Attenti all'amo - Parte II

Come promesso, anche se con qualche giorno di ritardo, ecco la seconda parte dell’intervento dedicato al phishing.

La seconda email, rispetto alla prima, è leggermente meno semplice da identificare. Ecco il contenuto.

You have recieved this email because someone had tried to use

your paypal account at http://www.1-bulk-email-mailing-address-list.com

Below is the

details about the transaction made:

Payment Details

Transaction ID: 4FS50663S0663861W

Total: $113.00 USD

Item/Product Name: America Email Address For Email Marketing and Email

Advertising

Business Information

Business: Beyond W Limited

Contact E-Mail: support@beyondw.com

Message: send me msg

to my mail new_paypal@yahoo.com

Date : Wednesday, Aug 24

To confirm or decline this transaction, please follow the link provide

below, Please save the fraud alert id for your reference.

http://www.paypal-com-cgi-bin-confirmation-pp7848%34%31%2E%63%6F%6D

If we do not get the confirmation within 5 business days, your account

will be suspended until further notice.

Sincerely,

The PayPal Security Team


PROTECT YOUR PASSWORD

NEVER give your password to anyone and ONLY log in at

https://www.paypal.com/. Protect yourself against fraudulent websites

by

opening a new web browser (e.g. Internet Explorer or Netscape) and

typing

in the PayPal URL every time you log in to your account.


Please do not reply to this email. This mailbox is not monitored and

you

will not receive a response. For assistance, log in to your PayPal

account

and click the Help link located in the top right corner of any PayPal

page.

PayPal Alert ID : PP4145570

Il contenuto questa volta è in inglese, di conseguenza non possiamo fare affidamento su traduzioni maccheroniche.

Nota di merito al team di Google, il filtro antispam di Gmail ha subito riconosciuto che poteva trattarsi di spam ed ha preventivamente spostato l’email nell’area di controllo.

Non solo, piacevolmente stupito segnalo che Google ha implementato un sistema di controllo contro il phishing marchiando particolari email con un avviso di sicurezza.

gmail-phishing-alert

Ma come è possibile riconoscere che si tratta di phishing?

Ripercorrendo lo stesso percorso dell’email precedente analizziamo l’email.

  1. Personalmente ho un account paypal ma non corrisponde assolutamente all’indirizzo a cui mi è stata inviata la comunicazione.
  2. Non sono presenti miei dati personali come nome o cognome ma si tratta di una comunicazione anonima.
  3. Mettono fretta.

    If we do not get the confirmation within 5 business days, your account will be suspended until further notice.

    Una delle consuetudini è quella di mettere fretta paventando un possibile blocco dell’account.

    In questo modo si cerca di ridurre il più possibile il tempo a disposizione dell’ignaro user per ragionare e valutare l’attendibilità dell’email.

  4. Attenzione all’indirizzo email.

Quanto segue è un’analisi un po’ meno comune sull’indirizzo ma ci tengo a segnalarla poiché può sempre risultare utile.

Per confondere maggiormente le idee è stato fornito un indirizzo web che assomiglia vagamente al sistema di paypal. Notare il termine paypal, seguito da com (l’ipotetico dominio di primo livello) ed infine cgi, l’estensione di norma utilizzata per le pagine web del servizio. Tuttavia, è da notare che tutti questi termini sono separati da un trattino e non da un punto. Di conseguenza… manca la fine dell’indirizzo!

Niente affatto, la fine dell’indirizzo in realtà è crittata semplicemente convertendo i caratteri nella rispettiva codifica ASCII per evitare di individuare a colpo d’occhio di quale sito si tratti. In caso di “caratteri strani” è possibile adottare uno stratagemma che si basa sull’utilizzare il sistema di decodifica del browser internet.

La procedura è abbastanza veloce.

  1. copiare l’indirizzo
  2. in un file di testo creare un link fittizio inserendo come URL la stringa copiata
  3. controllare il valore decodificato.

Attenzione a non cadere nella trappola.