martedì 29 settembre 2009

Phishing Paypal

Pubblico un altro tentativo di phishing in modo da aumentare la campionatura totale ed approfondire tutti gli aspetti che possono rendere un messaggio "sospetto". In questo caso specifico mi è venuto in aiuto il software antispam che è installato sul server di posta sul quale ho ricevuto questo messaggio. Il software determina un punteggio basato sulle caratteristiche del messaggio stesso. In questo caso l'indirizzo di provenienza, la presenza di html nel messaggio, l'assenza di rDNS sul server di provenienza; hanno determinato un punteggio alto per cui il messaggio è stato contrassegnato come SPAM. Il software anti-spam, oltre a dare queste (ed altre) informazioni, riporta il messaggio originale in allegato. Quando si vuole ispezionare il messaggio completo, è consigliabile salvarlo sul pc ed aprirlo con un editor di testo (Notepad, Notepad++, Ultraedit, etc.) piuttosto che visualizzarlo direttamente nel browser poiché potrebbe nascondere dei virus che in questo caso potrebbe essere attivati. Passiamo ora alle caratteristiche del messaggio evidenti all'occhio del ricevente.
  1. Già l'oggetto è sospetto per via del tono imperativo. Sono utente PayPal da diversi anni e non ho mai ricevuto un messaggio che avesse un ogetto così minaccioso;
  2. Secondo indizio: l'indirizzo di provenienza è sprovvisto di dominio di secondo livello;
  3. Ho rimosso l'indirizzo del link "qui" che puntava a http :// flipalib . com /images/2009/06/it/webscr.php che non ha nulla a che fare con PayPal
  4. Il messaggio presenta evidenti errori ortografici dovuti probabilmente ad una traduzione automatica;
  5. La forma del messaggio è impersonale. Strano per un messagio di questo tipo che sembra invece essere stato inviato per uno scopo molto specifico;
  6. Assenza totale di grafica. Paypal è una delle cosiddette "dotcom" più importanti sulla rete e ci ha abituati nel tempo ad una grafica essenziale ma accurata;
  7. Una curiosità: l'html del messaggio riporta nel tag title la parola "Moneta" che farebbe pensare ad un "copia e incolla" piuttosto maldestro.
Ecco, infine, il testo completo del messaggio: Gentile Cliente PayPal, Il tuo conto PayPal e scaduto. E necessario rinnovare immediatamente o il suo account sara chiuso. Se avete intenzione di utilizzare questo servizio in futuro, e necessario agire in una sola volta! Per continuare fare clic qui , e accedi al tuo conto PayPal e segui le istruzioni.. Grazie per aver utilizzato i servizi di PayPal! Il team di PayPal Si prega di non rispondere a questa email. Questa casella di posta non e monitorata e se non riceverai una responsabilita. Per assistenza, accedi al tuo conto PayPal account e fai clic sul link Aiuto situato nell'angolo in alto a destra di qualsiasi pagina PayPal. PayPal Email ID PP936

Nessun commento:

Posta un commento