Cerca nel blog

2016/07/08

Link sospetti da verificare? Sbirciateli con UrlQuery.net

Se vi capita spesso, come capita quasi a tutti, di ricevere mail sospette che contengono inviti a cliccare su link che promettono di darvi un premio o di risolvere un problema con un vostro account sarete probabilmente abituati a riconoscerli e cestinarli subito senza pensarci più. Ma magari vi piacerebbe sapere esattamente cosa si cela dietro questi link.

Cliccarvi sopra è ovviamente fuori discussione: è quello che vogliono i truffatori che vi hanno mandato la mail. Ma c'è un modo per visitare questi link senza mettersi in pericolo: farli visitare a qualcun altro. In questo caso, il qualcun altro non è un vostro amico da sacrificare, ma è UrlQuery.net: vi immettete il link e lui lo interpreta, mostrandovi la sua vera natura e anche un’immagine del suo aspetto.

Per esempio, provo a prendere una delle tante mail di phishing che ricevo, copio un suo link con un clic destro e lo incollo in UrlQuery.net. Il risultato, dopo una breve attesa, è questo:

La cosa più importante, almeno in termini di curiosità, è in alto: il link esaminato e convertito in modo da mostrare la destinazione finale della mail truffaldina, decodificando tutti gli abbreviatori di link e i redirect che servono ai truffatori per nascondere le proprie tracce.

Accanto al link c’è quello che volevamo: una schermata di quello che troveremmo sul sito dei truffatori se seguissimo il link. In questo caso incontreremmo una pessima imitazione di una pagina di login di TIM, ma non sempre la truffa è così evidente. Dettaglio interessante: quella pagina esiste indisturbata dal 2014.

Magari vi chiedete che senso abbia, per i truffatori, creare un’imitazione così malfatta: per cascarci bisognerebbe essere davvero sprovveduti. E i truffatori vogliono vittime facili e sprovvedute. In altre parole, la pessima qualità del sito fa da filtro per selezionare i candidati più appetibili.

15 commenti:

Giuseppe Gilardi ha detto...

Grazie mille Paolo, uno strumento che può certamente aiutare a evitare di cadere vittime di truffatori.
Non risolve il problema, ma aiuta!
Grazie ancora.

Patrick Costa ha detto...

Facendo così però si potrebbe "certificare" l'esistenza della mail e gli invii di spam potrebbero aumentare ancora di più.

Jake ha detto...

Interessante, ma il sito filtra i parametri che codificano e identificano il destinatario dell'URL trappola? Perché in molti casi il link è uguale per tutti, ma in molti altri c'è una stringa univoca per identificare chi ha cliccato sul link e quindi 1) esiste e 2) è uno di quelli che "click on everything" (cit. da Userfriendly).

rico ha detto...

Quello che trovo strano è che il phishing non appaia nella lista nera dei "guardiani della rete" come malwaredomains, spamhaus ecc.
Un sito truffa del 2014 dovrebbe aver ricevuto migliaia di segnalazioni.

Palin ha detto...

@Rico non è detto che se il link esiste dal 2014 abbia avuto lo stesso contenuto da quella data. Basta un documento qualunque di cui un phiser riceve anche solo per errore i privilegi di modifica e tac! “defacciato” e usato per altri scopi diversi dall'originale. ;)

Giuseppe Gilardi ha detto...

Patrick Costa ha commentato:
"Facendo così però si potrebbe "certificare" l'esistenza della mail"

Osservazione molto interessante.

rico ha detto...

Suggerimento per chi usa Firefox, per fare apparire i link completi.
Scrivete about:config sulla barra degli indirizzi (la principale in alto).
Sulla barretta "Search:" che appare, scrivete: trim
Su: browser.urlbar.trim.URLs
e su: config.trim_on_customize (se appare)
date doppio clic su entrambi per farli diventare "false".
Ho già scritto a Mozilla, perchè accorciare gli indirizzi internet (il trim su true) non è un idea del tutto sicura, a meno che non sia l'utente a farlo.

Emanuele ha detto...

Come hanno già detto altri, è utile segnalare che alcuni url contengono stringhe personalizzate utili ad identificare univocamente l'indirizzo mail dal quale è partito il link. In tal modo si conferma la ricezione, l'esistenza della mail e se il browser non è ben protetto, anche sistema operativo, IP, luogo di provenienza...

Insomma. Se individuiamo una mail di spam, la cosa migliore da fare è eliminarla. Se poi si è dei tecnici, questo strumento può essere utile per ragioni di analisi (ma a quel punto i rischi diventano parte del lavoro e sono ben noti).
Ciao,
Emanuele

Luca ha detto...

Probabilmente il sito non è nelle black listi di Pishing perché probabilmente non lo è. Dai dati che vedo ipotizzo che sia un sito messo su da un rivenditore di contratti TIM che punta a ricevere un contatto delle persone via e-mail. Probabilmente è così malfatto perché programmato con 2 spicci.

Baldo Fabio Scotti ha detto...

Ottimo suggerimento!

Soprattutto non avevo ragionato su questo: "...i truffatori vogliono vittime facili e sprovvedute. In altre parole, la pessima qualità del sito fa da filtro per selezionare i candidati più appetibili."
Pensavo che gli errori in italiano fosse perche i truffatori agiscono dall'estero. (tipica diffidenza dello stranieri)

Rudy ha detto...

Grazie Paolo, proprio ieri sera avevo utilizzato servizi simili per un link cliccato per sbaglio, ma non avevo trovato urlquery.net.

The infiniti city draghici ha detto...

SALVE MI CHIAMO Marilena--recentemente ho accesato sul internet un link www.twoslowera.com che mi colegava al sito woolrich per prendere dei giubotti con questo blackfriday..e ci sono cascata e succeso sabato 11.11.2017 ho pagato tramite carta di credito e d ancora no ho nessuna risposta..cosa devo fare..

Paolo Attivissimo ha detto...

The infiniti,

Ti consiglio di bloccare la carta di credito. Twoslowera non gode di buona reputazione.

Stupidocane ha detto...

Ho messo in spam il commento di the infinity

Mi sa tanto, ma proprio tanto di spam...

Paolo Attivissimo ha detto...

Stupidocane,

ho anch'io il sospetto che lo sia, ma ho dato un'occhiata al profilo, potrebbe anche essere reale. Nel dubbio ho risposto.