skip to main | skip to sidebar
11 commenti

Link sospetti da verificare? Sbirciateli con UrlQuery.net

Se vi capita spesso, come capita quasi a tutti, di ricevere mail sospette che contengono inviti a cliccare su link che promettono di darvi un premio o di risolvere un problema con un vostro account sarete probabilmente abituati a riconoscerli e cestinarli subito senza pensarci più. Ma magari vi piacerebbe sapere esattamente cosa si cela dietro questi link.

Cliccarvi sopra è ovviamente fuori discussione: è quello che vogliono i truffatori che vi hanno mandato la mail. Ma c'è un modo per visitare questi link senza mettersi in pericolo: farli visitare a qualcun altro. In questo caso, il qualcun altro non è un vostro amico da sacrificare, ma è UrlQuery.net: vi immettete il link e lui lo interpreta, mostrandovi la sua vera natura e anche un’immagine del suo aspetto.

Per esempio, provo a prendere una delle tante mail di phishing che ricevo, copio un suo link con un clic destro e lo incollo in UrlQuery.net. Il risultato, dopo una breve attesa, è questo:

La cosa più importante, almeno in termini di curiosità, è in alto: il link esaminato e convertito in modo da mostrare la destinazione finale della mail truffaldina, decodificando tutti gli abbreviatori di link e i redirect che servono ai truffatori per nascondere le proprie tracce.

Accanto al link c’è quello che volevamo: una schermata di quello che troveremmo sul sito dei truffatori se seguissimo il link. In questo caso incontreremmo una pessima imitazione di una pagina di login di TIM, ma non sempre la truffa è così evidente. Dettaglio interessante: quella pagina esiste indisturbata dal 2014.

Magari vi chiedete che senso abbia, per i truffatori, creare un’imitazione così malfatta: per cascarci bisognerebbe essere davvero sprovveduti. E i truffatori vogliono vittime facili e sprovvedute. In altre parole, la pessima qualità del sito fa da filtro per selezionare i candidati più appetibili.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (11)
Grazie mille Paolo, uno strumento che può certamente aiutare a evitare di cadere vittime di truffatori.
Non risolve il problema, ma aiuta!
Grazie ancora.
Facendo così però si potrebbe "certificare" l'esistenza della mail e gli invii di spam potrebbero aumentare ancora di più.
Interessante, ma il sito filtra i parametri che codificano e identificano il destinatario dell'URL trappola? Perché in molti casi il link è uguale per tutti, ma in molti altri c'è una stringa univoca per identificare chi ha cliccato sul link e quindi 1) esiste e 2) è uno di quelli che "click on everything" (cit. da Userfriendly).
Quello che trovo strano è che il phishing non appaia nella lista nera dei "guardiani della rete" come malwaredomains, spamhaus ecc.
Un sito truffa del 2014 dovrebbe aver ricevuto migliaia di segnalazioni.
@Rico non è detto che se il link esiste dal 2014 abbia avuto lo stesso contenuto da quella data. Basta un documento qualunque di cui un phiser riceve anche solo per errore i privilegi di modifica e tac! “defacciato” e usato per altri scopi diversi dall'originale. ;)
Patrick Costa ha commentato:
"Facendo così però si potrebbe "certificare" l'esistenza della mail"

Osservazione molto interessante.
Suggerimento per chi usa Firefox, per fare apparire i link completi.
Scrivete about:config sulla barra degli indirizzi (la principale in alto).
Sulla barretta "Search:" che appare, scrivete: trim
Su: browser.urlbar.trim.URLs
e su: config.trim_on_customize (se appare)
date doppio clic su entrambi per farli diventare "false".
Ho già scritto a Mozilla, perchè accorciare gli indirizzi internet (il trim su true) non è un idea del tutto sicura, a meno che non sia l'utente a farlo.
Come hanno già detto altri, è utile segnalare che alcuni url contengono stringhe personalizzate utili ad identificare univocamente l'indirizzo mail dal quale è partito il link. In tal modo si conferma la ricezione, l'esistenza della mail e se il browser non è ben protetto, anche sistema operativo, IP, luogo di provenienza...

Insomma. Se individuiamo una mail di spam, la cosa migliore da fare è eliminarla. Se poi si è dei tecnici, questo strumento può essere utile per ragioni di analisi (ma a quel punto i rischi diventano parte del lavoro e sono ben noti).
Ciao,
Emanuele
Probabilmente il sito non è nelle black listi di Pishing perché probabilmente non lo è. Dai dati che vedo ipotizzo che sia un sito messo su da un rivenditore di contratti TIM che punta a ricevere un contatto delle persone via e-mail. Probabilmente è così malfatto perché programmato con 2 spicci.
Ottimo suggerimento!

Soprattutto non avevo ragionato su questo: "...i truffatori vogliono vittime facili e sprovvedute. In altre parole, la pessima qualità del sito fa da filtro per selezionare i candidati più appetibili."
Pensavo che gli errori in italiano fosse perche i truffatori agiscono dall'estero. (tipica diffidenza dello stranieri)
Grazie Paolo, proprio ieri sera avevo utilizzato servizi simili per un link cliccato per sbaglio, ma non avevo trovato urlquery.net.