crazy.cat ha scritto: ↑gio lug 02, 2020 8:13 pm
Vade retro tim, ho fastweb.
Fibra, voglio sperare.
Nella mia zona avere fastweb equivale ad avere un servizio peggiore di quello fornito da TIm. E ho detto tutto (Stessa cosa per la linea Mobile).
Risolto anche il problema della falsa pagina di accesso "Intesa San Paolo" che si visualizzava solo dall'Italia, bastava aggiungere un particolare per far sì che il resto del mondo la visualizzasse (ovvero "login.html")
Intanto ho anche scoperto che il proxy italiano di Adguard è 10 volte più veloce della mia abituale connessione fissa...
Puntualissima Intesa San Paolo mi comunica che il pagamento, che non posso aver fatto visto che mi servo da un altro isituto bancario, è stato effettuato da un ip straniero
e-mail headers
Return-Path: <root(AT)s17293301.onlinehome-server.info>
Received: by s17293301.onlinehome-server.info (Postfix, from userid 0)
id 9D40183192; Tue, 7 Jul 2020 13:49:02 +0200 (CEST)
Subject: Pagamento sospettoso
X-PHP-Originating-Script: 0:intes
From: Intesa Sicurezza<info.ikuhzdswp(at)intesasanpaolo.co>
Tuoi acquisti
* Dettagli di pagamento *
Importo: €650 RationalFX
ID transazione: 5C53687F7327933R
Perchè il pagamento è stato effettuato da un indirizzo ip straniero, abbiamo messo il 5C53687F7327933R ID transazione in attesa.
Per annullare questo pagamento, segui il link qui sotto:
Io ho segnalato a Netcraft (nulla, nonostante abbia inviato loro una mezza dozzina di screenshot da ore), Google (nemmeno a pensarci), Microsoft (okay, che lo dico a fare?) ed Eset (nada de nada). Emsisoft (idem). Al momento solo fortinet mi ha riconosciuto il caso, poco fa ho fatto richiesta anche a Malwarebytes.
Paradossalmente con la linea ADSL TIM ottengo 404 not found mentre con la connessione mobile Vodafone non ho alcun problema.
Qualora non riuscite a raggiungere L'URL provate con un sottodominio casuale di
w w w. intesazanpaolo. com è stato identificato come sito ingannevole. È possibile segnalare un errore relativo a questo avviso oppure ignorare il rischio e visitare il sito non sicuro.
Scopri ulteriori informazioni relative a siti ingannevoli e phishing sul sito www.antiphishing.org. Per approfondimenti sulla protezione da phishing e malware di Firefox visita support.mozilla.org.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Grazie crazy,
gli stessi sotto domini adesso reindirizzano verso un altro sito appena registrato
Il truffatore mi ha messo in blacklist ben tre ip address (quello fisso e due connessioni mobili).
Netcraft stavolta ha capito quasi subito e così Emsisoft.
Quando hai controllato tu probabilmente dal forum di Malwarebytes (dove avevo postato anche diversi screenshot) qualcuno ha segnalato a google e ad altri sistemi di sicurezza tanto che poco dopo era rilevato anche da McAfee
LInk breve h**ps://t.co/FGDIVvEjk1?amp=1 che rimanda a
h**ps://transportinindia.in/wp-content/upgrade/Hss/fattura/Rinnova/pagamentissa/pay_MO558070/9D5F4H05GFJ5H8GJKHGK/Homea/0FD54H8J0HK4HG5KL4JH58007L4/X4/
Testo della mail
Sito non bloccato al momento da google
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Pertanto
dobbiamo chiederti di completare un breve processo di
convalida per verifiare le informazioni del tuo account.
Clicca qi per verificare il tuo account
Il mancato completamento del processo di convalida comportera
la sospensione della tua iscrizione.
Sia Netcraft sia Google non lo rilevavano, ora sì, Netcraft mi ha risposto che era già bloccato, ma non era assolutamente vero.
----------- Appello:
Se vi arrivano phishing o truffe (come false farmacia online o siti di prodotti contraffatti cinesi) e ve la sentite non esitate a inviarmi URL e, possibilmente, copia del messaggio omettendo dati sensibili come il vostro e-mail adddress. Grazie
Pertanto
dobbiamo chiederti di completare un breve processo di
convalida per verifiare le informazioni del tuo account.
Clicca qi per verificare il tuo account
Il mancato completamento del processo di convalida comportera
la sospensione della tua iscrizione.
Sia Netcraft sia Google non lo rilevavano, ora sì, Netcraft mi ha risposto che era già bloccato, ma non era assolutamente vero.
----------- Appello:
Se vi arrivano phishing o truffe (come false farmacia online o siti di prodotti contraffatti cinesi) e ve la sentite non esitate a inviarmi URL e, possibilmente, copia del messaggio omettendo dati sensibili come il vostro e-mail adddress. Grazie
Arrivata anche a me qualche giorno fa su Virgilio: mi stavo appunto chiedendo "quanto ci metterà Leofelix a castigare anche questi?"
"I più bravi vibrano i loro fendenti col vento a favore. Ma occorre esperienza nei campi di battaglia per sapere che una lama può spezzare un'altra lama."
A me arrivano da parecchio, sempre su Virgilio, un sacco di mail da utenti dell'indirizzario che naturalmente non mi hanno inviato niente, con dei link di questo tipo:
Mi diverte, perché sperano sempre che ci caschi...
"I più bravi vibrano i loro fendenti col vento a favore. Ma occorre esperienza nei campi di battaglia per sapere che una lama può spezzare un'altra lama."
fiorenzino ha scritto: ↑gio set 24, 2020 12:36 pm
A me arrivano da parecchio, sempre su Virgilio, un sacco di mail da utenti dell'indirizzario che naturalmente non mi hanno inviato niente, con dei link di questo tipo:
Mi diverte, perché sperano sempre che ci caschi...
Io sono molto più fortunato, non su virgilio ma su un account tiscali, tutte le notti mi scrivono delle procaci fanciulle che si ricordano di me, questa per esempio è Carolina
leofelix ha scritto: ↑gio set 24, 2020 7:47 pm
Io sono molto più fortunato, non su virgilio ma su un account tiscali, tutte le notti mi scrivono delle procaci fanciulle che si ricordano di me, questa per esempio è Carolina
"Thunderbird ritiene che questo messaggio sia indesiderato"
"I più bravi vibrano i loro fendenti col vento a favore. Ma occorre esperienza nei campi di battaglia per sapere che una lama può spezzare un'altra lama."
leofelix ha scritto: ↑gio set 24, 2020 12:25 amAppello:
Se vi arrivano phishing o truffe (come false farmacia online o siti di prodotti contraffatti cinesi) e ve la sentite non esitate a inviarmi URL e, possibilmente, copia del messaggio omettendo dati sensibili come il vostro e-mail adddress. Grazie
Va bene un fantomatico pacco di Amazon?
Nessun testo nella mail, solo un frame che carica un immagine hostata su imgur; questa è l'immagine caricata nel frame (è propio il link estratto dalla mail):
CUB3 ha scritto: ↑ven set 25, 2020 10:39 am
Va bene un fantomatico pacco di Amazon?
Nessun testo nella mail, solo un frame che carica un immagine hostata su imgur; questa è l'immagine caricata nel frame (è propio il link estratto dalla
Every little helps;)
Facile che Netcraft e Google non lo accettino, potrebbero tuttavia prenderlo per buono dal momento che, a giudicare dal tipo di truffa, questa dovrebbe reindirizzare verso altri siti e quindi considerato malevolo in ogni caso.
Proverò anche a vedere cosa mi dice Malwarebytes, vorrei anche scoprire come diamine segnalare siti malevoli ad Adguard.
Grazie
Intanto stanotte mi ha scritto anche Sonia
Che fantasia eh?
[edit to add] ho visitato L'URL, dall'Italia si visualizza così, il classico falso sondaggio che promette premi fittizi
Visitandolo tramite https://isolation.site/ mi reindirizza invece verso Google. Il che lascia pensare che sia geo-localizzato. Fuori dall'Italia visualizzerebbero solo Google
Buone nuove, l'IP segnalato da CUB3 è ora bloccato da diversi antivirus con protezione online (e/o relative estensioni), anche Malwarebytes (estensione inclusa), e Phishtank (quindi probabile che OpenDNS lo blocchi) per contro adesso reindirizza verso un altro sito, stessa grafica, stessa scritta "Poste Italiane", stessa truffa. Se il primo redirect veniva bloccato da netcraft è perchè si visualizzava anche fuori dall'Italia, questo ultimo pare di no o quantomeno il truffatore ha cambiato tecnica. Fatto sta che anche il secondo redirect è bloccato da alcuni sistemi di sicurezza e rilevato da phishtank.
Continuo col mio appello:
Chi di voi dovesse ricevere phishing o altri link sospetti via e-mail o sms, se lo desidera può postare qui o inviarmi in forma privata l'URL avendo cura di omettere dati sensibili come il proprio e-mail address.
Avrete in cambio la mia costosissima ed eterna gratitudine, oltre ad aver contribuito ad avere il web più sicuro.
Se non siete sicuri di quel che state facendo eliminate il messaggio incriminato.
Ieri mi girano una mail per chiedermi spiegazioni.
Gli era arrivato un messaggio, classificato da gmail come spam, con il testo di una mail spedita, sempre da questa persona, mesi prima a una scuola, l'indirizzo visibile era quello della scuola, l'indirizzo "secondario" era brasiliano.
In allegato un file doc zippato e protetto da password, era del virus emotet.
Credo sia la prima volta che vedo riciclare una mail reale, di solito ci mettono sempre testi assurdi, o questa scuola hanno il pc infetto e stanno spammando tutte le mail ricevute, oppure gli hanno rubato l'archivio di posta e magari tutte le password.
Mi ha poi aggiornato che mail simili devono essere arrivate ad almeno mezzo paese e dintorni.
Una bella botnet in fase di crescita.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
leofelix ha scritto: ↑dom set 27, 2020 5:35 pm
Buone nuove, l'IP segnalato da CUB3 è ora bloccato da diversi antivirus con protezione online (e/o relative estensioni), anche Malwarebytes (estensione inclusa), e Phishtank (quindi probabile che OpenDNS lo blocchi) per contro adesso reindirizza verso un altro sito, stessa grafica, stessa scritta "Poste Italiane", stessa truffa. Se il primo redirect veniva bloccato da netcraft è perchè si visualizzava anche fuori dall'Italia, questo ultimo pare di no o quantomeno il truffatore ha cambiato tecnica. Fatto sta che anche il secondo redirect è bloccato da alcuni sistemi di sicurezza e rilevato da phishtank.
Posso limitarmi a segnalarti altri IP contenuti in mail dello stesso genere, senza riportare tutto l'header e/o l'immagine caricata?
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.