Stamattina ricevo sulla mia casella di lavoro questa email di rinnovo del dominio su Aruba:

E mi dico: “Impossibile, ho il rinnovo automatico!“.
Allora decido di indagare.
Come vi spiego sempre, per prima cosa vado a vedere a cosa punta il link dove è scritto “RINNOVA ORA CON UN CLICK“.
Ovviamente non punta al dominio ufficiale aruba.it, ma ad un sito di un Asilo di Guidonia (http://www.asiloguidonia.it/ver.php?id=**************4); l’indirizzo email dell’Asilo è pure riportato in calce alla email, il tutto ovviamente ad insaputa di questo Istituto.
Aprendo il link, con le dovute cautele (don’t try this at home!), mi si apre questa pagina:

È chiaramente una falsa pagina di Banca Sella, fatta apposta per rubare i numeri di carta di credito dell’ignaro utente Aruba che crede invece di rinnovare il proprio dominio.
Infatti la pagina non è protetta dal protocollo https (“non sicuro” c’è scritto nella barra degli indirizzi di Chrome).
La pagina risulta poi ospitata, non sul dominio dell’Asilo di Guidonia, bensì sul sito del Cenacolo degli Artisti Aretini (http://www.cenacoloartistiaretini.it/wp-admin/user/local/rinnovo-*******), a loro insaputa.
Non mancano, come al solito, gli errori di ortografia e grammatica (“nserimento dati“, “finire“).
I link “Dove trovo il codice di sicurezza” e “Informativa sulla privacy” non sono ovviamente funzionanti e la lingua della pagina non è modificabile.
Ho subito provveduto a segnalare queste vulnerabilità dei loro siti ai rispettivi ignari proprietari, in modo che possano provvedere a “tapparle”.
Come sempre, non cadete nella trappola!
Se avete bisogno di assistenza mi trovate su www.avvocatobaglini.ite su facebook.com/avvocatobaglini.

Questa truffa (che esiste ormai da tempo) potrebbe essere più insidiosa di altre, perché apparentemente proviene da un proprio contatto al quale probabilmente sono stati rubati dalla rubrica gli indirizzi email dei conoscenti.
La sgrammaticatissima email scrive:

Oggetto: messaggio urgente
 
Ciao
 
Come stai? Ho un problema urgente a spiegarti .
 
Contattami per e-mail discretamente perché sono irraggiungibili sul mio telefono in attesa di dirti.
 
Posso contare su di te?
 
Grazie. 

Il testo è evidentemente tradotto malamente in italiano con l’aiuto di un traduttore automatico.
Oltre ovviamente alla maltrattata lingua, ciò che deve destare sospetti è la richiesta di contatto solo per email e non per telefono.
Se si prova a rispondere al messaggio, il truffatore (spacciandosi per il vostro amico o conoscente che risulta come mittente apparente) spiegherà (sempre in pessimo italiano) che ha avuto dei problemi durante un viaggio di lavoro e chiederà perciò il vostro aiuto, cioè l’invio di denaro per mezzo di Western Union o simili.

La truffa appare evidente sin dalla prima email (a meno che abbiate amici e conoscenti abituati a scrivere in pessimo italiano).
In ogni caso, se proprio aveste dei dubbi, provate prima di tutto a contattare per telefono il mittente della email per capire se avesse veramente bisogno di aiuto (e di qualche lezione di italiano).
Già che ci siete, magari avvisatelo che con ogni probabilità gli sono stati rubati tutti gli indirizzi email dalla rubrica, quindi pregatelo di dotarsi di buon antivirus!

Ecco l’ennesimo tentativo di truffa.
Questa volta cercano di attirare l’utente con la promessa di un rimborso di denaro per un asserito doppio pagamento di una stessa bolletta.

Ecco il testo della email:

Gentlie Cliente,

 Abbiamo notato Che hai pagato la bolletta Allo stesso tempo Due volte,

 Importo : 37.00 EURO
 Riferimento : TIM-1902W

 Per confermare il rimborso
 Fare clic sul seguent link http://rimborso.tim.it
 Ti aspettiamo presto  tim.it
 grazie dasTIM.

 MYTIM

Da cosa si capisce che è una truffa?

  1. Il mittente: c’è scritto “TIM”, ma l’indirizzo mittente è indicato in “newsletter1@webs.com”.
  2. Il logo TIM: è deformato e non rispetta le proporzioni del logo ufficiale.
  3. L’utenza: manca qualsiasi riferimento al nome del cliente di TIM e dell’utenza relativa.
  4. La grammatica: il messaggio esordisce con un “Gentlie cliente” e prosegue con un “seguent link”! Poi non è scritto in italiano normale e ci sono diverse maiuscole messe a caso; inoltre l’importo è indicato con il punto (anziché la virgola) decimale.
  5. (last but not least) Il link: come spiego sempre, anche se apparentemente si legge un certo URL a cui punterebbe il link, in realtà bisogna verificare sempre quale è il reale URL. In questo caso appare sì ” http://rimborso.tim.it ” (sito che peraltro non esiste neppure), ma se ci si ferma con il mouse sul link (o se si tiene premuto, da cellulare o tablet) appare il reale URL di destinazione, che nel nostro caso è “http://www.cortendesign. net/cgi-bin/#servizo”.
Spero di avervi messo sufficientemente in guardia!

Una rapida segnalazione.
Questo tentativo truffaldino arriva via SMS con apparente mittente “MPS”.
Nel messaggio è scritto:

Gentile cliente, il tuo conto e’ stato temporaneamente sospeso per motivi di sicurezza. Verifica la tua identita’ su. https://*.ebanking-mps.*********

Naturalmente non si tratta di un messaggio realmente inviato da MPS.
Innanzitutto gli istituti bancari non inviano mai SMS o e-mail contenenti link.
Inoltre, se guardate bene, il link non è verso www.mps.it (il vero sito del Monte dei Paschi di Siena), bensì punta verso il dominio ebanking-mps. com.
Ad un rapido whois si vede che il dominio non è registrato al Monte dei Paschi, bensì risulta registrato tramite NameCheap ad un anonimo che si nasconde dietro WhoIsGuard (servizio per mantenere l’anonimato della registrazione tramite prestanome).

Alcuni antivirus indicano che si tratta di un sito truffaldino, come si può vedere dal resoconto di VirusTotal.
Anche il browser Chrome lo indica come sito inaffidabile.

Cosa fare in questi casi?
Ignorare il messaggio e cestinarlo.
Mai cliccare sul link.
Nel caso aveste cliccato sul link e digitato vostri dati personali, in particolare i vostri codici di accesso di banca, segnalate subito l’accaduto al vostro istituto per far bloccare il vostro home banking e farvi dare nuove credenziali.

Tenete gli occhi aperti, sempre!

Cani nucleari perplessi

Qualche giorno fa nella posta elettronica mi sono trovato questa simpatica email di truffa:

Il testo del messaggio è:

Gentile federico@XXXXXX , 
Attenzione! Abbiamo notato dell’attività insolita nella sua carta di credito
Il suo accesso al portale cane titolari e stato temporaneamente bloccato per la sua tutela. 
Si prega di confermare la propria identità attraverso il nostro collegamento sicuro Accedi a collegamento sicuro

Servizio Clienti BANCO BPM
La preghiamo di non rispondere a questa mail.

Già, BPM mi ha bloccato niente di meno che l’accesso al “portale cane titolari“! ?
E adesso come faccio?
Nessun problema!
Basta cliccare il link che punta a… BPM?
Ovvio che no!
Il link per il “collegamento sicuro” è http://uxlqgz3uvffaqay.tecnologiasnucleares.cl/.bpmx796/?email=XXXX 

Meglio non aprirlo, per evitare la contaminazione da… cani radioattivi! ?

Ironia a parte, diffidate sempre dai link contenuti in email apparentemente provenienti da banche e, se proprio volete aprirlo, almeno ricordate sempre di verificare a che sito punta il link.

www.avvocatobaglini.it

In questi giorni sta girando per email questo ennesimo tentativo di – per dirla alla francese – fregatura:

Da: BANQUE UBA BÉNIN <josiane.kyelem@cci.bf>Data: mar 6 feb 2018 alle 20:20

Oggetto: Cher victime bénéficiaire Bonjour,

A: <banque.uba.benin.control@gmail.com>

Cher victime bénéficiaire Bonjour,

            Nous venons par le présent mail vous informer que nous avons travaillé à l’éradication des fraudeurs et des arnaqueurs en  Afrique avec l’aide de l’Organisation de l’unité africaine, des Nations Unies, de l’Union européenne et  du FBI. Nous avons pu retrouver un escroc dans diverses parties des pays africains qui comprend (Nigéria,  République du Bénin, Ghana, Cameroun, Sénégal et la Côte d’Ivoire) et ils sont tous sous la garde du  gouvernement maintenant, ils seront présenter à la Cour Pénale Internationale (CPI) bientôt pour la  justice. Au cours de l’enquête, ils ont pu récupérer des fonds auprès de ces escrocs et l’organisation du FMI a ordonné que les fonds récupérés soient partagés entre les 12 personnes chanceuses énumérées autour du monde comme compensation.

             Cet avis vous a été adressé parce que votre adresse e-mail a été trouvée dans l’un des dossiers d’arnaque d’un escroc et  sur le disque dur de son ordinateur pendant l’enquête, peut-être avez-vous été victime d’une arnaque. Vous êtes donc indemniser (dédommager) avec une somme de $680.000, six cent quatre vingt mille dollars valable sur une carte bancaire ATM. Puisque votre adresse courriel fait partie des bénéficiaires chanceux qui recevront un fonds  d’indemnisation, nous avons convenu que votre paiement vous sera payé par l’intermédiaire de la carte VISA ATM et sera livrer à votre adresse postale avec les numéros d’identifications pour vous permettre un retrait maximal de 5.000 $ retrait dans n’importe quel guichet automatique bancaire de votre choix,  jusqu’à ce que tous les fonds soient retirés. La carte ATM avec les numéros de broche de sécurité vous seront livrée par courrier express.

Remarque: Vous auriez à payer pour les frais de livraison, je ne connais pas les frais de messagerie pour vous expédier la carte, mais si vous me le permettez et accepter les termes, alors je peux faire une demande de la compagnie de messagerie pour connaître le coût immédiat de livraison de votre carte  bancaire VISA ATM.

Le colis vient de la République du Bénin. N’oubliez pas de reconfirmer vos informations suivantes.

  1. Votre nom complet:
  2. Adresse domiciliaire à laquelle nous pouvions envoyer votre carte d’atmosphère :
  3. Profession :
  4. Numéro cellulaire / mobile:
  5. Pays de résidence:

 Nous vous conseillons d’arrêter toutes les communications avec tout le monde concernant votre paiement car nous avons une liste courte à vous livrer et nous vous invitons maintenant à vous conformer et à recevoir vos fonds de carte de retrait.

Pour tout renseignement veillez appeler ce numéro de téléphone 00229 638 709 14.

Merci pour votre attention.

Haute Considération

Dr. Ellis NZO ASU.

Téléphone / No: 00229 638 709 14

ORGANISATION DU FMI.

 

 

Messaggio che, tradotto (alla buona e con Google Translate), suona pressappoco così:

“Cara vittima beneficiaria, Buongiorno,

 Con la presente vi informiamo che abbiamo lavorato per sradicare truffatori in Africa con l’aiuto dell’Organizzazione dell’Unità Africana, delle Nazioni Unite, dell’Unione Europea e dell’FBI. Siamo stati in grado di trovare un truffatore in varie parti dei paesi africani che comprende (Nigeria, Repubblica del Benin, Ghana, Camerun, Senegal e Costa d’Avorio) e sono tutti sotto la custodia del governo ora che saranno presentati alla Corte Tribunale Penale Internazionale (CPI) presto per la giustizia. Durante l’indagine, sono stati in grado di recuperare i fondi da questi imbroglioni e l’organizzazione del FMI ha ordinato che i fondi recuperati fossero condivisi tra i 12 fortunati menzionati in tutto il mondo come risarcimento.            

 Questo avviso ti è stato inviato perché il tuo indirizzo email è stato trovato in uno dei file di una truffa di scammer e sul disco rigido del suo computer durante l’indagine, forse tu eri una vittima di una truffa. Pertanto, si indennizza (compensa) con una somma di $ 680.000, seicentottantamila dollari validi su una carta bancaria ATM. Dato che il tuo indirizzo e-mail è uno dei fortunati destinatari che riceveranno un fondo di compensazione, abbiamo concordato che il pagamento ti sarà pagato tramite la carta VISA ATM e ti verrà consegnato al tuo indirizzo postale con i numeri di identificazione per te. consentire un prelievo massimo di $ 5.000 di prelievo in qualsiasi ATM di tua scelta, fino a quando tutti i fondi sono stati ritirati. La carta bancomat con i numeri dei pin di sicurezza sarà consegnata tramite corriere espresso. 

Nota: Dovresti pagare le spese di spedizione, non conosco le spese di spedizione per spedirti la carta, ma se mi permetti e accetto i termini, allora posso fare una richiesta dal corriere per sapere il costo immediato della consegna della carta di credito VISA ATM. 

Il pacco proviene dalla Repubblica del Benin. Non dimenticare di riconfermare le seguenti informazioni. 

  1. Il tuo nome completo:
  2. Indirizzo di casa a cui potremmo inviare la tua carta bancomat:
  3. Professione:
  4. Numero di cellulare / cellulare:
  5. Paese di residenza:

Ti consigliamo di interrompere tutte le comunicazioni con tutti per quanto riguarda il pagamento in quanto abbiamo una lista breve da consegnare a te e ora ti invitiamo a rispettare e ricevere i fondi della tua carta di prelievo. 

Per qualsiasi informazione si prega di chiamare questo numero di telefono 00229 638 709 14. 

Grazie per l’attenzione. 

Con profonda stima. 

Dr. Ellis NZO ASU. 

Numero di telefono: 00229 638 709 14 

ORGANIZZAZIONE DEL FMI.”

Si tratta di una classica truffa alla nigeriana, che cerca di far leva su soggetti già vittime di altre  precedenti truffe!

Con ogni probabilità l’obiettivo dello scammer è quello di intascarsi i soldi per le “spese di spedizione” della fantomatica carta Visa.

Come al solito, i truffatori cercano di far leva sui lati emotivi, facendo fretta e cercando di isolare la potenziale vittima.

Il consiglio è il solito: segnalate la mail come spam.

Se volete divertirvi e avete tempo da perdere potete stare un po’ al gioco per vedere dove vogliono andare a parare.

Se invece non avete tempo da perdere, potete inoltrare la mail a un sistema automatico come quello segnalato da Paolo Attivissimo qui (devo dire che quando l’ho provato qualche tempo fa non mi sembrava funzionante).

Mi viene segnalato l’ennesimo tentativo di phishing ai danni di titolari di carte di credito Nexi/CartaSI.

1) Diffidate sempre dai link contenuti in email che sembrano provenienti da banche o altri istituti di credito.
2) Il link punta a un sito indonesiano che ovviamente non c’entra niente con CartaSi: http://smapasundan3bandung[punto]sch[punto]id
(sito che Google segnala come compromesso: vedi immagine allegata). 
 

 


3) Per verificare a che sito punta effettivamente un link contenuto in una email, di solito potete fermare il puntatore del mouse sul link per far apparire l’indirizzo (se da computer) oppure tenere premuto a lungo il link finché non appare una finestra che vi indica l’URL (se da cellulare).
State sempre all’occhio! ?
Per la serie “il phishing del giorno”, eccovi questo nuovo “capolavoro” (?) della truffa!

Mi è appena arrivato questo messaggio email con oggetto “Warning: closing of your Email Account is been processed
Si tratta con ogni probabilità di un messaggio volto ad ottenere fraudolentemente i dati di accesso al vostro account di posta elettronica, dietro la falsa minaccia di una disattivazione dell’account per aver riempito troppo (solo l’85%…) la casella di posta…
Esaminiamo con attenzione i dettagli che devono farvi sorgere il sospetto di un tentativo di phishing:
1) il mittente: appare il mio vero dominio di posta elettronica, ma poi l’indirizzo del mittente indicato non c’entra niente (in questo caso abbiamo “lweimer[at]hearinghealthusa.com” (il dominio si riferisce a centri americani per l’udito!) ;
2) il link per “annullare la disattivazione” punta a “http://lhmdigital.com.br/wordpress/?email=***”, sito che il mio antivirus provvede a bloccare perché malevolo (si veda la seconda immagine: il sito contiene malware/spyware);

3) da nessuna parte è menzionato il nome del mio vero provider di posta elettronica;
4) il messaggio contiene imprecisioni grammaticali e non è scritto da un madrelingua.
Detto questo, state sempre attenti e riflettete prima di cliccare qualsiasi link vi arrivi per email.
In caso di dubbi contattatemi: 

www.avvocatobaglini.it

Nuove frontiere del phishing!
Direttamente via SMS!

Un sms di phishing

Come evitare di cadere nella trappola?
1) Diffidare sempre da chi minaccia sospensioni di account bancari chiedendovi i vostri dati di accesso: in caso di dubbio chiedete alla vostra filiale;
2) Verificare dove punta veramente un link: in questo caso guardando il dominio di secondo livello (quello prima del .com) si vedrà che il link non punta ad un sito ufficiale di Poste Italiane ma verso l’ignoto “is-certified.com” (un rapido Whois ci permette di verificare che non c’entra niente con Poste o PostePay:

https://www.whois.com/whois/is-certified.com);

3) Gli errori grammaticali palesi sono un indice di inaffidabilità;
4) In caso di ulteriori dubbi rivolgersi ad un esperto informatico o ad un avvocato che potrà consigliarvi per il meglio.

 
Leggete anche

questo interessante approfondimento

 del buon David Puente.

 
Non bisogna mai abbassare la guardia!
 

 
 
 

Sono di nuovo qui per segnalarvi dei malfattori che cercano di raggirare con una tecnica simile a quella segnalataVi l’ultima volta.

I soggetti chiamano per telefono la vittima chiedendo il pagamento di un importo (in questo caso € 198) per disdire un inesistente abbonamento alla fantomatica rivista “Polizia & Sicurezza”* entro al massimo 48 ore: in caso contrario provvederanno, dicono, per vie legali.

I truffatori tampinano la vittima di telefonate e inviano pure email come la seguente, spendendo il nome (che non Vi riporto) di una (presumo ignara) impresa individuale di “CALL CENTER, INDAGINI DI MERCATO, TELEMARKETING E SERVIZI DI CONSULENZA”.

?? <Da: XXX <XXX@outlook.it>
Oggetto: DISDETTA RIVISTA POLIZIA E SICUREZZA
Data: 08 febbraio 2017 15:10:47 CET
A: XXX

Gentile cliente buongiorno.
Come da telefonata intercorsa, la presente per comunicarLe
FORMALE DISDETTA alla rivista POLIZIA & SICUREZZA
che avverra’ contestualmente al versamento della somma di euro 198/00
da effettuare su iban:XXXX
INTESTATO a XXX
Per regolarita’ contabile La preghiamo di effettuare il versamento
entro e non oltre le 48 ore dal ricevimento della presente.

Grati per la collaborazione porgiamo distinti saluti. XXX> ??

⚠️ Non cadete nella trappola!
In casi come questi il consiglio è di segnalare il tentativo di truffa alla polizia e, se del caso, rivolgersi a un avvocato per assistenza.

#avvocatobaglini

[* Da non confondere con la rivista del COISP che, guarda caso, si chiama “Sicurezza & Polizia” 

http://www.coisp.it/archivio-completo/viewcategory/315-2015]
[Casi simili sono riportati:

http://messaggeroveneto.gelocal.it/…/vuole-chiudere-l-abbon…

http://www.poliziadistato.it/articolo/36942]