Re: Segnalazioni di mail di phishing o malware vario
Inviato: mar mar 24, 2015 7:07 pm
da crazy.cat
leofelix ha scritto:@ crazy.cat
per caso ti capita di ricordare l'URL ricevuto che origina il caso di phishing "CartaBCC" che oggi reindirizza verso i sottodomini casuali del TDL *.advicety.com/wps/login.php e se sì lo potresti postare?
Era questo hxxp://k7qfu.advicebp.com/c/, ma ha chiuso baracca, è sparita anche l'immagine dentro la mail (che era di ieri).
Alla prossima pubblico anche quello allora, tanto ogni 3/4 giorni arriva puntuale.
Re: Segnalazioni di mail di phishing o malware vario
Inviato: gio apr 02, 2015 5:21 am
da crazy.cat
Oggi tocca a carta si
La cosa più preoccupante è che andando a frugare all'interno del sito ci trovo un file di testo che contiene moltissime utenze e password parecchio credibili, tutte inserite tra ieri e oggi, con registrato l'orario e l'ip di provenienza.
Inviato: gio apr 02, 2015 8:26 am
da Andy94
A parte l'ultimo pezzo di testo e il fatto che quel tipo di email perviene solitamente in formato HTML (quindi colorata e con tutti i crismi) la prima parte è molto simile a quella reale.
Lo dico perché ne ricevo due al mese, reali, per le mie due carte di credito.
Re: Segnalazioni di mail di phishing o malware vario
Inviato: gio apr 02, 2015 8:38 pm
da leofelix
Grazie crazy.cat
l'allegato ricevuto io lo invierei a sophos ( https://secure2.sophos.com/it-it/suppor ... ssion.aspx ) e a eset (a ESET si può inviare via e-mail compresso zip a samples[at]eset.com, oggetto "Suspected infection" e link a virustotal) perché lo analizzino, inviarlo ad altri servizi di sicurezza so per esperienza essere pressoché inutile.
In quanto al sito in sè anche tutti i sottodomini sono affetti, li ho segnalati a phishtank, netcraft, google, microsoft ed eset (bitdefender credo tenga d'occhio phishtank chè dopo ogni segnalazione l'URL compromesso viene aggiunto ai loro data base).
Se qualcuno ha un account su phishtank e vuole dare una mano a verificare ecco le segnalazioni in merito:
Mi ha sorpreso anche l'intestazione delle pagine "valentina raffaele de..." anzichè "Cartasì", questi phishers non devono essere poi così abili.
Ho riletto alcuni miei messaggi precedenti, ho scritto TDL invece che TLD per indicare "Dominio di primo livello", la prossima volta eviterò acronimi in lingue straniere
Già che ci sono Buona Pasqua a tutti
Re: Segnalazioni di mail di phishing o malware vario
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mer apr 08, 2015 1:17 pm
da leofelix
a me interessa e molto, grazie crazy.cat,
l'ho letto stamattina prima di uscire.
Riporto qui un caso di phishing che mi è arrivato due giorni fa su una casella yahoo, apparentemente da una banca tedesca.
Nella immagine arancione in basso e poco visibile nello screenshot catturato si nasconde il vero URL che è questo
*w w w. de-sicherungsportal.cc/online/abgleich/daten/freischaltung/brokerage/abgleich/
Ecco gli header (da notare che il phish proviene da Received: from h2401560.stratoserver.net ([85.214.132.166]:54342)
by vps.engeselt.com.br with esmtpa (Exim 4.85) e non da sparta.de) mentre l'xp originating address del mittente appare essere questo 187.45.182.28. Il sito invece risiedeva su un server cloudfare 104.27.186.82 )
From Sparda Bank eG Mon Apr 6 12:53:55 2015
X-Apparently-To: ; Mon, 06 Apr 2015 15:33:30 +0000
Return-Path: <banking @ sparda.de>
X-YahooFilteredBulk: 187.45.182.28
Received-SPF: none (domain of sparda.de does not designate permitted sender hosts) X-Originating-IP: [187.45.182.28]
Authentication-Results: mta1250.mail.bf1.yahoo.com from=sparda.de; domainkeys=neutral (no sig); from=sparda.de; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO vps.engeselt.com.br) (187.45.182.28)
by mta1250.mail.bf1.yahoo.com with SMTPS; Mon, 06 Apr 2015 15:33:30 +0000
Received: from h2401560.stratoserver.net ([85.214.132.166]:54342)
by vps.engeselt.com.br with esmtpa (Exim 4.85)
(envelope-from <banking @ sparda.de>)
id 1Yf6XN-0005Hi-H4
for ; Mon, 06 Apr 2015 08:53:59 -0400
Message-Id: <IEYLNWCY-16XO-8KV-IILY-TKN6D8HGHEB@sparda.de>
Mime-Version: 1.0
From: Sparda Bank eG <banking @ sparda.de>
To:
Subject: =?iso-8859-1?Q?Wichtig:_Kontoschlie=DFung_[06.04.2015]?=
Date: Mon, 6 Apr 2015 14:53:55 +0200
X-Priority: 2
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - vps.engeselt.com.br
X-AntiAbuse: Original Domain - ymail.com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - sparda.de
X-Get-Message-Sender-Via: vps.engeselt.com.br: authenticated_id: servidorjp @ engeselt.com.br
Hurricane Electric può essere di ausilio per determinare se negli IP incriminati risiedono dei siti o si tratti di macchine infette http://bgp.he.net/
(basta inserire l'ip e controllare il DNS, stessa cosa se si vuole sapere l'ip dove risiede un dominio)
Hurricane Electric non è perfetto ma lo preferisco a robtex https://www.robtex.com/ per questo genere di ricerche, alrimenti uso delle estensioni che mi danno indicazioni più precise ma il sito deve essere online
------------
nota in merito al mio post precedente: quando indicavo di inviare i files solo a sophos ed ESET mi riferivo solo ai file html di phishing ricevuti in allegato evitando le altre security houses ma questo non è valido per i file eseguibili naturalmente.
Solitamente Sophos, Avira ed Emsisoft sono rapidissimi, anche Kaspersky è rapido nel risponderti ma solo se hai un account e il loro antivirus registrato.
Per ESET chi usa il programma può anche inviare tramite lo stesso antivirus files sospetti.
Anche Dr.Web è sufficientemente rapido anche se non si usa il programma https://vms.drweb.com/sendvirus/?lng=en
Re: Segnalazioni di mail di phishing o malware vario
Inviato: lun apr 13, 2015 11:46 pm
da leofelix
ennesima ondata di phishing di siti di falsa CartaBCC (Sempre intestata al solito "Gentile Titulare")
L'URL
hxxp : / / wwwjigxk. jigxk. zeotech. co. th/ view (rimuovete gli spazi) reindrizza al momento verso sottominini casuali di *.pet-relocation-services. com / wps / login.php
Da notare che il dominio pet-relocation-services. com vero e proprio risiede su ben altro IP address rispetto ai sottodomini di phishing.
Al momento sono tutti bloccati da Google e NetCraft/Opera.
Il Phish è geo-localizzato, è visualizzabile e raggiungibile solo dall'Italia, quindi phishtank è relativamente poco utile, ma almeno altri servizi lo controllano e alcuni antivirus bloccano già i siti compromessi
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mar apr 14, 2015 8:29 am
da Al3x
leofelix ha scritto:"Gentile Titulare"
sembra di sentire parlare Mourinho
è strano come, a fronte dell'impegno che impiegano a creare la trappola, non curino adeguatamente il testo delle mail che spediscono. Se fatte bene farebbero la metà del lavoro...
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mar apr 14, 2015 10:16 am
da The Doctor
Al3x ha scritto:Se fatte bene farebbero la metà del lavoro...
E il doppio dei morti
Re: Segnalazioni di mail di phishing o malware vario
Inviato: dom mag 17, 2015 8:19 am
da crazy.cat
E dopo oltre un mese di pausa in cui i phisher si erano dimenticati di scrivermi, mi arriva la mail da poste 0nline
Re: Segnalazioni di mail di phishing o malware vario
Inviato: ven giu 26, 2015 7:58 am
da Al3x
Ho ricevuto un messaggio che si presenta come spedito dalla telecom. La novità rispetto ai soliti messaggi è quella di lanciare il browser in automatico il quale cerca di caricare il sito map.episoft.com
Il problema di esecuzione di script contenuti all'interno dei messagg di posta è stato risolto da tantissimo tempo in ambiente Windows. Mi chiedo da cosa dipenda invece questo comportamento pericoloso mostrato dal client di posta di Samsung: scarso occhio alla sicurezza o bug sfruttato a dovere? Come mai non vedo segnalazioni in giro?
Re: Segnalazioni di mail di phishing o malware vario
Inviato: ven giu 26, 2015 8:12 am
da Al3x
Mi correggo, sono riuscito a leggere il contenuto dell'email disattivando la connessione del telefonino. Mi comunica l'iscrizione(?) al sito campioniomaggio.it fornendomi nome utente e password per accedere al servizio. L'indirizzo apparente di provenienza è clara.miotto@lasolutionformation.fr
che pastrocchio
Re: Segnalazioni di mail di phishing o malware vario
Inviato: sab giu 27, 2015 12:48 am
da leofelix
Al3x ha scritto:Mi correggo, sono riuscito a leggere il contenuto dell'email disattivando la connessione del telefonino. Mi comunica l'iscrizione(?) al sito campioniomaggio.it fornendomi nome utente e password per accedere al servizio. L'indirizzo apparente di provenienza è clara.miotto@lasolutionformation.fr
Il sito è sicuro da visitare, anche se gira su una versione obsoleta di Web Apache Server.
[edit to add]
@ crazy.cat,
ho ricevuto anche io il medesimo caso di phishing, anche il relativo address è compromesso, il problema è che è geo-localizzato, quindi phishtank visualizza il primo URL come la pagina di google e il secondi casuali sottodomini di reindirizzamento come inaccessibili.
Qualcuno mi è stato accettato da Netcraft ed Eset, google fortunatamente li blocca già tutti.
Re: Segnalazioni di mail di phishing o malware vario
Inviato: sab lug 04, 2015 6:22 am
da crazy.cat
Triplo messaggio, due fatti male che rimandavano a questo sito al momento non attivo, il secondo scritto senza accenti e con errori.
Come misura di sicurezza, controlliamo regolarmente le attivita su Poste online.
Recentemente si a verificato un problema relativo al tuo conto.
Abbiamo rilevato attivita sospette in relazione alla ricezione di fondi.
Numero di riferimento: BPOL-A0G-901-332
Abbiamo limitato temporaneamento l'accesso al tuo conto. Una volta che ci avrai inoltrato le informazioni richieste, la limitazione verra sottoposta
a riesamina.
Per rispondere e rimuovere la limitazione, visita il (Centro risoluzioni).
Grazie per la collaborazione nel risolvere il problema.
Assistenza clienti BancoPosta Click online
Non rispondere a questa email. Questa casella di posta non e monitorata e quindi non riceverai alcuna risposta. Per ricevere assistenza, accedi al
tuo conto BancoPostaonline e clicca sul link Aiuto nell'angolo superiore destro di qualsiasi pagina Poste.
-----------------------------------------------------------------------
2015 BancopostaClick. Tutti i diritti riservati.
BancopostaClick (Italia) S.a r.l. & Cie, S.C.A.
Casella Postale 160 00144 Roma (Rm)
****************************************************************
Questo invece aveva html allegato che rimandava al sito del turismo del Nepal.
* Si prega di confermare i Suoi dati personali.
* Come parte delle nostre misure di sicurezza: uni 12 mesi vi intiamo a aggiornare i vostri
* Dati personale per poter facilitarci la vostra protezione e migliorare la nostra sicurezza.
* La procedura e molto semplice:
* Per confermare i vostri dati personali, e necessario scaricare e compilare il modulo allegato a questa email.
Grazie per aver scelto Poste Italiane.
----------------------------------------------
Support Clients Service
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mar lug 07, 2015 5:48 am
da crazy.cat
Gli amici degli indirizzi lunghi e assurdi sono tornati, si parte da questo sito per finire in quello chilometrico.
hxxp://wvlaxphjqa.frisson-lingerie.com/.sicurezza.go/?mioindirizzoemail
Re: Segnalazioni di mail di phishing o malware vario
Inviato: mar lug 21, 2015 10:25 pm
da Cris
Enel informa che in questi giorni sta circolando una e-mail, apparentemente inviata da Enel Servizio Elettrico, che invita il cliente a cliccare su un link che rimanda a un sito “clone” di quello ufficiale. L’utente viene invitato a scaricare una finta bolletta che in realtà contiene un virus informatico molto potente.
Re: Segnalazioni di mail di phishing o malware vario
Inviato: gio lug 23, 2015 9:24 am
da PippoDJ
Cris ha scritto:Enel informa che in questi giorni sta circolando una e-mail, apparentemente inviata da Enel Servizio Elettrico, che invita il cliente a cliccare su un link che rimanda a un sito “clone” di quello ufficiale. L’utente viene invitato a scaricare una finta bolletta che in realtà contiene un virus informatico molto potente.
Grazie Cris. Ed eccola qui in tutto il suo splendore:
...come vedete, a parte qualche problemino con i caratteri accentati, sembra molto credibile.
Se il client di posta lo consente, passando il mouse sopra i link, si può capire facilmente che gli indirizzi non sono certo quelli del sito ufficiale Enel:
L'eseguibile (mascherato da PDF) al momento in cui scrivo totalizza un misero 6/55 su VirusTotal destinato ad aumentare... suppongo.
Fate attenzione e diffondete ai meno esperti!
Ciao, Pippo.
Re: Segnalazioni di mail di phishing o malware vario
Inviato: lun ago 03, 2015 7:11 am
da Al3x
Il messaggio mi è arrivato presso l'indirizzo di posta aziendale a nome di rollo.stefania proveniente da beni_kern@pc-poschung.ch senza alcun oggetto
Re: Segnalazioni di mail di phishing o malware vario
Inviato: ven ago 07, 2015 7:08 pm
da crazy.cat
Phishing ubi banca che sembra fatto nello stile di quelli cartasi:
Gentile crazy.cat@xxx.it,
Ha ricevuto questa mail perche vedendo i vari accessi al suo account abbiamo il sospetto che terzi ne facciano uso.
Al fine di tutelare la vostra sicurezza, abbiamo momentaneamente bloccato l'accesso al suo conto online e vostra carta.
Per poter ripristinare il servizio, le chiediamo di verificare la sua identita cliccando sul link che segue.
Per conferma clicca qui
NOTA: Se non compilare il modulo in 24 ore portera alla cancellazione nostro accordo.
Ci scusiamo per l'inconveniente.
Distinti Saluti,
Re: Segnalazioni di mail di phishing o malware vario
Inviato: ven ago 07, 2015 7:12 pm
da crazy.cat
Phishing banco poste:
Gentile cliente,
Ti informiamo che il 06/08/2015 alle ore 19:21 si e' registrato un tentativo di accesso al "Servizio Internet"
da un indirizzo IP a noi sconosciuto ( 87.18.221.1 ).
Questa segnalazione gratuita ti viene inviata, per incrementare la tua sicurezza.
Certifica il tuo conto e rendi sicura la tua connessione con un solo click:
hxxps://bancopostaclick.poste.it/cweb/Certifica
Nota: Questo e' il risultato di un normale controllo di sicurezza.
Grazie,
BancoPosta Click.
Questo hxxttp://radioveronica.co.uk/.fdqa/index.htm è il primo link che reinderizza a hxxp://jkdist.com/js/.Kdwapl/.af/SMACCESS/cweb/sicura/formslogin.aspx/formlogin.php?TYPE=514774891&METHOD=GET&SMAGENTNAME=6153769oBkdjoaKJ087o54Ai18zPy3gDPw895ABndJ69702327234708&TARGET=conto_%verficare
Re: Segnalazioni di mail di phishing o malware vario
Inviato: sab set 19, 2015 11:49 am
da crazy.cat
Dopo un periodo di vacanze tornano i nostri amici del phishing, l'indirizzo originale è questo
h++p://https.www.credem.it.ielpxsomgd.mybigitnaklang ... @libero.it
E poi rimanda al solito sito web dall'indirizzo chilometrico già visto più volte con poste e bcc.
