Mi è arrivata infatti una mail che mi diceva che non era stato ricevuto correttamente il pagamento di uno dei nomi di dominio che gestisco. Il sospeso era piccolo: solo cinque euro.
La mail era decisamente credibile, con molti elementi personalizzati:
- era in francese, lingua del provider Gandi.net attraverso il quale gestisco i miei nomi di dominio;
- citava un nome di dominio che effettivamente gestisco (complottilunari.info);
- aveva un header strutturato in modo uguale a quello abituale del provider, con il nome del provider fra parentesi quadre, tutto in maiuscolo, all’inizio del testo;
- è arrivata sulla casella di mail che uso per la gestione dei miei nomi di dominio;
- è arrivata in un periodo nel quale erano effettivamente in scadenza i rinnovi di alcuni dei miei nomi di dominio.
Il primo istinto è stato quello di pensare “accidenti, uno dei pagamenti che stavo facendo è andato storto” e di cliccare sul link. Ma ho esitato un istante, per fortuna, e ho provato a lasciare il mouse sopra il link per vedere dove mi avrebbe portato: lo vedete in basso a sinistra nello screenshot qui sotto.
http :// Barraplaza (punto) com (slash) complottilunari (punto) info decisamente non è il sito di pagamento usato da Gandi.net. L’URL, fra l’altro, è solo un redirect, che mi porta poi a una pagina di pagamento regolare su Aruba.it:
https://pagamenti.aruba.it/Home/Default.aspx
Non avendo una login Aruba o un numero d’ordine, non avrei potuto proseguire neanche se avessi voluto. E a questo punto non volevo assolutamente proseguire, ovviamente.
Sono andato a mano alle pagine di amministrazione dominii di Gandi.net, ho fatto login (protetto, ovviamente, da una password unica e dall’autenticazione a due fattori) e ho verificato che non c’era nessun pagamento andato male. Complottilunari.info è coperto fino al 2020.
Questo è l’header della mail truffaldina, se lo volete studiare: ho cambiato le parentesi angolari in sergenti («»). Ho capito male io, o la mail effettivamente proviene da un server di Gandi.net?
Delivered-To: paolo.attivissimo@gmail.com
Received: by 2002:a4f:d1ed:0:0:0:0:0 with SMTP id q100csp2714862ivj;
Thu, 23 May 2019 17:36:07 -0700 (PDT)
X-Received: by 2002:a17:906:491b:: with SMTP id b27mr12311028ejq.234.1558657927569;
Thu, 23 May 2019 17:32:07 -0700 (PDT)
X-Google-Smtp-Source: APXvYqwImXBRLVQd/VN+zf217wxkjMHQ4zduFJh6OpkZSc37MM+rgAOxRsivKebJkXvITd0UAabc
X-Received: by 2002:a17:906:491b:: with SMTP id b27mr12310948ejq.234.1558657926397;
Thu, 23 May 2019 17:32:06 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1558657926; cv=none;
d=google.com; s=arc-20160816;
b=Y0+zWKdq9vgJpHoY84HXTWotgIvg5J5VcOVOPR94yhEbP2vuNewkGOBoym+pSogex1
r5TOTjsC+Ycai5hzb4jz2m3n13KNAyiPxiz7his8v7peaLvPuDVnyHM9vNgwCHv3qikU
JbbwG0+nKTxoizObfFLvFuJjhmbznbSZrLqC3LpmtXZaeWCNuQSUV7wRVFKRryX8Y/09
vzvSl1KsLvwYmzYT5j03CnQTnnkEMVGIeyHat0reUOm3zS/hMsXvxszU4orkqQ5YP4lU
7N5xZxkbFybab1Supm0rvTRRhJFKSAm+FMlGQ+l/NuwN80lXpQSdmfRMyWyZQLbRsFVh
KraA==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=content-transfer-encoding:message-id:mime-version:date:subject:to
:from;
bh=wNC/rDhKdKfLGnOAd2aLJ3NypzwP8TYTjVadXPF8m0g=;
b=E+pamaibTnC0zoXhEJMthuBV8vFbfWltFah3a5DOqEqRxf48+cS0F0caXuh7pIf3ad
aHXsNxbmMw94q8kxWzvehf9UquTFDX9XHmcpwahE5cRiB2EiNSzYMccENqP/7wvBfrYP
5yi8AQ2j/Ei3xSU/bMEB8SGOiHuUZA2uY3RqowOFoqmb8oRuyX5pUG3TSWZPc9+3OHHU
Q6PtT0mp6HSTVZNbQkVdZDgkPlCcpVv5jzAFdjdA1Wpw1OLaTpFZdbXG0ZbTDrI/S1wg
k99gd5PM/SJIZOc9padh9byy/VCK7D+vCWFLkkThRzBoCyBuk/cQANVnpneuk+EAKe6g
Jh8Q==
ARC-Authentication-Results: i=1; mx.google.com;
spf=pass (google.com: domain of support@mail.gandi.net designates 217.70.183.194 as permitted sender) smtp.mailfrom=support@mail.gandi.net
Return-Path: «support@mail.gandi.net»
Received: from relay2-d.mail.gandi.net (relay2-d.mail.gandi.net. [217.70.183.194])
by mx.google.com with ESMTPS id y55si637037edc.231.2019.05.23.17.32.06
for «paolo.attivissimo@gmail.com»
(version=TLS1_2 cipher=ECDHE-RSA-CHACHA20-POLY1305 bits=256/256);
Thu, 23 May 2019 17:32:06 -0700 (PDT)
Received-SPF: pass (google.com: domain of support@mail.gandi.net designates 217.70.183.194 as permitted sender) client-ip=217.70.183.194;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of support@mail.gandi.net designates 217.70.183.194 as permitted sender) smtp.mailfrom=support@mail.gandi.net
Received: from spool.mail.gandi.net (spool5.mail.gandi.net [217.70.178.214])
by relay2-d.mail.gandi.net (Postfix) with ESMTP id 06B6D40008
for «paolo.attivissimo@gmail.com»; Fri, 24 May 2019 00:32:05 +0000 (UTC)
Received: from centos12.localdomain (unknown [194.182.67.236])
by spool.mail.gandi.net (Postfix) with ESMTP id 3F175D80057
for «contatti@complottilunari.info»; Fri, 24 May 2019 00:32:05 +0000 (UTC)
Received: from RDPPP.local (localhost [IPv6:::1])
by centos12.localdomain (Postfix) with ESMTP id 4DDDAA9B
for «contatti@complottilunari.info»; Thu, 23 May 2019 20:32:04 -0400 (EDT)
From: support@mail.gandi.net
To: contatti@complottilunari.info
Subject: [GANDI] Non renouvellement du site complottilunari.info.
Date: Fri, 24 May 2019 02:32:04 +0200
MIME-Version: 1.0
Message-ID: «155865747914702bd2e17604b7310d956a029eb7b4_2397@mail.gandi.net»
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
X-Spam-Flag: yes
X-Spam-Level: ********************
X-GND-Spam-Score: 300
X-GND-Status: SPAM
Non mi è successo nulla, insomma, ma è stata un’occasione per provare in prima persona cosa passa per la mente di chi è vittima di un attacco di phishing mirato. Nonostante la mia discreta esperienza e paranoica diffidenza, sono stato fortemente tentato di cliccare automaticamente sul link, che era in una mail che stava in mezzo ad altre mail autentiche del provider. Non mi sono accorto dell’errore di ortografia (“sous 48 Heure” con la H maiuscola) e dei toni troppo perentori (“En cas de non règlement sous 48 Heure, votre compte pourrait être définitivement effacé”), tipici di un phishing.
C’è mancato un po’ troppo poco, per i miei gusti. Siate prudenti.
2019/05/26 10:15
Dai commenti mi arriva la segnalazione di quest’allerta generale tweetato da Gandi.net. Sembra confermare che non si tratti di un phishing rivolto esclusivamente a me.
Alerte #phishing ! Vous êtes nombreux à recevoir des mails exigeant un règlement de 5€ avant 48h sous peine de voir votre domaine supprimé. Simple hameçonnage. Nos équipes sont sur le coup. Ne cliquez pas sur le lien et reprenez normalement vos activités ;) #GandiCares
— gandi.net (@gandi_net) May 24, 2019
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
Nessun commento:
Posta un commento
Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.