Segnalazioni di mail di phishing o malware vario

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

crazy.cat ha scritto: gio lug 02, 2020 8:13 pm Vade retro tim, ho fastweb.
Fibra, voglio sperare.
Nella mia zona avere fastweb equivale ad avere un servizio peggiore di quello fornito da TIm. E ho detto tutto (Stessa cosa per la linea Mobile).
Avanti è la vita
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Segnalazioni di mail di phishing o malware vario

Messaggio da System » gio lug 02, 2020 10:35 pm


Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Quanto impiegheranno i nostri eroi a capire che questo è phishing, non un capitone

Immagine

URL

Codice: Seleziona tutto

hxxp://a0451891.xsph.ru/ID9839D7NA736/maildir/
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Certo


Immagine

Risolto anche il problema della falsa pagina di accesso "Intesa San Paolo" che si visualizzava solo dall'Italia, bastava aggiungere un particolare per far sì che il resto del mondo la visualizzasse (ovvero "login.html")
Intanto ho anche scoperto che il proxy italiano di Adguard è 10 volte più veloce della mia abituale connessione fissa...

cfr
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Puntualissima Intesa San Paolo mi comunica che il pagamento, che non posso aver fatto visto che mi servo da un altro isituto bancario, è stato effettuato da un ip straniero

Immagine


e-mail headers
Return-Path: <root(AT)s17293301.onlinehome-server.info>
Received: by s17293301.onlinehome-server.info (Postfix, from userid 0)
id 9D40183192; Tue, 7 Jul 2020 13:49:02 +0200 (CEST)
Subject: Pagamento sospettoso
X-PHP-Originating-Script: 0:intes
From: Intesa Sicurezza<info.ikuhzdswp(at)intesasanpaolo.co>

Tuoi acquisti
* Dettagli di pagamento *
Importo: €650 RationalFX
ID transazione: 5C53687F7327933R

Perchè il pagamento è stato effettuato da un indirizzo ip straniero, abbiamo messo il 5C53687F7327933R ID transazione in attesa.

Per annullare questo pagamento, segui il link qui sotto:
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Niente, ormai ci ho fatto l'abbonamento

Immagine

al momento bloccato da Google Safe browsing / Netcraft - Opera / kaspersky / Fortinet / Emsisoft, ho segnalato anche a ESET e Microsoft
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Che ve lo dico a fare


Immagine Immagine
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

C'è qualche anima gentile disposta a segnalare a Google safe browsing questo URL di phishing?

Immagine

URL

Codice: Seleziona tutto

hxxps://www.intesazanpaolo.com/ita/persone-e--famiglie/

Per segnalare a google
https://safebrowsing.google.com/safebro ... ish/?hl=it
Eset
https://phishing.eset.com/report/ita

Io ho segnalato a Netcraft (nulla, nonostante abbia inviato loro una mezza dozzina di screenshot da ore), Google (nemmeno a pensarci), Microsoft (okay, che lo dico a fare?) ed Eset (nada de nada). Emsisoft (idem). Al momento solo fortinet mi ha riconosciuto il caso, poco fa ho fatto richiesta anche a Malwarebytes.
Paradossalmente con la linea ADSL TIM ottengo 404 not found mentre con la connessione mobile Vodafone non ho alcun problema.

Qualora non riuscite a raggiungere L'URL provate con un sottodominio casuale di

Codice: Seleziona tutto

*.acupunturanatural.org/appib/ o *.esencialnatura.com/appib/ o hxxp:// 78.129.172.24/appib/
(in ambiente isolato o virtuale, mi raccomando, per quanto ne so le pagine potrebbero essere infette)

L'URL è raggiungibile solo dall'Italia, ecco l'immagine in uno dei siti di redirects nel corpo del messaggio
Immagine

:grazie

:evil:
Avanti è la vita
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

leofelix ha scritto: sab lug 25, 2020 3:03 am

Codice: Seleziona tutto

hxxps://www.intesazanpaolo.com/ita/persone-e--famiglie/
w w w. intesazanpaolo. com è stato identificato come sito ingannevole. È possibile segnalare un errore relativo a questo avviso oppure ignorare il rischio e visitare il sito non sicuro.
Scopri ulteriori informazioni relative a siti ingannevoli e phishing sul sito www.antiphishing.org. Per approfondimenti sulla protezione da phishing e malware di Firefox visita support.mozilla.org.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Grazie crazy,
gli stessi sotto domini adesso reindirizzano verso un altro sito appena registrato
Immagine
Il truffatore mi ha messo in blacklist ben tre ip address (quello fisso e due connessioni mobili).
Netcraft stavolta ha capito quasi subito e così Emsisoft.

Quando hai controllato tu probabilmente dal forum di Malwarebytes (dove avevo postato anche diversi screenshot) qualcuno ha segnalato a google e ad altri sistemi di sicurezza tanto che poco dopo era rilevato anche da McAfee
Avanti è la vita
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

Primo phishing da molti mesi

Codice: Seleziona tutto

LInk breve h**ps://t.co/FGDIVvEjk1?amp=1 che rimanda a 
h**ps://transportinindia.in/wp-content/upgrade/Hss/fattura/Rinnova/pagamentissa/pay_MO558070/9D5F4H05GFJ5H8GJKHGK/Homea/0FD54H8J0HK4HG5KL4JH58007L4/X4/
Testo della mail
Immagine

Sito non bloccato al momento da google
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Oh Gaudio oh tripudio oh esultanza.
L'URL abbreviato reindirizza prima qui

https://aspektes.com/wp-content/upgrade/DDX/nadakanbghik/riglfihaj/?id=tchiwayt

Che a sua volta reindirizza qui

https://transportinindia.in/wp-content/upgrade/Hss/fattura/Rinnova/pagamentissa/pay_MO558070/9D5F4H05GFJ5H8GJKHGK/Homea/0FD54H8J0HK4HG5KL4JH58007L4/X4/

Stando a https://www.toolsvoid.com/unshorten-url/ e https://www.toolsvoid.com/url-dump/ (questi ultimi sono siti attendibili).

Credo si visualizzi anche fuori dall'Italia stando a https://isolation.site/ di cui hai appena trattato.

Sto segnalando a destra e manca :grazie
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Arrivata poco fa

Immagine

e-mail headers e messaggio parte in "inglese" e parte in "italiano"
Return-Path: <01010174b8eab771-17490800-a148-4062-92a3-506fd7ba2fbe-000000 @ us-west-2.amazonses.com.
; Wed, 23 Sep 2020 03:03:45 +0000
Received: from a27-52.smtp-out.us-west-2.amazonses.com ([54.240.27.52])
by cmgw-2.mail.tiscali.it with
id XF332300e17TS9y01F3kc8; Wed, 23 Sep 2020 03:03:45 +0000
x-cnfs-analysis: v=2.3
X-Tiscali-SPF-Pass: TRUE
DKIM-Signature:
Date: Wed, 23 Sep 2020 03:03:44 +0000
Mime-version: 1.0
Subject: PayPal : Hai una nuova notifica !
From: Servizio <info @ mapting.org>
To: <abuse @ tiscali.it>
Message-ID: <01010174b8eab771-17490800-a148-4062-92a3-506fd7ba2fbe-000000 @ us-west-2.amazonses.com>
Original-recipient: rfc822;abuse @ tiscali.it
Content-Type: multipart/alternative; Boundary="--=BOUNDARY_92353_OWHN_IHAU_UNIQ_QTTX"
X-SES-Outgoing: 2020.09.23-54.240.27.52
Feedback-ID: 1.us-west-2.OrcwYN2zwxqRY4ZQaQDkb1QbEfWvEN03Y2jdKwp+Sa4=:AmazonSES

Ce message est au format MIME. Comme votre logiciel de courrier ne comprend
pas ce format, tout ou partie de ce message pourrait être illisible.

----=BOUNDARY_92353_OWHN_IHAU_UNIQ_QTTX
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-transfer-encoding: quoted-printable


PayPal Secure

ve temporarilyocked your account to keep it safe.


Pertanto
dobbiamo chiederti di completare un breve processo di
convalida per verifiare le informazioni del tuo account.

Clicca qi per verificare il tuo account

Il mancato completamento del processo di convalida comportera
la sospensione della tua iscrizione.

Sia Netcraft sia Google non lo rilevavano, ora sì, Netcraft mi ha risposto che era già bloccato, ma non era assolutamente vero.

-----------
Appello:

Se vi arrivano phishing o truffe (come false farmacia online o siti di prodotti contraffatti cinesi) e ve la sentite non esitate a inviarmi URL e, possibilmente, copia del messaggio omettendo dati sensibili come il vostro e-mail adddress. Grazie
Avanti è la vita
Avatar utente
fiorenzino
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1098
Iscritto il: mer ago 09, 2017 7:14 pm
Località: Speziale

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da fiorenzino »

leofelix ha scritto: gio set 24, 2020 12:25 am Arrivata poco fa

Immagine

e-mail headers e messaggio parte in "inglese" e parte in "italiano"
Return-Path: <01010174b8eab771-17490800-a148-4062-92a3-506fd7ba2fbe-000000 @ us-west-2.amazonses.com.
; Wed, 23 Sep 2020 03:03:45 +0000
Received: from a27-52.smtp-out.us-west-2.amazonses.com ([54.240.27.52])
by cmgw-2.mail.tiscali.it with
id XF332300e17TS9y01F3kc8; Wed, 23 Sep 2020 03:03:45 +0000
x-cnfs-analysis: v=2.3
X-Tiscali-SPF-Pass: TRUE
DKIM-Signature:
Date: Wed, 23 Sep 2020 03:03:44 +0000
Mime-version: 1.0
Subject: PayPal : Hai una nuova notifica !
From: Servizio <info @ mapting.org>
To: <abuse @ tiscali.it>
Message-ID: <01010174b8eab771-17490800-a148-4062-92a3-506fd7ba2fbe-000000 @ us-west-2.amazonses.com>
Original-recipient: rfc822;abuse @ tiscali.it
Content-Type: multipart/alternative; Boundary="--=BOUNDARY_92353_OWHN_IHAU_UNIQ_QTTX"
X-SES-Outgoing: 2020.09.23-54.240.27.52
Feedback-ID: 1.us-west-2.OrcwYN2zwxqRY4ZQaQDkb1QbEfWvEN03Y2jdKwp+Sa4=:AmazonSES

Ce message est au format MIME. Comme votre logiciel de courrier ne comprend
pas ce format, tout ou partie de ce message pourrait être illisible.

----=BOUNDARY_92353_OWHN_IHAU_UNIQ_QTTX
Content-Type: text/plain; charset="ISO-8859-1"; format=flowed
Content-transfer-encoding: quoted-printable


PayPal Secure

ve temporarilyocked your account to keep it safe.


Pertanto
dobbiamo chiederti di completare un breve processo di
convalida per verifiare le informazioni del tuo account.

Clicca qi per verificare il tuo account

Il mancato completamento del processo di convalida comportera
la sospensione della tua iscrizione.

Sia Netcraft sia Google non lo rilevavano, ora sì, Netcraft mi ha risposto che era già bloccato, ma non era assolutamente vero.

-----------
Appello:

Se vi arrivano phishing o truffe (come false farmacia online o siti di prodotti contraffatti cinesi) e ve la sentite non esitate a inviarmi URL e, possibilmente, copia del messaggio omettendo dati sensibili come il vostro e-mail adddress. Grazie
Arrivata anche a me qualche giorno fa su Virgilio: mi stavo appunto chiedendo "quanto ci metterà Leofelix a castigare anche questi?" :lol:
"I più bravi vibrano i loro fendenti col vento a favore. Ma occorre esperienza nei campi di battaglia per sapere che una lama può spezzare un'altra lama."
Avatar utente
fiorenzino
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1098
Iscritto il: mer ago 09, 2017 7:14 pm
Località: Speziale

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da fiorenzino »

A me arrivano da parecchio, sempre su Virgilio, un sacco di mail da utenti dell'indirizzario che naturalmente non mi hanno inviato niente, con dei link di questo tipo:
Immagine
Mi diverte, perché sperano sempre che ci caschi...
"I più bravi vibrano i loro fendenti col vento a favore. Ma occorre esperienza nei campi di battaglia per sapere che una lama può spezzare un'altra lama."
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

fiorenzino ha scritto: gio set 24, 2020 12:36 pm A me arrivano da parecchio, sempre su Virgilio, un sacco di mail da utenti dell'indirizzario che naturalmente non mi hanno inviato niente, con dei link di questo tipo:
Immagine
Mi diverte, perché sperano sempre che ci caschi...

Io sono molto più fortunato, non su virgilio ma su un account tiscali, tutte le notti mi scrivono delle procaci fanciulle che si ricordano di me, questa per esempio è Carolina :-P
Immagine
Avanti è la vita
Avatar utente
fiorenzino
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1098
Iscritto il: mer ago 09, 2017 7:14 pm
Località: Speziale

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da fiorenzino »

leofelix ha scritto: gio set 24, 2020 7:47 pm Io sono molto più fortunato, non su virgilio ma su un account tiscali, tutte le notti mi scrivono delle procaci fanciulle che si ricordano di me, questa per esempio è Carolina :-P
Immagine
"Thunderbird ritiene che questo messaggio sia indesiderato"
:lol:
"I più bravi vibrano i loro fendenti col vento a favore. Ma occorre esperienza nei campi di battaglia per sapere che una lama può spezzare un'altra lama."
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

fiorenzino ha scritto: gio set 24, 2020 7:49 pm
"Thunderbird ritiene che questo messaggio sia indesiderato"
:lol:
:D
Avanti è la vita
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 3931
Iscritto il: lun gen 26, 2015 10:13 am

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da CUB3 »

leofelix ha scritto: gio set 24, 2020 12:25 am Appello:

Se vi arrivano phishing o truffe (come false farmacia online o siti di prodotti contraffatti cinesi) e ve la sentite non esitate a inviarmi URL e, possibilmente, copia del messaggio omettendo dati sensibili come il vostro e-mail adddress. Grazie
Va bene un fantomatico pacco di Amazon?

Nessun testo nella mail, solo un frame che carica un immagine hostata su imgur; questa è l'immagine caricata nel frame (è propio il link estratto dalla mail):
Immagine
All'immagine è collegato questo link:

Codice: Seleziona tutto

http://198.20.99.75/?MjAxMzY4Nzg5PTM0NTgzJjI4NTQ2MzI9MzkzJjEwMD1jbGljayYxaXlrOHF6PTgmbGlkPTM5NTk0
L'header della mail è il seguente:

Codice: Seleziona tutto

	

Return-Path: <14ms78RG-14ms78RG@mainly.becharm.es>
Received: from smtp123.alice.it (10.192.87.146) by cpms-47a3.cp.alice.it (9.0.031)
        id 5F63DA3D00583541 for miamail@alice.it; Thu, 24 Sep 2020 19:06:06 +0200
Received: from mainly.becharm.es (198.20.99.75) by smtp123.alice.it (8.6.060.43)
        id 5E340AC251A97570 for miamail@alice.it; Thu, 24 Sep 2020 19:06:04 +0200
X-Apparently-To: davidrimond@yahoo.com; Mon, 16 Dec 2019 19:12:33 +0000
Authentication-Results: mta4367.mail.bf1.yahoo.com;  dkim=pass (ok) header.i=@sbcglobal.net header.s=s2048;  spf=none smtp.mailfrom=@sbcglobal.net;  dmarc=NULL(p=NULL sp=NULL dis=NULL) header.from=sbcglobal.net;
Received-SPF: none (domain of sbcglobal.net does not designate permitted sender hosts)
X-YMailISG: LxWYgmoWLDvesR_k_WsX_Xt1LfJu_TGIiuehszLCkROTEsB8  xZNGH4.X6wP1k.LGvcfOTomYdH371TTmJr5dlXWfr6PHQS4qdCvgBFWxjW06  BV87H2MHM8a6H_ASlPxqa2pmZx.RH1OjDc0sZ3hFdAR81eGN_vX42dgUqyDa  lM6Z9w7_n0kJfZ8bYWWhUIpC8Of5c1B.ppwk6UT2aL64L8XI8BjAjydKcRMK  l.inrHqRSX.e.OCvc1fGJ6gqNwEGzWZKPbkuzQbtnq38L.vIf4xKYamVpBXX  jgGNWoarXSP98EREZUHM_N2jwI1fzOZDi5b5Q9DybSAVOokZXudRs7JpV_Bl  SQ8UIki6AzSLxpbgZFQTkBy7HJiQcZgRXpG8EETglonsv2CLfx1y_EShqEY5  246ugVJ4zDk_sWSbkNe70GEZrE7Z6Ke1wv2u_MFuWSB06UHpzol_nipCMffM  cv1x8UMRg9yNCmjFaUyJrAk0.pD_2wiv_7gGdux5lyDuty3lG5lLNqTpkp9B  wCAVYuH3fdKxyRFcchAmftUtTgl.cLNK6wTLaAmcCvGIREZccSieCM1zpmu_  ZCntNphrOxM1l9LAdOzfG_aASZOc7f5fR9ktZIXEfbscV5tCyZG5HSgOLjlb  si9jq85QbKAp01tDcyLHuicY7kbez8xcLlNSMh5Tj0DtIBKoVQSwUNpJSa3b  2bFIHwRjHs.yJYrk913oQVE3wYo5z5wvJd6Y.LIOKeMvEERPTwY7F2rf2oI8  JDb5iswtzacZsQBAzVlBNGemGWHjvsLyQ4MVSynLjq5E6_ZhjCRpnArpj_0Q  hLp7PlkQVUZv_1RcXJSXk27UA0Kbd.HRuOOADlQ4LnRWNQJbmcUN1GLfmSyX  LTei5cpvl3RppDrTFIh2fhgkkKRlb_0cXv7RhGDGDa03GnTzIto4zi1TyKwt  mz_Cuk
tQ_VE6_aNDdf700WO2g5QPpyQVDx5PYGmM5zzdDgchPTV8FJNO.aDn  3vG5ODus_9f7.FKhIp5avopW4WMkv5QEqp0H9qvYDHtbfg2W5_cE0LzAWqDt  m_j9jScXYIXYDIkzV2qJ4bWxGbGQ9BZ4edQW7py6mHZpbziZEv7kr9zpJf7D  DmTJK_TBgYJCOE_EkGhiG.Y38hrNx1.5BR6V_cRQxFdyx6UIHa0FogwPxjEh  2bd9LrOc0zk7OwS4bBGesESZgq7nGG6F.YASe56n_OYuG3Vk0MkvSIIApn.s  5gmlblEC4aYVrX7ynPj7tcLmOsxvKkFX9o_c0lfoTlqIz5L4zqEQfhbdaw--
X-Originating-IP: [74.6.135.233]
Received: from 10.197.36.200  (EHLO sonic302-34.consmr.mail.bf2.yahoo.com) (74.6.135.233)   by mta4367.mail.bf1.yahoo.com with SMTPS; Mon, 16 Dec 2019 19:12:32 +0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sbcglobal.net; s=s2048; t=1576523552; bh=V6PC7Xauhe4lblJadpxu15ABdXNnaamBjmCt0XVINZE=; h=Date:F24-set-2020 20.05
X-YMail-OSG: oc7orM8VM1kOBLhIpA8OKJHNYZRqQq._M_4GW45tAsmHfec3iYUyEXZDqnu.xgv  EGgVdBuSSWjPnQxfLM7_PTDI2JP2HzTfqmjvZXtupSGkOXl5qS.skh7n2NPOnIVMPHi7umB2XTgB  nv1lQQZ5VZCT2WpCS3Kq0XUZ3OBibY1w8NaMqWdQQzBDp2LK3O7XiSfLtEYyZIxFMZVvvtbrCLm6  Jbc0GIENa7htijnXdmBlALMgjO8kzu3REqlhZnF7wDDomz5wrLWrUpobQBUnZ0nfQX12PXeqmuDA  NysvKXledf9lSx.sBghyjap0Ago.Rw1xa1e2NiAnssE2dzQE4pRv3jiMsjVuUZ3J9anHkjdyjR7k  QRhALoRxejHvC4tfhT.qmpZMfotIHd71GYbYkw7adrD6n9dsy8exHfijpCZ0vGsAfvKXuO0XIsSg  0..hFOIBPenQA0YCRjOHW5P.fKXGZtFkCWdR8Kb_MAv8BAoLhue0ficv2D0fNFl_vtxq6cBK2ngd  SDz2hdDvmLAgcO_gMXJgIouUGPwP60T6Sg5Ap1xZlo2qgacZIRYo9RmE4jw68BtQukb.IzJwimJ9  60wbVhnuMv3.JWGWclx7Bqsm66UieRM62I87t5S8yRIWJPucX.toDbycSQ5q_6W8PcuMyuD84IEx  RTLHxYoqnh3vH6sVz6fvlCTYp1OEQX80eFmRZgyYaaKMkNndImyHo6gimyxXTgK4aBmnam0vVtFK  1uDLO3AA6wfIGpc_HZ6vYoFatW8qVsvKSzdRMqgTbN4IH_2mxCu6NYkOF6oMIGKGMySvr.6.wGwM  4DUg20haIWOLh484H7TX_T2RUgPdz2m8yMw0KWmfW_0g6.sHJFH5IERW3Zk6EYXZWFlSYDJUYA0i  kRkXOWw2OLU8NgSGDxzB1u.TyDltrxcMwUUtcZVBeSPmL7CYoa9kUJ3_H1E28u
UChWoOps5PAvOw  O6aiEyRJI7QILh97gfwB8zE7__rj0mbYCBLob_TE26nFePAAdfRZbJf.t7lO_Q3qPZHlDBeV28UJ  9cmGNj0gfJkbtHjJVL5_bldyVBGp5MNgwFKBKBCADKo6CN.K8uuIMXdi9zuStZR3_RBTGKs9_Sso  vZNBw3opQPet2h8yvkEjlPjp6tRUiRa2.qw_IImp8p8RTj3qlSbczfky7spqt_T9JL.3EuAipU6G  R7QpM0fVSGkHWzGeo4528TTtQczge21egD3yY6_.3TIbXfyT7kyrZl8mX6ijnxZRHz5HaeIT2Yko  zytXWITN2veMG.BEnK56bJD5z9fyVZwUXvSsTWM4ZdzxouAhN
Received: from sonic.gate.mail.ne1.yahoo.com by sonic302.consmr.mail.bf2.yahoo.com with HTTP; Mon, 16 Dec 2019 19:12:32 +0000
Date: Thu, 24 Sep 2020 17:05:17 +0000 (UTC)
From: "AmazonT&T" <info@mainly.becharm.es>
Message-ID: <1359952016.9392602.1576523431794@mail.yahoo.com>
Subject: Hai (1) pacchetto in attesa di consegna. Usa il tuo codice per seguire e ricevere
MIME-Version: 1.0
Content-Type: multipart/alternative; 	boundary="----=_Part_9392601_796849201.1576523431793"
References: <1359952016.9392602.1576523431794.ref@mail.yahoo.com>
X-Mailer: WebService/1.1.14728 YMailNorrin Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

CUB3 ha scritto: ven set 25, 2020 10:39 am
Va bene un fantomatico pacco di Amazon?

Nessun testo nella mail, solo un frame che carica un immagine hostata su imgur; questa è l'immagine caricata nel frame (è propio il link estratto dalla
Every little helps;)
Facile che Netcraft e Google non lo accettino, potrebbero tuttavia prenderlo per buono dal momento che, a giudicare dal tipo di truffa, questa dovrebbe reindirizzare verso altri siti e quindi considerato malevolo in ogni caso.

Proverò anche a vedere cosa mi dice Malwarebytes, vorrei anche scoprire come diamine segnalare siti malevoli ad Adguard.
Grazie :grazie

Intanto stanotte mi ha scritto anche Sonia :fiu
Immagine
Che fantasia eh?


[edit to add] ho visitato L'URL, dall'Italia si visualizza così, il classico falso sondaggio che promette premi fittizi
Immagine
Visitandolo tramite https://isolation.site/ mi reindirizza invece verso Google. Il che lascia pensare che sia geo-localizzato. Fuori dall'Italia visualizzerebbero solo Google
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Buone nuove, l'IP segnalato da CUB3 è ora bloccato da diversi antivirus con protezione online (e/o relative estensioni), anche Malwarebytes (estensione inclusa), e Phishtank (quindi probabile che OpenDNS lo blocchi) per contro adesso reindirizza verso un altro sito, stessa grafica, stessa scritta "Poste Italiane", stessa truffa. Se il primo redirect veniva bloccato da netcraft è perchè si visualizzava anche fuori dall'Italia, questo ultimo pare di no o quantomeno il truffatore ha cambiato tecnica. Fatto sta che anche il secondo redirect è bloccato da alcuni sistemi di sicurezza e rilevato da phishtank.

Continuo col mio appello:

Chi di voi dovesse ricevere phishing o altri link sospetti via e-mail o sms, se lo desidera può postare qui o inviarmi in forma privata l'URL avendo cura di omettere dati sensibili come il proprio e-mail address.
Avrete in cambio la mia costosissima ed eterna gratitudine, oltre ad aver contribuito ad avere il web più sicuro.
Se non siete sicuri di quel che state facendo eliminate il messaggio incriminato.

Better safe than sorry

Grazie
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Una variante del Trojan Emotet

Immagine


Qui una volta aperto su isolation.site



Immagine

Fino a poco fa i maggiori browser non lo bloccavano, adesso sì

Qui i risultati di virustotal

https://www.virustotal.com/gui/file/bce ... /detection

Analisi di Kaspersky (alcune cose le possono visualizzare solo gli utenti a pagamento)

https://opentip.kaspersky.com/BCEB1B46F ... 53302753B/

Alcune informazioni su questo Trojan

https://blog.malwarebytes.com/detections/trojan-emotet/

Qui anche lo strumento se il vostro sistema è infetto
https://www.wired.it/internet/web/2020/ ... t-malware/

Nota: ho offuscato il link per ovvi motivi.
Avanti è la vita
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 4535
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da Al3x »

Arrivato oggiImmagine
I :amore Sasha
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Al3x ha scritto: mar set 29, 2020 3:33 pm Arrivato oggi
Grazie Al3x,
sembra sia già fuori combattimento

Immagine
Avanti è la vita
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

Ieri mi girano una mail per chiedermi spiegazioni.
Gli era arrivato un messaggio, classificato da gmail come spam, con il testo di una mail spedita, sempre da questa persona, mesi prima a una scuola, l'indirizzo visibile era quello della scuola, l'indirizzo "secondario" era brasiliano.
In allegato un file doc zippato e protetto da password, era del virus emotet.
Credo sia la prima volta che vedo riciclare una mail reale, di solito ci mettono sempre testi assurdi, o questa scuola hanno il pc infetto e stanno spammando tutte le mail ricevute, oppure gli hanno rubato l'archivio di posta e magari tutte le password.

Mi ha poi aggiornato che mail simili devono essere arrivate ad almeno mezzo paese e dintorni.
Una bella botnet in fase di crescita.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 3931
Iscritto il: lun gen 26, 2015 10:13 am

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da CUB3 »

leofelix ha scritto: dom set 27, 2020 5:35 pm Buone nuove, l'IP segnalato da CUB3 è ora bloccato da diversi antivirus con protezione online (e/o relative estensioni), anche Malwarebytes (estensione inclusa), e Phishtank (quindi probabile che OpenDNS lo blocchi) per contro adesso reindirizza verso un altro sito, stessa grafica, stessa scritta "Poste Italiane", stessa truffa. Se il primo redirect veniva bloccato da netcraft è perchè si visualizzava anche fuori dall'Italia, questo ultimo pare di no o quantomeno il truffatore ha cambiato tecnica. Fatto sta che anche il secondo redirect è bloccato da alcuni sistemi di sicurezza e rilevato da phishtank.
:grazie :grazie :grazie

Posso limitarmi a segnalarti altri IP contenuti in mail dello stesso genere, senza riportare tutto l'header e/o l'immagine caricata?
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Segnalazioni di mail di phishing o malware vario

Messaggio da System » gio ott 01, 2020 6:27 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio