Re: Segnalazioni di mail di phishing o malware vario
Inviato: gio lug 02, 2020 10:35 pm
da leofelix
crazy.cat ha scritto: ↑gio lug 02, 2020 8:13 pm
Vade retro tim, ho fastweb.
Fibra, voglio sperare.
Nella mia zona avere fastweb equivale ad avere un servizio peggiore di quello fornito da TIm. E ho detto tutto (Stessa cosa per la linea Mobile).
Re: Segnalazioni di mail di phishing o malware vario
Inviato: ven lug 03, 2020 4:46 am
da leofelix
Quanto impiegheranno i nostri eroi a capire che questo è phishing, non un capitone
Re: Segnalazioni di mail di phishing o malware vario
Inviato: sab lug 04, 2020 2:28 am
da leofelix
Certo
Risolto anche il problema della falsa pagina di accesso "Intesa San Paolo" che si visualizzava solo dall'Italia, bastava aggiungere un particolare per far sì che il resto del mondo la visualizzasse (ovvero "login.html")
Intanto ho anche scoperto che il proxy italiano di Adguard è 10 volte più veloce della mia abituale connessione fissa...
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mar lug 07, 2020 9:07 pm
da leofelix
Puntualissima Intesa San Paolo mi comunica che il pagamento, che non posso aver fatto visto che mi servo da un altro isituto bancario, è stato effettuato da un ip straniero
e-mail headers
Return-Path: <root(AT)s17293301.onlinehome-server.info>
Received: by s17293301.onlinehome-server.info (Postfix, from userid 0)
id 9D40183192; Tue, 7 Jul 2020 13:49:02 +0200 (CEST)
Subject: Pagamento sospettoso
X-PHP-Originating-Script: 0:intes
From: Intesa Sicurezza<info.ikuhzdswp(at)intesasanpaolo.co>
Tuoi acquisti
* Dettagli di pagamento *
Importo: €650 RationalFX
ID transazione: 5C53687F7327933R
Perchè il pagamento è stato effettuato da un indirizzo ip straniero, abbiamo messo il 5C53687F7327933R ID transazione in attesa.
Per annullare questo pagamento, segui il link qui sotto:
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mer lug 08, 2020 7:03 pm
da leofelix
Niente, ormai ci ho fatto l'abbonamento
al momento bloccato da Google Safe browsing / Netcraft - Opera / kaspersky / Fortinet / Emsisoft, ho segnalato anche a ESET e Microsoft
Re: Segnalazioni di mail di phishing o malware vario
Inviato: dom lug 12, 2020 3:46 am
da leofelix
Che ve lo dico a fare
Re: Segnalazioni di mail di phishing o malware vario
Inviato: sab lug 25, 2020 3:03 am
da leofelix
C'è qualche anima gentile disposta a segnalare a Google safe browsing questo URL di phishing?
Io ho segnalato a Netcraft (nulla, nonostante abbia inviato loro una mezza dozzina di screenshot da ore), Google (nemmeno a pensarci), Microsoft (okay, che lo dico a fare?) ed Eset (nada de nada). Emsisoft (idem). Al momento solo fortinet mi ha riconosciuto il caso, poco fa ho fatto richiesta anche a Malwarebytes.
Paradossalmente con la linea ADSL TIM ottengo 404 not found mentre con la connessione mobile Vodafone non ho alcun problema.
Qualora non riuscite a raggiungere L'URL provate con un sottodominio casuale di
w w w. intesazanpaolo. com è stato identificato come sito ingannevole. È possibile segnalare un errore relativo a questo avviso oppure ignorare il rischio e visitare il sito non sicuro.
Scopri ulteriori informazioni relative a siti ingannevoli e phishing sul sito www.antiphishing.org. Per approfondimenti sulla protezione da phishing e malware di Firefox visita support.mozilla.org.
Re: Segnalazioni di mail di phishing o malware vario
Inviato: sab lug 25, 2020 10:25 pm
da leofelix
Grazie crazy,
gli stessi sotto domini adesso reindirizzano verso un altro sito appena registrato
Il truffatore mi ha messo in blacklist ben tre ip address (quello fisso e due connessioni mobili).
Netcraft stavolta ha capito quasi subito e così Emsisoft.
Quando hai controllato tu probabilmente dal forum di Malwarebytes (dove avevo postato anche diversi screenshot) qualcuno ha segnalato a google e ad altri sistemi di sicurezza tanto che poco dopo era rilevato anche da McAfee
Re: Segnalazioni di mail di phishing o malware vario
LInk breve h**ps://t.co/FGDIVvEjk1?amp=1 che rimanda a
h**ps://transportinindia.in/wp-content/upgrade/Hss/fattura/Rinnova/pagamentissa/pay_MO558070/9D5F4H05GFJ5H8GJKHGK/Homea/0FD54H8J0HK4HG5KL4JH58007L4/X4/
Testo della mail
Sito non bloccato al momento da google
Re: Segnalazioni di mail di phishing o malware vario
Inviato: ven set 11, 2020 8:03 pm
da leofelix
Oh Gaudio oh tripudio oh esultanza.
L'URL abbreviato reindirizza prima qui
Pertanto
dobbiamo chiederti di completare un breve processo di
convalida per verifiare le informazioni del tuo account.
Clicca qi per verificare il tuo account
Il mancato completamento del processo di convalida comportera
la sospensione della tua iscrizione.
Sia Netcraft sia Google non lo rilevavano, ora sì, Netcraft mi ha risposto che era già bloccato, ma non era assolutamente vero.
----------- Appello:
Se vi arrivano phishing o truffe (come false farmacia online o siti di prodotti contraffatti cinesi) e ve la sentite non esitate a inviarmi URL e, possibilmente, copia del messaggio omettendo dati sensibili come il vostro e-mail adddress. Grazie
Re: Segnalazioni di mail di phishing o malware vario
Inviato: gio set 24, 2020 11:03 am
da fiorenzino
leofelix ha scritto: ↑gio set 24, 2020 12:25 am
Arrivata poco fa
e-mail headers e messaggio parte in "inglese" e parte in "italiano"
Return-Path: <01010174b8eab771-17490800-a148-4062-92a3-506fd7ba2fbe-000000 @ us-west-2.amazonses.com.
; Wed, 23 Sep 2020 03:03:45 +0000
Received: from a27-52.smtp-out.us-west-2.amazonses.com ([54.240.27.52])
by cmgw-2.mail.tiscali.it with
id XF332300e17TS9y01F3kc8; Wed, 23 Sep 2020 03:03:45 +0000
x-cnfs-analysis: v=2.3
X-Tiscali-SPF-Pass: TRUE
DKIM-Signature:
Date: Wed, 23 Sep 2020 03:03:44 +0000
Mime-version: 1.0
Subject: PayPal : Hai una nuova notifica !
From: Servizio <info @ mapting.org>
To: <abuse @ tiscali.it>
Message-ID: <01010174b8eab771-17490800-a148-4062-92a3-506fd7ba2fbe-000000 @ us-west-2.amazonses.com>
Original-recipient: rfc822;abuse @ tiscali.it
Content-Type: multipart/alternative; Boundary="--=BOUNDARY_92353_OWHN_IHAU_UNIQ_QTTX"
X-SES-Outgoing: 2020.09.23-54.240.27.52
Feedback-ID: 1.us-west-2.OrcwYN2zwxqRY4ZQaQDkb1QbEfWvEN03Y2jdKwp+Sa4=:AmazonSES
Ce message est au format MIME. Comme votre logiciel de courrier ne comprend
pas ce format, tout ou partie de ce message pourrait être illisible.
Pertanto
dobbiamo chiederti di completare un breve processo di
convalida per verifiare le informazioni del tuo account.
Clicca qi per verificare il tuo account
Il mancato completamento del processo di convalida comportera
la sospensione della tua iscrizione.
Sia Netcraft sia Google non lo rilevavano, ora sì, Netcraft mi ha risposto che era già bloccato, ma non era assolutamente vero.
----------- Appello:
Se vi arrivano phishing o truffe (come false farmacia online o siti di prodotti contraffatti cinesi) e ve la sentite non esitate a inviarmi URL e, possibilmente, copia del messaggio omettendo dati sensibili come il vostro e-mail adddress. Grazie
Arrivata anche a me qualche giorno fa su Virgilio: mi stavo appunto chiedendo "quanto ci metterà Leofelix a castigare anche questi?"
Re: Segnalazioni di mail di phishing o malware vario
Inviato: gio set 24, 2020 12:36 pm
da fiorenzino
A me arrivano da parecchio, sempre su Virgilio, un sacco di mail da utenti dell'indirizzario che naturalmente non mi hanno inviato niente, con dei link di questo tipo:
Mi diverte, perché sperano sempre che ci caschi...
Re: Segnalazioni di mail di phishing o malware vario
Inviato: gio set 24, 2020 7:47 pm
da leofelix
fiorenzino ha scritto: ↑gio set 24, 2020 12:36 pm
A me arrivano da parecchio, sempre su Virgilio, un sacco di mail da utenti dell'indirizzario che naturalmente non mi hanno inviato niente, con dei link di questo tipo:
Mi diverte, perché sperano sempre che ci caschi...
Io sono molto più fortunato, non su virgilio ma su un account tiscali, tutte le notti mi scrivono delle procaci fanciulle che si ricordano di me, questa per esempio è Carolina
Re: Segnalazioni di mail di phishing o malware vario
Inviato: gio set 24, 2020 7:49 pm
da fiorenzino
leofelix ha scritto: ↑gio set 24, 2020 7:47 pm
Io sono molto più fortunato, non su virgilio ma su un account tiscali, tutte le notti mi scrivono delle procaci fanciulle che si ricordano di me, questa per esempio è Carolina
"Thunderbird ritiene che questo messaggio sia indesiderato"
Re: Segnalazioni di mail di phishing o malware vario
Inviato: gio set 24, 2020 7:56 pm
da leofelix
fiorenzino ha scritto: ↑gio set 24, 2020 7:49 pm
"Thunderbird ritiene che questo messaggio sia indesiderato"
Re: Segnalazioni di mail di phishing o malware vario
Inviato: ven set 25, 2020 10:39 am
da CUB3
leofelix ha scritto: ↑gio set 24, 2020 12:25 amAppello:
Se vi arrivano phishing o truffe (come false farmacia online o siti di prodotti contraffatti cinesi) e ve la sentite non esitate a inviarmi URL e, possibilmente, copia del messaggio omettendo dati sensibili come il vostro e-mail adddress. Grazie
Va bene un fantomatico pacco di Amazon?
Nessun testo nella mail, solo un frame che carica un immagine hostata su imgur; questa è l'immagine caricata nel frame (è propio il link estratto dalla mail):
Return-Path: <14ms78RG-14ms78RG@mainly.becharm.es>
Received: from smtp123.alice.it (10.192.87.146) by cpms-47a3.cp.alice.it (9.0.031)
id 5F63DA3D00583541 for miamail@alice.it; Thu, 24 Sep 2020 19:06:06 +0200
Received: from mainly.becharm.es (198.20.99.75) by smtp123.alice.it (8.6.060.43)
id 5E340AC251A97570 for miamail@alice.it; Thu, 24 Sep 2020 19:06:04 +0200
X-Apparently-To: davidrimond@yahoo.com; Mon, 16 Dec 2019 19:12:33 +0000
Authentication-Results: mta4367.mail.bf1.yahoo.com; dkim=pass (ok) header.i=@sbcglobal.net header.s=s2048; spf=none smtp.mailfrom=@sbcglobal.net; dmarc=NULL(p=NULL sp=NULL dis=NULL) header.from=sbcglobal.net;
Received-SPF: none (domain of sbcglobal.net does not designate permitted sender hosts)
X-YMailISG: LxWYgmoWLDvesR_k_WsX_Xt1LfJu_TGIiuehszLCkROTEsB8 xZNGH4.X6wP1k.LGvcfOTomYdH371TTmJr5dlXWfr6PHQS4qdCvgBFWxjW06 BV87H2MHM8a6H_ASlPxqa2pmZx.RH1OjDc0sZ3hFdAR81eGN_vX42dgUqyDa lM6Z9w7_n0kJfZ8bYWWhUIpC8Of5c1B.ppwk6UT2aL64L8XI8BjAjydKcRMK l.inrHqRSX.e.OCvc1fGJ6gqNwEGzWZKPbkuzQbtnq38L.vIf4xKYamVpBXX jgGNWoarXSP98EREZUHM_N2jwI1fzOZDi5b5Q9DybSAVOokZXudRs7JpV_Bl SQ8UIki6AzSLxpbgZFQTkBy7HJiQcZgRXpG8EETglonsv2CLfx1y_EShqEY5 246ugVJ4zDk_sWSbkNe70GEZrE7Z6Ke1wv2u_MFuWSB06UHpzol_nipCMffM cv1x8UMRg9yNCmjFaUyJrAk0.pD_2wiv_7gGdux5lyDuty3lG5lLNqTpkp9B wCAVYuH3fdKxyRFcchAmftUtTgl.cLNK6wTLaAmcCvGIREZccSieCM1zpmu_ ZCntNphrOxM1l9LAdOzfG_aASZOc7f5fR9ktZIXEfbscV5tCyZG5HSgOLjlb si9jq85QbKAp01tDcyLHuicY7kbez8xcLlNSMh5Tj0DtIBKoVQSwUNpJSa3b 2bFIHwRjHs.yJYrk913oQVE3wYo5z5wvJd6Y.LIOKeMvEERPTwY7F2rf2oI8 JDb5iswtzacZsQBAzVlBNGemGWHjvsLyQ4MVSynLjq5E6_ZhjCRpnArpj_0Q hLp7PlkQVUZv_1RcXJSXk27UA0Kbd.HRuOOADlQ4LnRWNQJbmcUN1GLfmSyX LTei5cpvl3RppDrTFIh2fhgkkKRlb_0cXv7RhGDGDa03GnTzIto4zi1TyKwt mz_Cuk
tQ_VE6_aNDdf700WO2g5QPpyQVDx5PYGmM5zzdDgchPTV8FJNO.aDn 3vG5ODus_9f7.FKhIp5avopW4WMkv5QEqp0H9qvYDHtbfg2W5_cE0LzAWqDt m_j9jScXYIXYDIkzV2qJ4bWxGbGQ9BZ4edQW7py6mHZpbziZEv7kr9zpJf7D DmTJK_TBgYJCOE_EkGhiG.Y38hrNx1.5BR6V_cRQxFdyx6UIHa0FogwPxjEh 2bd9LrOc0zk7OwS4bBGesESZgq7nGG6F.YASe56n_OYuG3Vk0MkvSIIApn.s 5gmlblEC4aYVrX7ynPj7tcLmOsxvKkFX9o_c0lfoTlqIz5L4zqEQfhbdaw--
X-Originating-IP: [74.6.135.233]
Received: from 10.197.36.200 (EHLO sonic302-34.consmr.mail.bf2.yahoo.com) (74.6.135.233) by mta4367.mail.bf1.yahoo.com with SMTPS; Mon, 16 Dec 2019 19:12:32 +0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sbcglobal.net; s=s2048; t=1576523552; bh=V6PC7Xauhe4lblJadpxu15ABdXNnaamBjmCt0XVINZE=; h=Date:F24-set-2020 20.05
X-YMail-OSG: oc7orM8VM1kOBLhIpA8OKJHNYZRqQq._M_4GW45tAsmHfec3iYUyEXZDqnu.xgv EGgVdBuSSWjPnQxfLM7_PTDI2JP2HzTfqmjvZXtupSGkOXl5qS.skh7n2NPOnIVMPHi7umB2XTgB nv1lQQZ5VZCT2WpCS3Kq0XUZ3OBibY1w8NaMqWdQQzBDp2LK3O7XiSfLtEYyZIxFMZVvvtbrCLm6 Jbc0GIENa7htijnXdmBlALMgjO8kzu3REqlhZnF7wDDomz5wrLWrUpobQBUnZ0nfQX12PXeqmuDA NysvKXledf9lSx.sBghyjap0Ago.Rw1xa1e2NiAnssE2dzQE4pRv3jiMsjVuUZ3J9anHkjdyjR7k QRhALoRxejHvC4tfhT.qmpZMfotIHd71GYbYkw7adrD6n9dsy8exHfijpCZ0vGsAfvKXuO0XIsSg 0..hFOIBPenQA0YCRjOHW5P.fKXGZtFkCWdR8Kb_MAv8BAoLhue0ficv2D0fNFl_vtxq6cBK2ngd SDz2hdDvmLAgcO_gMXJgIouUGPwP60T6Sg5Ap1xZlo2qgacZIRYo9RmE4jw68BtQukb.IzJwimJ9 60wbVhnuMv3.JWGWclx7Bqsm66UieRM62I87t5S8yRIWJPucX.toDbycSQ5q_6W8PcuMyuD84IEx RTLHxYoqnh3vH6sVz6fvlCTYp1OEQX80eFmRZgyYaaKMkNndImyHo6gimyxXTgK4aBmnam0vVtFK 1uDLO3AA6wfIGpc_HZ6vYoFatW8qVsvKSzdRMqgTbN4IH_2mxCu6NYkOF6oMIGKGMySvr.6.wGwM 4DUg20haIWOLh484H7TX_T2RUgPdz2m8yMw0KWmfW_0g6.sHJFH5IERW3Zk6EYXZWFlSYDJUYA0i kRkXOWw2OLU8NgSGDxzB1u.TyDltrxcMwUUtcZVBeSPmL7CYoa9kUJ3_H1E28u
UChWoOps5PAvOw O6aiEyRJI7QILh97gfwB8zE7__rj0mbYCBLob_TE26nFePAAdfRZbJf.t7lO_Q3qPZHlDBeV28UJ 9cmGNj0gfJkbtHjJVL5_bldyVBGp5MNgwFKBKBCADKo6CN.K8uuIMXdi9zuStZR3_RBTGKs9_Sso vZNBw3opQPet2h8yvkEjlPjp6tRUiRa2.qw_IImp8p8RTj3qlSbczfky7spqt_T9JL.3EuAipU6G R7QpM0fVSGkHWzGeo4528TTtQczge21egD3yY6_.3TIbXfyT7kyrZl8mX6ijnxZRHz5HaeIT2Yko zytXWITN2veMG.BEnK56bJD5z9fyVZwUXvSsTWM4ZdzxouAhN
Received: from sonic.gate.mail.ne1.yahoo.com by sonic302.consmr.mail.bf2.yahoo.com with HTTP; Mon, 16 Dec 2019 19:12:32 +0000
Date: Thu, 24 Sep 2020 17:05:17 +0000 (UTC)
From: "AmazonT&T" <info@mainly.becharm.es>
Message-ID: <1359952016.9392602.1576523431794@mail.yahoo.com>
Subject: Hai (1) pacchetto in attesa di consegna. Usa il tuo codice per seguire e ricevere
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_Part_9392601_796849201.1576523431793"
References: <1359952016.9392602.1576523431794.ref@mail.yahoo.com>
X-Mailer: WebService/1.1.14728 YMailNorrin Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0
Re: Segnalazioni di mail di phishing o malware vario
Inviato: ven set 25, 2020 7:07 pm
da leofelix
CUB3 ha scritto: ↑ven set 25, 2020 10:39 am
Va bene un fantomatico pacco di Amazon?
Nessun testo nella mail, solo un frame che carica un immagine hostata su imgur; questa è l'immagine caricata nel frame (è propio il link estratto dalla
Every little helps;)
Facile che Netcraft e Google non lo accettino, potrebbero tuttavia prenderlo per buono dal momento che, a giudicare dal tipo di truffa, questa dovrebbe reindirizzare verso altri siti e quindi considerato malevolo in ogni caso.
Proverò anche a vedere cosa mi dice Malwarebytes, vorrei anche scoprire come diamine segnalare siti malevoli ad Adguard.
Grazie
Intanto stanotte mi ha scritto anche Sonia
Che fantasia eh?
[edit to add] ho visitato L'URL, dall'Italia si visualizza così, il classico falso sondaggio che promette premi fittizi
Visitandolo tramite https://isolation.site/ mi reindirizza invece verso Google. Il che lascia pensare che sia geo-localizzato. Fuori dall'Italia visualizzerebbero solo Google
Re: Segnalazioni di mail di phishing o malware vario
Inviato: dom set 27, 2020 5:35 pm
da leofelix
Buone nuove, l'IP segnalato da CUB3 è ora bloccato da diversi antivirus con protezione online (e/o relative estensioni), anche Malwarebytes (estensione inclusa), e Phishtank (quindi probabile che OpenDNS lo blocchi) per contro adesso reindirizza verso un altro sito, stessa grafica, stessa scritta "Poste Italiane", stessa truffa. Se il primo redirect veniva bloccato da netcraft è perchè si visualizzava anche fuori dall'Italia, questo ultimo pare di no o quantomeno il truffatore ha cambiato tecnica. Fatto sta che anche il secondo redirect è bloccato da alcuni sistemi di sicurezza e rilevato da phishtank.
Continuo col mio appello:
Chi di voi dovesse ricevere phishing o altri link sospetti via e-mail o sms, se lo desidera può postare qui o inviarmi in forma privata l'URL avendo cura di omettere dati sensibili come il proprio e-mail address.
Avrete in cambio la mia costosissima ed eterna gratitudine, oltre ad aver contribuito ad avere il web più sicuro.
Se non siete sicuri di quel che state facendo eliminate il messaggio incriminato.
Better safe than sorry
Grazie
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mar set 29, 2020 12:52 am
da leofelix
Una variante del Trojan Emotet
Qui una volta aperto su isolation.site
Fino a poco fa i maggiori browser non lo bloccavano, adesso sì
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mar set 29, 2020 3:33 pm
da Al3x
Arrivato oggi
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mar set 29, 2020 6:51 pm
da leofelix
Al3x ha scritto: ↑mar set 29, 2020 3:33 pm
Arrivato oggi
Grazie Al3x,
sembra sia già fuori combattimento
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mer set 30, 2020 5:03 am
da crazy.cat
Ieri mi girano una mail per chiedermi spiegazioni.
Gli era arrivato un messaggio, classificato da gmail come spam, con il testo di una mail spedita, sempre da questa persona, mesi prima a una scuola, l'indirizzo visibile era quello della scuola, l'indirizzo "secondario" era brasiliano.
In allegato un file doc zippato e protetto da password, era del virus emotet.
Credo sia la prima volta che vedo riciclare una mail reale, di solito ci mettono sempre testi assurdi, o questa scuola hanno il pc infetto e stanno spammando tutte le mail ricevute, oppure gli hanno rubato l'archivio di posta e magari tutte le password.
Mi ha poi aggiornato che mail simili devono essere arrivate ad almeno mezzo paese e dintorni.
Una bella botnet in fase di crescita.
Re: Segnalazioni di mail di phishing o malware vario
Inviato: gio ott 01, 2020 6:27 pm
da CUB3
leofelix ha scritto: ↑dom set 27, 2020 5:35 pm
Buone nuove, l'IP segnalato da CUB3 è ora bloccato da diversi antivirus con protezione online (e/o relative estensioni), anche Malwarebytes (estensione inclusa), e Phishtank (quindi probabile che OpenDNS lo blocchi) per contro adesso reindirizza verso un altro sito, stessa grafica, stessa scritta "Poste Italiane", stessa truffa. Se il primo redirect veniva bloccato da netcraft è perchè si visualizzava anche fuori dall'Italia, questo ultimo pare di no o quantomeno il truffatore ha cambiato tecnica. Fatto sta che anche il secondo redirect è bloccato da alcuni sistemi di sicurezza e rilevato da phishtank.
Posso limitarmi a segnalarti altri IP contenuti in mail dello stesso genere, senza riportare tutto l'header e/o l'immagine caricata?