skip to main | skip to sidebar
14 commenti

[IxT] Arriva il phishing dislessico?

Questo articolo vi arriva grazie alle gentili donazioni di "dispwitch", "rcervi" e "giuliopp".

Da qualche settimana cominciano ad arrivarmi segnalazioni di quello che mi viene spontaneo chiamare "phishing dislessico": messaggi-esca che seguono il classico schema del phishing (fingono di provenire da banche o siti commerciali o provider e vi chiedono di cliccare su un link per aggiornare i vostri codici di sicurezza, ma portano in realtà a un sito truffaldino che ruba questi codici), ma hanno una particolarità: sono scritti scambiando le lettere delle parole o infarcendole di simboli strani.

Un esempio è un phishing ai danni degli utenti di Tele2, segnalatomi da "esdra" (ho alterato il il link per renderlo inservibile):
Drae tele2.it Mebmer,

We mtsu chekc thta yuor tele2.it ID was rigestered by real ppoele. So, to hlep tele2.it prnevet audetamot regiartstions, pleesa ckcil on thsi lnik and comptele code verifiaction prsecos:

http://tele2.it/HLKRpnX1tl60Migk910iMNMaKWZVCasdfasdf3uIyRfTHvzloBZAjRirrjeHuDjj4gz0na

Thakn you.
Il link in realtà porta a tutt'altro indirizzo, con le solite tecniche di mascheramento.

Un altro esempio mi arriva da "guidomartin****" e riguarda Tiscali, con un metodo leggermente diverso di storpiatura del testo ma con un testo molto simile al precedente:
De‮ra‬ tiscali.it M‮bme‬er,

We must c‮ceh‬k t‮tah‬ y‮uo‬r tiscali.it
ID was regis‮deret‬ by re‮la‬ pe‮elpo‬.
So, to h‮ple‬ tiscali.it pr‮tneve‬ a‮amotu‬ted
regi‮oitarts‬ns, pl‮esae‬ c‮kcil‬ on
t‮ih‬s l‮ni‬k and com‮telp‬e co‮ed‬
veri‮tacif‬ion proc‮se‬s:

http://tiscali.it/PJlHwSG1tF77PdZDiPunPjLYz4Ul6SY4rgwDJEIvm6EXWuzrrP8a6wW5z0n9i1s8

T‮nah‬k you
L'originale è inframmezzato di numeri preceduti dal simbolo di cancelletto (sono una forma alternativa di rappresentare i caratteri), che scompaiono quando si usano certi programmi di posta, quando si copia e incolla il testo, e quando lo si pubblica in una pagina HTML come quella che state leggendo. Ecco un'immagine del suo aspetto originale (perlomeno nel mio client di posta), sulla quale potete cliccare per ingrandirla:


Ho ricevuto segnalazioni anche di altri messaggi analoghi riguardanti varie banche italiane. Sono tutti ovviamente tentativi di truffa, ma quello che li rende interessanti è appunto questa curiosa storpiatura. Presumo si tratti di tentativi di superare i filtri antispam, che sempre più spesso bloccano anche i messaggi di phishing, ma la cosa mi convince poco.

Infatti mi sembra che le probabilità di successo di un tentativo confezionato in questo modo siano estremamente basse: già il messaggio è in inglese anziché in italiano, e bisogna quindi sapere l'inglese per "decodificare" le lettere rimescolate, e poi dovrebbe venire abbastanza spontaneo chiedersi perché mai Tiscali o Tele2 dovrebbero scrivere in inglese e soprattutto in un inglese così scombussolato. Ma forse all'ingenuità degli utenti alle prime armi non c'è limite e i truffatori sperano di fare comunque qualche vittima.

Il consiglio resta sempre lo stesso: ignorare e cestinare tutti questi messaggi, senza cliccare sui loro link. Nessuna azienda che si rispetti vi manderà mai realmente un messaggio di questo genere.

Ciao da Paolo.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (14)
A me è arrivata una email di questo tipo, nel quale però le parole appaiono storpiate solo se lette da eudora. Aprendo la email con il browser (firefox nel mio caso) l'email si legge benissimo. Questo mi fa pensare che usando un client tipo outlook il messaggio risulti chiarissimo e quindi il phising può far tranquillamente centro...
Si tratta di messaggi codificati in Unicode utf-8. La sequenza piu' frequente e' (in esadecimale) e2 80 ae, che decodificata dall' utf-8 porta al numero Unicode 202e, che sta per RIGHT-TO-LEFT OVERRIDE. Si usa spesso nei messaggi in alfabeti scritti da destra a sinistra, es. arabo o yddish, per inserire brevi citazioni in inglese o altre lingue scritte da sinistra a destra. L' uso che ne viene fatto in questi messaggi e' evidente: un browser configurato per leggere utf-8 mostra il messaggio in plain english. I filtri antispam per bloccare queste parole chiave devono capire bene l' utf-8.

Tommaso Russo, Trieste (scusate l' anonimo, non ho tempo di registrarmi)
Io ho ricevuto il medesimo messaggio, ma da inwind.it, in un correttissimo inglese, immagino perché scarico la posta con outlook.
Parlando con altri miei amici, mi hanno riferito che anche loro hanno ricevuto analoghi messaggi dalle caselle iol.it e libero.it e altri domini ancora.
Il mittente, almeno nel mio caso, è un certo ArmandBorzacktusk@woden.com
Distinti saluti
Ah, nell' immagine sul blog lo si vede benissimo: i simboli sono proprio codificati in decimale: "‮" sta per Unicode esadecimale 202e, cioe' inverti il senso di scrittura; "‬" sta per 202c, ripristina l' originale.

Ri-Tommaso Russo, Trieste
Com'e' difficile far vedere una e commerciale in una pagina web... l' anteprima la vedevo bene, la pubblicazione l' ha eliminata. Riprovo scrivendo i simboli in chiaro:

nell' immagine sul blog lo si vede benissimo: i simboli sono proprio codificati in decimale: "e commerciale cancelletto 8238 punto e virgola‮" sta per Unicode esadecimale 202e, cioe' inverti il senso di scrittura; "e commerciale cancelletto 8236 punto e virgola‮" sta per 202c, ripristina l' originale.

Ri-Ri-Tommaso Russo, Trieste
Ho ricevuto nella mia casella di Yahoo.it un'email identica a queste, che diceva di dover controllare non so cosa (io dislessica non sono...) del mio account Yahoo. Il programma che uso come antispam (McAfee) ha bloccato ovviamente l'email, e c'erano dei caratteri sostituiti da rettangolini. E' tutto!
Paolo sei un grande come sempre!!!
Questo mi sembra interessante, l'ho appena trovato nella posta aziendale... eustema è una società informatica, non un provider... che siano a caccia di indirizzi email da cui lanciare spam?

De‮ra‬ eustema.it Mem‮eb‬r,

We must c‮kceh‬ th‮ta‬ y‮uo‬r eustema.it ID was r‮ige‬stered by re‮la‬ p‮oe‬ple. So, to h‮ple‬ eustema.it preve‮tn‬ automa‮det‬
regi‮arts‬tions, plea‮es‬ c‮cil‬k on th‮si‬ l‮ni‬k and c‮etelpmo‬ code verif‮itaci‬on p‮ssecor‬:

http://eustema.it/MQbTd48m9yfaIwm40vNBnouK9YXGikiCoxhVvqDvsWBG6RYJKbIymeqc64s4g5

T‮knah‬ you.
L'amministratore di rete del nostro dominio aziendale ci ha mandato un avviso di allerta segnalando lo stesso problema, ma relativo ai nomi utente del nostro dominio... Come se avessero cercato di carpire i dati di una rete aziendale non aperta al pubblico...
Ciao
Nick
A me è arrivato pure da interfree qualche giorno fa.
Quindi la lista si allunga.
pure a me è arrivata qualche giorno fa, ho inoltrato ad abuse di libero l'email per avvisarli
come per Nick anche a me e solo ad alcuni altri colleghi è arrivata un email relativa agli utenti del nostro dominio - utilizziamo (ahimè) outlook ed il messaggio era leggibile correttamente, ho fato copia incolla su word ed ecco il messaggio dislessico...
l'intenzione credo sia quella di aggirare i vari filtri (spam-virus) lo scopo non è chiaro tranne quella di acquisire l'accesso alla mailing list aziendale... o possono fare di più ?? seguirò gli sviluppi
Claudio
hai perfettamente ragione
Sceodno dei recaricorti dlel'Utievnsirà di Cmabrigde non iomrtpa in
qlaue oidnre vnongeo sritcte le ltrteee in una proala, l'uicna csoa
ipotamrnte è che la pirma e utilma lteetra saino al psoto gusito. Il
rseto può esesre una cnuosifone ttaole ed è cmunoque psoibisle
lgeerlgo sneza porlembi. Qusteo prcehè la mnete uamna non lgege ongi
sngiola lteerta, ma la praloa nel suo isienme. Irecldinibe no?
Questo commento è stato eliminato dall'autore.