giovedì 9 dicembre 2010

Phishing - Wind una ricarica gratuita

Per un attimo c'ho pensato!
Al momento sono un cliente Wind e questa volta ho avuto la forte tentazione di cliccare il link "malefico". Prima di cliccare (per un barlume di lucidità) ho guardato la destinazione nella barra di stato e, vedendo un dominio windss.it e dei nomi di file e cartelle strani, il dubbio ha iniziato ad insinuarsi nei miei pensieri.
Indico quì di seguito il link per completezza rendendolo inutilizzabile.
h t t p : / / w m 7 . e m a i l . i t / w e b m a i l / w m _ 5 / r e d i r . p h p ? h t t p : / / w w w . w i n d s s . n e t / W i n d S h o p _ f i l e / W i n d S h o p . h t m

Per ulteriore verifica, ho voluto fare una ricerca su Google per le chiavi "Hai Ricevuto Una Ricarica Telefonica Omaggio" e "Wind una ricarica gratuita" rispettivamente il nome del mittente (!) e l'oggetto del messaggio. Solo per fortuna, è saltato fuori almeno un caso simile segnalato sul blog Bufale On Line nel post di MassimoM intitolato Attenzione alle postePay! ( http://bufaleonline.blogspot.com/2010_11_01_archive.html ) peraltro molto recente. Io ho ricevuto la mail ieri 8 dicembre 2010 ed il post è di sabato 27 novembre 2010.

"Hai Ricevuto Una Ricarica Telefonica Omaggio"
"Wind una ricarica gratuita"
Titoli del genere devono sempre insospettire. La massima "non ti regala niente nessuno", in particolare sul web, si dimostra quanto mai "azzeccata".

Un invito esplicito ad accedere a servizi riservati, che cioé richiedono autenticazione, direttamente da una mail deve sempre allarmare. Gli istituti di credito, servizi di pagamento e telco del calibro di Wind non chiederebbero mai all'utente una "manovra" così pericolosa. A titolo di esempio scrivo quanto riportato in merito sul sito ING DIRECT (Conto arancio):

Proteggiti dal phishing
Impara a riconoscere le nostre comunicazioni email per evitare le frodi online.
Le email inviate da ING DIRECT presentano alcune caratteristiche che ti permettono di riconoscerle:

  • sono personalizzate con l'indicazione del tuo nome: ad esempio "Gentile Mario"
  • sono riportati i tuoi dati identificativi: nome, iniziale del cognome e parte del numero del prodotto ING DIRECT che possiedi;
  • nessuna nostra email contiene link cliccabili che ti conducono a una pagina in cui inserire codici identificativi
  • nessuna email ti chiederà informazioni personali o dati relativi ai tuoi codici di accesso
RICORDA inoltre che:
ING DIRECT non ti richiederà mai, tramite email o telefono, di fornire i tuoi codici identificativi
ING DIRECT non ti chiederà mai di contattare un numero di telefono diverso da quelli ufficiali del call center che trovi sul nostro sito


L'indirizzo del mittente service@libero.it è un altro punto oscuro. È vero che Wind e Libero sono parte della stessa famiglia, ma per aziende di questo calibro sarebbe una caduta di stile inviare promozioni con indirizzi differenti. Inoltre questa tipologia di messaggi arriva solitamente da indirizzi tecnici del tipo no_replay@dominio.it che presuppongono una comunicazione unidirezionale tipo broadcast.
Il contenuto della mail, in un primo momento, sembra essere fatto ad arte. In un banner (anche questo col link allo stesso indirizzo!) compaiono l'Incontrada, Panariello e Fiorello. È il banner che compare sul sito Wind.it all'indirizzo http://www.wind.it/it/promo/pagina51.phtml relativo all'offerta Wind - Privati - Super TuttoIncluso restituita da Google per la chiave di ricerca "Super TuttoIncluso" di cui si parla nella mail. Mostro il banner di seguito.



Guardando l'offerta mi sono accorto che non c'era traccia nel messaggio ricevuto delle sue caratterisitche peculiari. Ho trovato strano anche questo aspetto.

La grafica del messaggio, a parte il banner è assente. Io ricevo periodicamente la newsletter di Wind.it ed è invece molto curata.
Nel testo della mail sono presenti anche altri link che puntano tutti alla destinazione sospetta. Un link dovrebbe rimandare all'elenco rivenditori autorizzati Wind; un altro alle Condizioni Generali di Contratto.
Wind non farebbe mai un "errore" simile.

Per rendere il regalo ancora più accattivante nel testo della mail si parla di un concorso a premi collegato alla promozione, ecco il testo:
"Oggi con soli 10,00 euro di ricarica telefonica, riceverai sul tuo telefono una ricarica omaggio
di 40,00 euro, e parteciperai al concorso mensile per l'estrazione di 5000 buoni da 500,00 euro
divisi per l'anno solare in ricariche telefoniche."

Facendo due calcoli, 5000 buoni da €500,00 fanno un totale di €2.500.000,00 che è un bell'investimento pubblicitario. Non conosco i budget stanziati da Wind per il marketing ma mi sembra un importo molto importante... troppo. Inoltre si parla di anno solare, ma il 2010 è praticamente finito e non si parla mai di 2011.

Il messaggio è impersonale. Insolito per un'offerta di questo tipo. Se l'azienda mi contatta come suo cliente, farebbe certamente lo sforzo di mettere il mio nome nel testo del messaggio.  

Per fare un servizio alla comunità, conscio del pericolo, ho cliccato sul link per vedere effettivamente dove puntasse, ma la pagina, dopo una paio di "salti", va in errore e termina su di un link non funzionate h t t p : / / w w w . % 3 c c p a n e l % 2 0 l a n g p r i n t = /

Ci si potrebbe chiedere: "Che scopo ha un phisher di carpire le mie credenziali al sito Wind?"
Probabilmente non è l'accesso al sito Wind, l'oggetto principale del tentativo di frode. Lo è invece il numero di carta di credito che si utilizzerà per la ricarica da 10 euro necessaria per usufruire del bonus e partecipare al concorso.

Ho ritenuto di fare immediatamente un articolo sull'argomento non avendo trovato altre segnalazioni.
Bisogna stare attenti. Quando si aprono mail che invitano ad utilizzare servizi mediante login (e non ce ne dovrebbero essere) deve diventare una regola assoluta guardare sempre l'indirizzo che il browser mostra in corrispondenza, ed al minimo sospetto desistere o almeno accertarsi della validità effettiva del messaggio. Quando c'è il minimo dubbio può essere d'aiuto leggere un mio articolo di qualche tempo fà 5 regole anti-SPAM  


Un particolare ringraziamento va a MassimoM del blog Bufale On Line
http://bufaleonline.blogspot.com/

...ed agli altri siti che di questo tipo di truffa parlano anche in maniera approfondita, ma che non sono emersi su Google per le ricerche che avevo fatto inizialmente.
In Ancora ricarica telefonica con bonus per questo sito di phishing altamente ingannevole ai danni di Wind (30 settembre) su http://edetools.blogspot.com/

Nel DB di anti-phishing.it http://database.anti-phishing.it/ dove è possibile trovare ed aggiungere un tentativo di phishing. In effetti il 5 dicembre risulta esservi una segnalazione per l'indirizzo che ho indicato. Per verificare la presenza di un link nelle segnalazioni registrate si può fare una ricerca su Google del tipo:
http://URL_NEL_MESSAGGIO_DI_PHISING site:http://database.anti-phishing.it/

...senza dimenticare chi insegna ai propri utenti a difendersi come ING DIRECT

Per qualsiasi altra richiesta o informazione potete scrivermi alla mail in testa al blog o postare un commento.
Alla prossima!