martedì 22 marzo 2011

Il phishing quasi perfetto di PayPal

Era da tempo che non segnalavo più e-mail truffaldine. Oggi ne ho trovata una nella mia webmail che mi pare meriti una segnalazione, perché è fatta discretamente bene (non dico che ci stavo per cascare anch'io, ma ci ho comunque messo un po' a capire il trucchetto). Cominciamo dalla schermata (clicca su ogni immagine per ingrandire).


Il primo indizio che dovrebbe mettere sul chi va là sono gli evidenti errori d'ortografia. Già questo dovrebbe essere sufficiente a prendere l'intero messaggio e a cestinarlo. In secondo luogo c'è la richiesta di inserire i propri dati dell'accout PayPal nel sito linkato in fondo al testo: il secondo segnale che siamo di fronte a un tentativo di phishing (nessuna azienda seria chiede agli utenti i propri dati sensibili via mail).

Ma il bello viene adesso, perché cliccando sul link si viene riendirizzati a questo sito. Ecco la schermata qui sotto.


Come potete vedere, è praticamente identico all'originale (lo trovate qui). E ha pure l'accesso sicuro "https" (l'ho evidenziato nel cerchietto rosso). L'utente dubbioso vede la connessione sicura e si tranquillizza, pensando di trovarsi veramente sul sito autentico. Ma - e qui mi è venuto in aiuto il mio amico Ilario su Facebook - copiaincollando il link contenuto nella mail su un editor di testo, ecco che si scopre qual è il vero sito a cui si viene reindirizzati: http://178.168.49.133/pppp.html (non l'ho reso linkabile di proposito), che il buon Firefox, ma anche Chrome, segnala giustamente come contraffatto.


Niente da dire. Veramente un ottimo lavoro messo in campo dai soliti noti. Speriamo che non siano in troppi a cascarci.

7 commenti:

Sbronzo di Riace ha detto...

Ma il bello viene adesso, perché cliccando sul link si viene riendirizzati a questo sito. Ecco la schermata qui sotto.

il link mi pare punti a paypal.com così come il link successivo

Andrea Sacchini ha detto...

A dire il vero, anche a me, ma pensavo dipendesse dal fatto che io ho usato come editor di testo Gedit su Linux. Ho fatto notare la cosa a Ilario, il quale mi ha riconfermato che incollando il link contenuto nella mail da qualsiasi parte, si viene reindirizzati al sito di cui si vede l'indirizzo IP.

Unknown ha detto...

sono perplesso. appena ho tempo faccio qualche test su combinazioni di pc/browser diversi.

ora sono su seven e sia controllando con chrome che con firefox che con ie9 quando passo il puntatore sopra il link mi viene mostrato il link reale senza camuffamento.

o il problema e' causato da un os diverso (controllo appena torno in ufficio) oppure dal fatto che la mia mail non e' originale ma un forward di quella di andrea.

Ilario

Andrea Sacchini ha detto...

Risolto il problema. La webmail di Libero ha due tipi di visualizzazione: avanzata, con molti effetti grafici (infarcita di Javascript), e semplice, in puro html. Visualizzando la mail con questa seconda opzione, è sufficiente passare col cursore del mouse sopra il link, et voil°, il gioco è fatto.

Questo, tra le altre cose, la dice lunga sulla mania che hanno molti provider di infarcire di sgargianti effetti grafici i loro servizi.

{m} ha detto...

Scusami ma credo ci sia un po' di confusione. Il primo link (e l'immagine che segue) sono effettivamente del sito PayPal. La querystring (la parte dell'URL che segue il '?') un po' contorta serve solo a dare credibilità alla richiesta ma viene ignorata dalla home page di PayPal. Più che «praticamente identico all'originale» direi che è l'originale come si può verificare anche controllando la certificazione del sito.

L'indirizzo numerico è invece effettivamente pericoloso ed è riconosciuto come tale anche da Opera 11.

Avendo anch'io una casella su Libero ho avuto problemi analoghi e l'unico modo per vedere in modo pulito i link di destinazione è quello di leggere il sorgente del messaggio.

Saluti

Sbronzo di Riace ha detto...

ma l'effetto sul link avviene anche se si visualizza l'email in normale programma di posta elettronica?

ad esempio thunderbird ha 3 livelli di visualizzazione testo semplice html semplice e html originale

comunque il link nell'e-mail può anche essere camuffato bene ma quando vai sul sito di phishing si vede benissimo che non è il paypal originale

Andrea Sacchini ha detto...

>ma l'effetto sul link avviene anche se si visualizza l'email in normale programma di posta elettronica?

Non lo so. I client di posta elettronica non li uso più da anni.

Chi vota ha sempre ragione

L'uscita di Salvini sull'esito delle elezioni russe non è da rigettare per il suo manifesto apprezzamento per Putin - Salvini è suo...