Segnalazioni di mail di phishing o malware vario

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Avatar utente
cippico
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1977
Iscritto il: gio mag 16, 2013 6:16 pm
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da cippico »

Ozne ha scritto: mer nov 16, 2022 9:11 am L'altra settimana stavo per cestinare un'email di lis, dove mi chidevano se volevo recuperare il credito residuo di una vecchissima carta di debito, e mi indicavano un link dove avrei dovuto inserire codice fiscale e un iban attivo.

Sembrava legittima, c'era il codice del conto e il mio nome e cognome, ma vai a sapere, la cosa che mi faceva dubitare, è che la carta era scaduta da più di 5 anni, e bloccata per antiriciclaggio.
Per scrupolo ho contattato l'assistenza lis spiegando la cosa, e mi aspettavo la solita risposta, "la cestini, si tratta di phishing..." Invece era legit. :o

Sano stato a un click da perdere 70 euro. 🤣 Nel giro di due giorni mi è arrivato il bonifico.

Ma la cosa più incredibile, è che quei soldi non sono neanche miei. :D
In pratica la carta mi era stata clonata e veniva usata in Australia in un centro di giri turistici in elicottero, dove la caricavano e spostavano su altri conti poche decine di euro per volta. Per quello mi fu bloccata per l'antiriciclaggio. E sul conto erano rimasti i soldi dell'ultima transazione effettuata da quelle brave persone. Gli rimprovero di essere stati troppo cauti, potevano caricare 1000 euro per volta. :frusta

Accadono anche cose positive e soddisfacenti. :vai

Alla prossima email di Ivanka, Irina, ecc... approfondirò un po', non si sa mai. :rotolo
sempre che non ti bussi a casa la finanza... :mrgreen:
Salutone a Zane...padre putativo di...Turbolab... :-)
Mio sito... http://www.cippico.altervista.org
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Segnalazioni di mail di phishing o malware vario

Messaggio da System » mer nov 16, 2022 3:14 pm


Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

Phishing intesa san paolo

Codice: Seleziona tutto

Primo link nella mail h**ps://www.idea.us.es/web/
che rimanda a 
h**ps://promocao.noronhabrasil.com.br/accedi/it/persone-e-famiglie/index2.php
Mittente della mail j3z5k0b0y7kkohgkrc8l4 (at) seeweb.it
Immagine

Phishing nexi ma il sito si è rotto

Codice: Seleziona tutto

h**ps://itnexi.com/login-titolari/1/?em=it
Mittente n4 (at) amasupp.com
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

crazy.cat ha scritto: mer nov 16, 2022 4:57 pm Phishing intesa san paolo

Codice: Seleziona tutto

Primo link nella mail h**ps://www.idea.us.es/web/
che rimanda a 
h**ps://promocao.noronhabrasil.com.br/accedi/it/persone-e-famiglie/index2.php
Mittente della mail j3z5k0b0y7kkohgkrc8l4 (at) seeweb.it
Immagine
Eccellente, si visualizza anche fuori dall'Italia, male direi, ma si visualizza
https://phishcheck.me/208674/details

Codice: Seleziona tutto

https://unmask.sucuri.net/security-report/?page=promocao.noronhabrasil.com.br/accedi/it/persone-e-famiglie/index2.php
crazy.cat ha scritto: mer nov 16, 2022 4:57 pm Phishing nexi ma il sito si è rotto
Visitato anche quello, sembra ci siano degli errori di configurazione (anche togliendo il fasullo indirizzo di posta)

Immagine


Oh, Gaudio!

speriamo che sia bloccato in tempo, io intanto ho segnalato.

:grazie
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

adesso reindirizza qui
h**ps://hotelgerda.ru/wp-content/cache/wpo-cache/hotelgerda.ru/about-us/it/persone-e-famiglie/index2.php

Immagine

Il sito di redirect risulta anche infetto da malware stando a sucuri.net

Virustotal
https://www.virustotal.com/gui/url/bb11 ... ?nocache=1
Avanti è la vita
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

L'ultima mail arrivata aveva questo allegato assolutamente credibile :acch
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
speedyant
VIP
VIP
Messaggi: 1747
Iscritto il: lun gen 13, 2014 4:56 pm
Località: Torino

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da speedyant »

Ma quindi era anche "infetto"?
Il tecnico pietoso fa il pc casinoso...
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

speedyant ha scritto: ven nov 18, 2022 11:33 am Ma quindi era anche "infetto"?
Sì, da iniezioni di seo spam link indice di compromissione.
Nulla che in sé possa infettare il PC del visitatore.
Ora quel sito è stato messo offline e al suo posto ieri ce ne era uno di una rete universitaria argentina anch'esso violato
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

crazy.cat ha scritto: ven nov 18, 2022 5:21 am L'ultima mail arrivata aveva questo allegato assolutamente credibile :acch
Certo che la signora Mireille della Brigata giovanile in due anni che ti ha colto in flagranza di reato grazie al cyber poliziotto che è partito dal tuo ip ha avuto un successone.
Poi è risaputo che normalmente prima di spiccare un mandato di cattura la polizia manda messaggi di posta agli indiziati di sospetto perché si ravvedano e mandino le loro giustificazioni.
Avanti è la vita
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

Non è che ho stampato e fotografato il foglio, mi è arrivato proprio così l'immagine allegata.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
speedyant
VIP
VIP
Messaggi: 1747
Iscritto il: lun gen 13, 2014 4:56 pm
Località: Torino

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da speedyant »

Ma non ci credo! :lol: :D
Il tecnico pietoso fa il pc casinoso...
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

crazy.cat ha scritto: ven nov 18, 2022 4:45 pm Non è che ho stampato e fotografato il foglio, mi è arrivato proprio così l'immagine allegata.
Deve esserti arrivato sul tuo indirizzo @comune.bugliano.it.
La prossima, per essere più credibile ti arriverà direttamente dal vigile Vittorino del glorioso comune di Bugliano, con allegata una foto ricordo del prode cyber poliziotto
Avanti è la vita
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

Anche questo è carino, notare l'indirizzo mail del mittente
Immagine
Mi manda a un primo link

Codice: Seleziona tutto

h**p://openventpk.com/fink
E poi arrivo a questo sito (criptato?)

Codice: Seleziona tutto

h**ps://360backpacking.com/brt/home/
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
speedyant
VIP
VIP
Messaggi: 1747
Iscritto il: lun gen 13, 2014 4:56 pm
Località: Torino

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da speedyant »

Parenti del pilota di Motogp? :)
Il tecnico pietoso fa il pc casinoso...
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Il primo è arrivato anche a me , il solito pacco in giacenza.
Il secondo fa parte di una nuova campagna di estorsione che prende di mira i proprietari di siti web sperando che credano che davvero il loro sito è stato attaccato da un ransomware.
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Ah, no, aspetta, il mio era diverso, non portava al finto sito criptato ma ai soliti sondaggi fasulli.
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

allora rieccoci qui
Sono riuscito a far bloccare sia l'indirizzo di partenza sia quello finale da Netcraft (in realtà dopo più di un'ora non me li blocca ancora)
Ho quindi segnalato ad altri sistemi di sicurezza i siti in questione.
A quanto pare il sito di destinazione è davvero defacciato e così il primo

https://sitecheck.sucuri.net/results/360backpacking.com

https://www.virustotal.com/gui/url/e8ed ... ?nocache=1

https://www.urlvoid.com/scan/360backpacking.com/

https://quttera.com/detailed_report/360backpacking.com
Threat:
Heur.HTML.Defacement.gen.F4284


Ho trovato queste scritte all'interno della pagina, interessante
JapanSec - SkullXploit - OtakuXploiter - OtakuCyberTeam
[edit to add] tuttavia ho trovato segni che lasciano intendere che l'hacker o presunto tale sia indonesiano
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

https://opentip.kaspersky.com/
https://sitelookup.mcafee.com/


Io ho provato a segnalare quasi ovunque quel sito malevolo ricevuto da crazy.cat, ma sembra che alcuni non ci arrivano.
Sopra ho indicato i siti di Kaspersky e McAfee per tale scopo.

Nel primo va scelto lookup quindi inserito l'URL, se dovesse restituire good o clean è possibile richiedere di rianalizzarlo.
Nel secondo va scelto "Real time", va inserito l'URL quindi va scelta la categoria più adatta e inviare la richiesta (può essere usato anche per chiedere una classificazione positiva).

Quindi se qualcuno mi volesse aiutare credo che più richieste ricevono e prima si danno una mossa.

Lo stesso con Google safe browsing, per favore.

Grazie in anticipo
Avanti è la vita
Avatar utente
fiorenzino
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1098
Iscritto il: mer ago 09, 2017 7:14 pm
Località: Speziale

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da fiorenzino »

leofelix ha scritto: dom nov 20, 2022 1:34 pm https://opentip.kaspersky.com/
https://sitelookup.mcafee.com/


Io ho provato a segnalare quasi ovunque quel sito malevolo ricevuto da crazy.cat, ma sembra che alcuni non ci arrivano.
Sopra ho indicato i siti di Kaspersky e McAfee per tale scopo.

Nel primo va scelto lookup quindi inserito l'URL, se dovesse restituire good o clean è possibile richiedere di rianalizzarlo.
Nel secondo va scelto "Real time", va inserito l'URL quindi va scelta la categoria più adatta e inviare la richiesta (può essere usato anche per chiedere una classificazione positiva).

Quindi se qualcuno mi volesse aiutare credo che più richieste ricevono e prima si danno una mossa.

Lo stesso con Google safe browsing, per favore.

Grazie in anticipo
Fatto.
Io comunque non accedo al sito segnalato, non so se dipenda da Next DNS e/o una delle liste da me usate in modalità sandbox (OISD, Next DNS, Steven Black, 1Hosts Lite, Phishing URL Blocklist, Online Malicious URL Blocklist, Peter Lowe)
"I più bravi vibrano i loro fendenti col vento a favore. Ma occorre esperienza nei campi di battaglia per sapere che una lama può spezzare un'altra lama."
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

fiorenzino ha scritto: dom nov 20, 2022 6:13 pm Fatto.
Io comunque non accedo al sito segnalato, non so se dipenda da Next DNS e/o una delle liste da me usate in modalità sandbox (OISD, Next DNS, Steven Black, 1Hosts Lite, Phishing URL Blocklist, Online Malicious URL Blocklist, Peter Lowe)
Grazie,
adesso McAfee lo rileva a Google SB ne blocca solo delle parti. (*)
Credo che tu non riesca a raggiungerlo perché è già in una delle blacklist che usi.
Ecco un altro URL dello stesso sito che dalla Germania si visualizza come una pagina di phishing Netflix
https://urlscan.io/result/b7378ad5-7646 ... 63f6b5dcf/
Dall'Italia anche il solo sito mostra lo stesso layout che ha pubblicato crazy.cat



(*)
confesso che lo avevo caricato su phishtank, ma lo hanno messo subito offline :mrgreen:
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Ricapitolando, poi su phishtank l'URL è stato poi messo di nuovo online e verificato come phishing.
Rieseguendo il controllo su urlscan.io anche simulando di essere in Germania mostra sempre lo stesso aspetto dello screenshot postato da crazy.cat.
Questo mi fa pensare che inizialmente l'obiettivo era quello di far credere che fosse davvero Netflix poi l'hacker deve aver cambiato idea una volta notato che era bloccato da numerosi sistemi di sicurezza, altrimenti mi sfugge il senso. Il sito è online dal 2020 e per bitdefender è un dominio parcheggiato.
Ho cercato anche su wayback machine con scarsi risultati
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

Tante volte, qualcuno, navigando da PC, volesse aggiornare un "pulitore" per Android :fiu


Immagine
Che poi incredibilmente mi porta davvero a scaricare dal GooglePlay CCleaner per Android (non fatelo, per l'amore di Dio)

L'URL è il seguente
h**ps://uk.clean-1-clean.club/sx/
Anche "Intesa SanPaolo" è tornata di moda
cfr https://www.phishtank.com/phish_detail. ... id=7960101

Immagine
Avanti è la vita
Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12445
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da crazy.cat »

Sembra che stiano crescendo sempre più questi siti "criptati"
Immagine
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
fiorenzino
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1098
Iscritto il: mer ago 09, 2017 7:14 pm
Località: Speziale

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da fiorenzino »

leofelix ha scritto: mar nov 29, 2022 7:01 am Tante volte, qualcuno, navigando da PC, volesse aggiornare un "pulitore" per Android :fiu


Immagine
Che poi incredibilmente mi porta davvero a scaricare dal GooglePlay CCleaner per Android (non fatelo, per l'amore di Dio)

L'URL è il seguente
h**ps://uk.clean-1-clean.club/sx/
Anche "Intesa SanPaolo" è tornata di moda
cfr https://www.phishtank.com/phish_detail. ... id=7960101

Immagine
Scusami, non c'entra molto, ma ho visto che usi ClearUrls: non è un po' ridondante con AdGuard, che sono sicuro hai impostato attivando il filtro Legittima riduzione degli URL e la Modalità furtiva (e quindi con il filtro AdGuard URL Tracking attivo e il referrer nascosto alle terze parti)?
"I più bravi vibrano i loro fendenti col vento a favore. Ma occorre esperienza nei campi di battaglia per sapere che una lama può spezzare un'altra lama."
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

fiorenzino ha scritto: gio dic 01, 2022 2:09 pm
Scusami, non c'entra molto, ma ho visto che usi ClearUrls: non è un po' ridondante con AdGuard, che sono sicuro hai impostato attivando il filtro Legittima riduzione degli URL e la Modalità furtiva (e quindi con il filtro AdGuard URL Tracking attivo e il referrer nascosto alle terze parti)?
ClearUrls offre un menu contestuale che mi permette di catturare l'URL pulito che mi interessa e incollarlo sulla barra di navigazione o sul foglio di testo dove conservo copie degli URL malevoli che trovo.
Periodicamente devo dare una bella pulita al desktop per quanti fogli di testo ho accumulato. Vedessi che caos.
Alcune opzioni della modalità furtiva non le ho attivate perché ho notato che impediscono a Chrome di aggiornarsi.

Negli ultimi mesi, poi, Chrome ha risolto molte vulnerabilità 0 day attivamente sfruttate (anche Firefox a dire il vero) per cui trovarsi a navigare con un browser non aggiornato anche se isolato da Sandboxie può rivelarsi una cattiva idea.

Altri utenti, in altri forum, hanno lamentato che la legittima riduzione degli URL non funzionerebbe se, ironicamente, si usa Adguard come DNS. Questo però non so su quali basi lo hanno determinato.
Avanti è la vita
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: Segnalazioni di mail di phishing o malware vario

Messaggio da leofelix »

crazy.cat ha scritto: gio dic 01, 2022 6:50 am Sembra che stiano crescendo sempre più questi siti "criptati"
Immagine
Stamattina era già rilevato da almeno 12 sistemi di sicurezza stando a virustotal cui aggiungo Adguard.
L'ho segnalato a Netcraft come sito defacciato ma per loro è pulito.
Sucuri non è in grado di fare una scansione, urlquery mostra una pagina vuota con la richiesta di fare una ricerca con Google, mentre urlscan.io e phishcheck beta mostrano lo screenshot senza problemi.

Quel tipo di ransomware esiste davvero e provando con un altro sito che risiede sullo stesso ip address si apre una pagina di accesso al software di cui il malintenzionato parla nella pagina del riscatto.

Ora mi chiedo se lo scopo dei malintenzionati è solo di far credere che il sito è stato davvero violato (ma su che basi pensano che sia tu il proprietario?) o di sperare in un click che conferma l'esistenza dell'indirizzo di posta o, nella peggiori delle ipotesi, infettare il malcapitato sperando che non abbia il browser e il sistema aggiornati.
Avanti è la vita
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Segnalazioni di mail di phishing o malware vario

Messaggio da System » gio dic 01, 2022 8:31 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio