linea di condotta puo essere trovata a:

Il suo conto e stato trovato essere coinvolto in Fare un offerta di Shill col seguito i conti associati:
noi99
Lei e proibito da usare di eBay in qualunque maniera (includendo l uso di altro conti esistenti o iscrivendo i conti nuovi) durante la sua sospensione.
Qualunque aste lei ha attualmente aperto e stato annullato. Per favore la nota che qualunque onorari incorsi per queste aste non saranno accreditati di nuovo al suo conto.
Il suo conto rimarra sospeso per un minimo di 7 giorni, dopo che che cronometra lei puo interessare la sospensione rispondendo a quest email.

e questa è la seconda :

In primo tempo vi ringrazziamo per aver scelto banco poste online e vi riolgiamo tutti i servizi offerti da banco poste, in questi ultimi tempi abbiamo avuto molti nuovi clientiche sono utilizzatori dei nostri servizi online, si sono verificati dei problemi al nostro centro, sistema, e non possiamo erogare tutte le richieste numerose da voi fatte, perche il numero di transazioni e si sono verificati erori di server too busi, e le transazioni non riuscite, vi preghiamo di riprovare piu tardi grazie. Cerchiamo di risolvere il problema al piu presto possibile, scusandoci del servizio fornitovi cerchiamo di fornirvi un servizio migliore.
Essendoci entroto un up grade al nostro servizio inbase e di rinnovare il vostro softwer per non perdere le informazioni, e per questo vi preghiamo se confermate il fotto che avete ancora il conto attivo , e che esso funzioni nei parametri normali in altro vi chiediamo se i servizi erogatovi siano buoni .
Accedi ai servizi online di Poste.it e verifichi il suo account
La ringraziamo per la sua colaborazione con la BancoPosta Italiana

Non male vero ?

beh, queste due erano marcatamente false e quindi potenzialmente poco pericolose, MA, fate sempre attenzione, e ricordatevi una cosa fondamentale:

I gestori dei siti (che sia la banca, ebay, skype) NON VI CHIEDERANNO MAI E POI MAI LE VOSTRE PASSWORD!

altra nuova comunicazione truffaldina:

Gentile cliente,

Nell`ambito delle misure di sicurezza da noi adottate, controlliamo constantemente le attivita del sistema. Durante una recente verifica, abbiamo rilevato un problema riguardante il tuo conto. Abbiamo deciso di limitare l`accesso al tuo conto fino a quando non verra completate l`implementazione di misure di sicurezza aggiuntive.

Per controllare il tuo conto e le informazioni che UBI Banca ha utilizzato per decretare di limitare l`accesso al conto, visita il seguente sito:

https://www.quiubi.it/hb/login.do
Se, dipo aver controllato le informazioni sul conto, desideri ulteriori chiarimenti riguardo all`accesso al conto, contatta il modulo Contattaci nell`Aiuto

Ci scusiamo per gli eventuali disagi

Cordinali saluti,

©Gruppo UBI Banca 2007
P. I. 03053920165

occhio come sempre!