Cerca nel blog

2019/05/25

Mi hanno inviato un phishing mirato piuttosto ben fatto. C’è mancato poco

Per un attimo, confesso, ci sono cascato. Oggi sono stato oggetto di un phishing mirato, congegnato piuttosto bene. Credo che l’obiettivo dei truffatori fosse il mio conto PayPal, passando per una strada piuttosto originale: il mio principale fornitore di nomi di dominio.

Mi è arrivata infatti una mail che mi diceva che non era stato ricevuto correttamente il pagamento di uno dei nomi di dominio che gestisco. Il sospeso era piccolo: solo cinque euro.

La mail era decisamente credibile, con molti elementi personalizzati:

  • era in francese, lingua del provider Gandi.net attraverso il quale gestisco i miei nomi di dominio;
  • citava un nome di dominio che effettivamente gestisco (complottilunari.info);
  • aveva un header strutturato in modo uguale a quello abituale del provider, con il nome del provider fra parentesi quadre, tutto in maiuscolo, all’inizio del testo;
  • è arrivata sulla casella di mail che uso per la gestione dei miei nomi di dominio;
  • è arrivata in un periodo nel quale erano effettivamente in scadenza i rinnovi di alcuni dei miei nomi di dominio.
Ne mostro qui sotto uno screenshot:


Il primo istinto è stato quello di pensare “accidenti, uno dei pagamenti che stavo facendo è andato storto” e di cliccare sul link. Ma ho esitato un istante, per fortuna, e ho provato a lasciare il mouse sopra il link per vedere dove mi avrebbe portato: lo vedete in basso a sinistra nello screenshot qui sotto.


http :// Barraplaza (punto) com (slash) complottilunari (punto) info decisamente non è il sito di pagamento usato da Gandi.net. L’URL, fra l’altro, è solo un redirect, che mi porta poi a una pagina di pagamento regolare su Aruba.it:

https://pagamenti.aruba.it/Home/Default.aspx


Non avendo una login Aruba o un numero d’ordine, non avrei potuto proseguire neanche se avessi voluto. E a questo punto non volevo assolutamente proseguire, ovviamente.

Sono andato a mano alle pagine di amministrazione dominii di Gandi.net, ho fatto login (protetto, ovviamente, da una password unica e dall’autenticazione a due fattori) e ho verificato che non c’era nessun pagamento andato male. Complottilunari.info è coperto fino al 2020.

Questo è l’header della mail truffaldina, se lo volete studiare: ho cambiato le parentesi angolari in sergenti («»). Ho capito male io, o la mail effettivamente proviene da un server di Gandi.net?

Delivered-To: paolo.attivissimo@gmail.com
Received: by 2002:a4f:d1ed:0:0:0:0:0 with SMTP id q100csp2714862ivj;
Thu, 23 May 2019 17:36:07 -0700 (PDT)
X-Received: by 2002:a17:906:491b:: with SMTP id b27mr12311028ejq.234.1558657927569;
Thu, 23 May 2019 17:32:07 -0700 (PDT)
X-Google-Smtp-Source: APXvYqwImXBRLVQd/VN+zf217wxkjMHQ4zduFJh6OpkZSc37MM+rgAOxRsivKebJkXvITd0UAabc
X-Received: by 2002:a17:906:491b:: with SMTP id b27mr12310948ejq.234.1558657926397;
Thu, 23 May 2019 17:32:06 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1558657926; cv=none;
d=google.com; s=arc-20160816;
b=Y0+zWKdq9vgJpHoY84HXTWotgIvg5J5VcOVOPR94yhEbP2vuNewkGOBoym+pSogex1
r5TOTjsC+Ycai5hzb4jz2m3n13KNAyiPxiz7his8v7peaLvPuDVnyHM9vNgwCHv3qikU
JbbwG0+nKTxoizObfFLvFuJjhmbznbSZrLqC3LpmtXZaeWCNuQSUV7wRVFKRryX8Y/09
vzvSl1KsLvwYmzYT5j03CnQTnnkEMVGIeyHat0reUOm3zS/hMsXvxszU4orkqQ5YP4lU
7N5xZxkbFybab1Supm0rvTRRhJFKSAm+FMlGQ+l/NuwN80lXpQSdmfRMyWyZQLbRsFVh
KraA==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=content-transfer-encoding:message-id:mime-version:date:subject:to
:from;
bh=wNC/rDhKdKfLGnOAd2aLJ3NypzwP8TYTjVadXPF8m0g=;
b=E+pamaibTnC0zoXhEJMthuBV8vFbfWltFah3a5DOqEqRxf48+cS0F0caXuh7pIf3ad
aHXsNxbmMw94q8kxWzvehf9UquTFDX9XHmcpwahE5cRiB2EiNSzYMccENqP/7wvBfrYP
5yi8AQ2j/Ei3xSU/bMEB8SGOiHuUZA2uY3RqowOFoqmb8oRuyX5pUG3TSWZPc9+3OHHU
Q6PtT0mp6HSTVZNbQkVdZDgkPlCcpVv5jzAFdjdA1Wpw1OLaTpFZdbXG0ZbTDrI/S1wg
k99gd5PM/SJIZOc9padh9byy/VCK7D+vCWFLkkThRzBoCyBuk/cQANVnpneuk+EAKe6g
Jh8Q==
ARC-Authentication-Results: i=1; mx.google.com;
spf=pass (google.com: domain of support@mail.gandi.net designates 217.70.183.194 as permitted sender) smtp.mailfrom=support@mail.gandi.net
Return-Path: «support@mail.gandi.net»
Received: from relay2-d.mail.gandi.net (relay2-d.mail.gandi.net. [217.70.183.194])
by mx.google.com with ESMTPS id y55si637037edc.231.2019.05.23.17.32.06
for «paolo.attivissimo@gmail.com»
(version=TLS1_2 cipher=ECDHE-RSA-CHACHA20-POLY1305 bits=256/256);
Thu, 23 May 2019 17:32:06 -0700 (PDT)
Received-SPF: pass (google.com: domain of support@mail.gandi.net designates 217.70.183.194 as permitted sender) client-ip=217.70.183.194;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of support@mail.gandi.net designates 217.70.183.194 as permitted sender) smtp.mailfrom=support@mail.gandi.net
Received: from spool.mail.gandi.net (spool5.mail.gandi.net [217.70.178.214])
by relay2-d.mail.gandi.net (Postfix) with ESMTP id 06B6D40008
for «paolo.attivissimo@gmail.com»; Fri, 24 May 2019 00:32:05 +0000 (UTC)
Received: from centos12.localdomain (unknown [194.182.67.236])
by spool.mail.gandi.net (Postfix) with ESMTP id 3F175D80057
for «contatti@complottilunari.info»; Fri, 24 May 2019 00:32:05 +0000 (UTC)
Received: from RDPPP.local (localhost [IPv6:::1])
by centos12.localdomain (Postfix) with ESMTP id 4DDDAA9B
for «contatti@complottilunari.info»; Thu, 23 May 2019 20:32:04 -0400 (EDT)
From: support@mail.gandi.net
To: contatti@complottilunari.info
Subject: [GANDI] Non renouvellement du site complottilunari.info.
Date: Fri, 24 May 2019 02:32:04 +0200
MIME-Version: 1.0
Message-ID: «155865747914702bd2e17604b7310d956a029eb7b4_2397@mail.gandi.net»
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Spam-Flag: yes
X-Spam-Level: ********************
X-GND-Spam-Score: 300
X-GND-Status: SPAM


Non mi è successo nulla, insomma, ma è stata un’occasione per provare in prima persona cosa passa per la mente di chi è vittima di un attacco di phishing mirato. Nonostante la mia discreta esperienza e paranoica diffidenza, sono stato fortemente tentato di cliccare automaticamente sul link, che era in una mail che stava in mezzo ad altre mail autentiche del provider. Non mi sono accorto dell’errore di ortografia (“sous 48 Heure” con la H maiuscola) e dei toni troppo perentori (“En cas de non règlement sous 48 Heure, votre compte pourrait être définitivement effacé”), tipici di un phishing.

C’è mancato un po’ troppo poco, per i miei gusti. Siate prudenti.


2019/05/26 10:15


Dai commenti mi arriva la segnalazione di quest’allerta generale tweetato da Gandi.net. Sembra confermare che non si tratti di un phishing rivolto esclusivamente a me.




Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Nessun commento: