lunedì 24 settembre 2012

Phishing "professionale"

A più di un anno di distanza dagli ultimi due post che ho scritto sull'argomento, ho lo spunto per tornare ad occuparmi nel mio piccolo di phishing. Infatti, sebbene il "filtro anti-filtro-anti-spam-di-Gmail" di cui ho parlato qui abbia misteriosamente cominciato a far cilecca trattenendo sul server alcuni messaggi classificati da Gmail come spam, di e-mail di posta indesiderata continuo a scaricarne parecchi. Tra quelli arrivati nelle scorse settimane, molti sono in lingua inglese, hanno come mittente LinkedIn Reminders (per i pochi che non lo sapessero, LinkedIn è un social network impiegato principalmente per lo sviluppo di contatti professionali) ed oggetto There are a total of N messages awaiting your response (dove N è un numero compreso tra 1 e 4). Eppure, accedendo a LinkedIn senza cliccare sui link contenuti negli e-mail (poco più avanti sarà chiara l'importanza di questa precisazione), ho verificato che nella mia inbox non c'era nessun nuovo messaggio... chissà come mai?! ;-)
Tanto per cominciare, esaminando l'indirizzo (apparente) dei mittenti, notavo che esso faceva riferimento in qualche modo a LinkedIn (ad esempio reminders-noreply@noreply-linkedin.com)... ma questo non offre la benché minima garanzia, come se poi non fosse fin troppo facile falsificare il mittente di un e-mail.
Il corpo dell'e-mail si presenta con due aspetti lievemente differenti, mostrati nei seguenti screenshot (clicca per ingrandire).



Nel secondo caso figura anche il presunto nome del mittente dei fantomatici messaggi in arrivo, tutti diversi da un e-mail all'altro (e tutti nomi femminili, adesso che ci faccio caso). Posizionando però il cursore sopra i link contenuti negli e-mail, osservavo che gli URL di destinazione non avevano proprio nulla a che vedere con linkedin.com. Il primo messaggio che ho ricevuto, ad esempio, contiene dei link al sito http://beotien.perso.sfr.fr/authorizers.html; usando tutte le dovute cautele, ho provato per curiosità ad aprire il link con Mozilla Firefox, ma il mio antivirus AVG Free ha prontamente bloccato il tentativo di reindirizzamento verso http://newpharmsale.com/ (con ogni probabilità un sito di spam farmaceutico) segnalandomi la minaccia tramite la finestra mostrata qui sotto.


La tecnica adottata dai truffatori in questa ennesima campagna spammatoria è abbastanza evidente: fare leva sulla fiducia che si tende a riporre in un servizio di buona reputazione come LinkedIn, tentando di abbindolare gli utenti meno accorti con una grafica non proprio identica ma comunque piuttosto simile a quella delle notifiche autentiche provenienti dal sito. La regola da seguire in casi come questo è sempre la stessa: prudenza... e un ripassino ogni tanto della piccola guida antispam, stilata da Paolo Attivissimo anni fa ma sempre attuale, male non fa di certo! :-)

1 commento:

  1. io uso yahoo.com è ho gli stessi problemi di foshing che risolvo spedendo nello spam senza aprirli. Apro solo quelli che provengono da persone segnate nell'indirizzario mails

    RispondiElimina