Cerca nel blog

2005/11/13

[IxT] Arriva il phishing dislessico?

Questo articolo vi arriva grazie alle gentili donazioni di "dispwitch", "rcervi" e "giuliopp".

Da qualche settimana cominciano ad arrivarmi segnalazioni di quello che mi viene spontaneo chiamare "phishing dislessico": messaggi-esca che seguono il classico schema del phishing (fingono di provenire da banche o siti commerciali o provider e vi chiedono di cliccare su un link per aggiornare i vostri codici di sicurezza, ma portano in realtà a un sito truffaldino che ruba questi codici), ma hanno una particolarità: sono scritti scambiando le lettere delle parole o infarcendole di simboli strani.

Un esempio è un phishing ai danni degli utenti di Tele2, segnalatomi da "esdra" (ho alterato il il link per renderlo inservibile):
Drae tele2.it Mebmer,

We mtsu chekc thta yuor tele2.it ID was rigestered by real ppoele. So, to hlep tele2.it prnevet audetamot regiartstions, pleesa ckcil on thsi lnik and comptele code verifiaction prsecos:

http://tele2.it/HLKRpnX1tl60Migk910iMNMaKWZVCasdfasdf3uIyRfTHvzloBZAjRirrjeHuDjj4gz0na

Thakn you.
Il link in realtà porta a tutt'altro indirizzo, con le solite tecniche di mascheramento.

Un altro esempio mi arriva da "guidomartin****" e riguarda Tiscali, con un metodo leggermente diverso di storpiatura del testo ma con un testo molto simile al precedente:
De‮ra‬ tiscali.it M‮bme‬er,

We must c‮ceh‬k t‮tah‬ y‮uo‬r tiscali.it
ID was regis‮deret‬ by re‮la‬ pe‮elpo‬.
So, to h‮ple‬ tiscali.it pr‮tneve‬ a‮amotu‬ted
regi‮oitarts‬ns, pl‮esae‬ c‮kcil‬ on
t‮ih‬s l‮ni‬k and com‮telp‬e co‮ed‬
veri‮tacif‬ion proc‮se‬s:

http://tiscali.it/PJlHwSG1tF77PdZDiPunPjLYz4Ul6SY4rgwDJEIvm6EXWuzrrP8a6wW5z0n9i1s8

T‮nah‬k you
L'originale è inframmezzato di numeri preceduti dal simbolo di cancelletto (sono una forma alternativa di rappresentare i caratteri), che scompaiono quando si usano certi programmi di posta, quando si copia e incolla il testo, e quando lo si pubblica in una pagina HTML come quella che state leggendo. Ecco un'immagine del suo aspetto originale (perlomeno nel mio client di posta), sulla quale potete cliccare per ingrandirla:


Ho ricevuto segnalazioni anche di altri messaggi analoghi riguardanti varie banche italiane. Sono tutti ovviamente tentativi di truffa, ma quello che li rende interessanti è appunto questa curiosa storpiatura. Presumo si tratti di tentativi di superare i filtri antispam, che sempre più spesso bloccano anche i messaggi di phishing, ma la cosa mi convince poco.

Infatti mi sembra che le probabilità di successo di un tentativo confezionato in questo modo siano estremamente basse: già il messaggio è in inglese anziché in italiano, e bisogna quindi sapere l'inglese per "decodificare" le lettere rimescolate, e poi dovrebbe venire abbastanza spontaneo chiedersi perché mai Tiscali o Tele2 dovrebbero scrivere in inglese e soprattutto in un inglese così scombussolato. Ma forse all'ingenuità degli utenti alle prime armi non c'è limite e i truffatori sperano di fare comunque qualche vittima.

Il consiglio resta sempre lo stesso: ignorare e cestinare tutti questi messaggi, senza cliccare sui loro link. Nessuna azienda che si rispetti vi manderà mai realmente un messaggio di questo genere.

Ciao da Paolo.

14 commenti:

Anonimo ha detto...

A me è arrivata una email di questo tipo, nel quale però le parole appaiono storpiate solo se lette da eudora. Aprendo la email con il browser (firefox nel mio caso) l'email si legge benissimo. Questo mi fa pensare che usando un client tipo outlook il messaggio risulti chiarissimo e quindi il phising può far tranquillamente centro...

Anonimo ha detto...

Si tratta di messaggi codificati in Unicode utf-8. La sequenza piu' frequente e' (in esadecimale) e2 80 ae, che decodificata dall' utf-8 porta al numero Unicode 202e, che sta per RIGHT-TO-LEFT OVERRIDE. Si usa spesso nei messaggi in alfabeti scritti da destra a sinistra, es. arabo o yddish, per inserire brevi citazioni in inglese o altre lingue scritte da sinistra a destra. L' uso che ne viene fatto in questi messaggi e' evidente: un browser configurato per leggere utf-8 mostra il messaggio in plain english. I filtri antispam per bloccare queste parole chiave devono capire bene l' utf-8.

Tommaso Russo, Trieste (scusate l' anonimo, non ho tempo di registrarmi)

zingiber ha detto...

Io ho ricevuto il medesimo messaggio, ma da inwind.it, in un correttissimo inglese, immagino perché scarico la posta con outlook.
Parlando con altri miei amici, mi hanno riferito che anche loro hanno ricevuto analoghi messaggi dalle caselle iol.it e libero.it e altri domini ancora.
Il mittente, almeno nel mio caso, è un certo ArmandBorzacktusk@woden.com
Distinti saluti

Anonimo ha detto...

Ah, nell' immagine sul blog lo si vede benissimo: i simboli sono proprio codificati in decimale: "‮" sta per Unicode esadecimale 202e, cioe' inverti il senso di scrittura; "‬" sta per 202c, ripristina l' originale.

Ri-Tommaso Russo, Trieste

Anonimo ha detto...

Com'e' difficile far vedere una e commerciale in una pagina web... l' anteprima la vedevo bene, la pubblicazione l' ha eliminata. Riprovo scrivendo i simboli in chiaro:

nell' immagine sul blog lo si vede benissimo: i simboli sono proprio codificati in decimale: "e commerciale cancelletto 8238 punto e virgola‮" sta per Unicode esadecimale 202e, cioe' inverti il senso di scrittura; "e commerciale cancelletto 8236 punto e virgola‮" sta per 202c, ripristina l' originale.

Ri-Ri-Tommaso Russo, Trieste

Anonimo ha detto...

Ho ricevuto nella mia casella di Yahoo.it un'email identica a queste, che diceva di dover controllare non so cosa (io dislessica non sono...) del mio account Yahoo. Il programma che uso come antispam (McAfee) ha bloccato ovviamente l'email, e c'erano dei caratteri sostituiti da rettangolini. E' tutto!
Paolo sei un grande come sempre!!!

Anonimo ha detto...

Questo mi sembra interessante, l'ho appena trovato nella posta aziendale... eustema è una società informatica, non un provider... che siano a caccia di indirizzi email da cui lanciare spam?

De‮ra‬ eustema.it Mem‮eb‬r,

We must c‮kceh‬ th‮ta‬ y‮uo‬r eustema.it ID was r‮ige‬stered by re‮la‬ p‮oe‬ple. So, to h‮ple‬ eustema.it preve‮tn‬ automa‮det‬
regi‮arts‬tions, plea‮es‬ c‮cil‬k on th‮si‬ l‮ni‬k and c‮etelpmo‬ code verif‮itaci‬on p‮ssecor‬:

http://eustema.it/MQbTd48m9yfaIwm40vNBnouK9YXGikiCoxhVvqDvsWBG6RYJKbIymeqc64s4g5

T‮knah‬ you.

Anonimo ha detto...

L'amministratore di rete del nostro dominio aziendale ci ha mandato un avviso di allerta segnalando lo stesso problema, ma relativo ai nomi utente del nostro dominio... Come se avessero cercato di carpire i dati di una rete aziendale non aperta al pubblico...
Ciao
Nick

Anonimo ha detto...

A me è arrivato pure da interfree qualche giorno fa.
Quindi la lista si allunga.

Daniela ha detto...

pure a me è arrivata qualche giorno fa, ho inoltrato ad abuse di libero l'email per avvisarli

Anonimo ha detto...

come per Nick anche a me e solo ad alcuni altri colleghi è arrivata un email relativa agli utenti del nostro dominio - utilizziamo (ahimè) outlook ed il messaggio era leggibile correttamente, ho fato copia incolla su word ed ecco il messaggio dislessico...
l'intenzione credo sia quella di aggirare i vari filtri (spam-virus) lo scopo non è chiaro tranne quella di acquisire l'accesso alla mailing list aziendale... o possono fare di più ?? seguirò gli sviluppi
Claudio

Anonimo ha detto...

hai perfettamente ragione

Turz ha detto...

Sceodno dei recaricorti dlel'Utievnsirà di Cmabrigde non iomrtpa in
qlaue oidnre vnongeo sritcte le ltrteee in una proala, l'uicna csoa
ipotamrnte è che la pirma e utilma lteetra saino al psoto gusito. Il
rseto può esesre una cnuosifone ttaole ed è cmunoque psoibisle
lgeerlgo sneza porlembi. Qusteo prcehè la mnete uamna non lgege ongi
sngiola lteerta, ma la praloa nel suo isienme. Irecldinibe no?

Il Capitano ha detto...
Questo commento è stato eliminato dall'autore.