Lunedi' 25 giugno, ore 6:25 del mattino.
Apro la posta elettronica e, per prima cosa, mi si pianta davanti l'ennesima e-mail di phishing che sembra provenire da Banca Intesa e che mi chiede di confermare i miei dati per ottenere un bonus di 250 euro.
Dato che uso firefox, non sono cliente di banca intesa, e mi piace partecipare a bloccare questi sBronzi prima che combinino danni, clicko sul link (che in origine apre una pagina "lindex.htm" sul sito di un produttore di vini nel Canyon di Clearwater (non posto il sito per non venire bloccato dai filtri antispam in ricerca), ed ecco che mi si pianta davanti un dominio "private-baning" (notate la sintassi) hostato su yahoo, la cui pagina "home.htm" e' praticamente identica a quella di Banca Intesa.
Posto la segnalazione su Netcraft via barra, e nel giro di un paio di minuti il sito viene bellamente incastonato dalla stessa.
Controllo con whois e noto che il sito e' effettivamente sotto webhosting di yahoo, per cui mando anche una mail al supporto di yahoo segnalando che il dominio [che risulta ufficialmente aperto il 28 giugno (complimenti!)] e' usato per phishing.
Alle 8:30 il sito private-baning risulta irraggiungibile, ma il sito della cantina di cui sopra ora porta al sito "banscaintesa", stessa situazione di prima.
Rifaccio la segnalazione, anche banscaintesa risulta su yahoo. Dato che mi gira il boccino oltre a segnalare anche questo sito (che di nuovo risulta bloccato) segnalo a questo punto a netcraft che il redirector che continua a portare in giro e' una specifica pagina sul sito del produttore di vini.
Ora me la voglio vedere tutta: se si riesce a bloccare quella pagina bene, se no continuero' con piacere a vedere quanto resistono continuando a cambiare dominio: io mi sto divertendo a bloccare tutte le pagine (-:
PS: Anzi ora giro anche una mail informativa a Banca Intesa, dato che fino a ieri i casini erano soprattutto con poste italiane e bancoposte...
Aggiornamento: ore 9:05 - Netcraft mi sta bersagliando di ringraziamenti. Yahoo ancora non si e' sentita ma ha gia' chiuso il primo dominio, vediamo che succede col secondo... (-:
Aggiornamento: ore 9:10 - La pagina di redirect sul sito del produttore di vini e' stata bellamente cancellata (ora da un errore 404) per cui, dato che era il link a cui portata l'e-mail di phishing, sembra che per ora la minaccia sia scongiurata [gu ((-: attivo in meno di due ore, eh? (((-: ]
Aggiornamento: ore 9:15 - Quarantesimo posto nei "Most Active Reporters in June" di Netcraft (Mirko), mi sento tutto onorato (((-:
Aggiornamento: ore 9:45 - Sul sito e' tornata la pagina di redirect, ma adesso viene bloccata dalla barra di netcraft e - se si finisce sul sito banscaintesa oltre alla barra di netcraft anche il filtro anti-phish di firefox (credo sia basato su Phishtank) blocca l'accesso al sito;
Aggiornamento: ore 13:00 - (beh, sono dovuto andare fuori ufficio per lavoro), adesso anche se il link sul sito del "cantiniere" esiste ancora (ma viene bloccato dalla barra di netcraft) il sito banscaintesa spara una serie di errori 403, ed e' definitivamente chiuso (-:
Aggiornamento: 27 giugno ore 6:30 - un'altra e-mail di phishing, questa volta che dice di venire da Banca Carige, fa passare di nuovo dal file "lindex.htm" del sito del cantiniere, e rimanda su una sottopagina di allthingsscrapbooking.com (dato che la situazione con i domini di yahoo gli e' andata a $donnine_di_facili_costumi), solo che gia' netcraft e phistank la bloccano...
Aggiornamento: ore 7:05 - ho contattato [nuovamente (ieri mattina ho mandato un velato avviso)] la casella di posta del cantiniere, per segnalargli che qualcuno prende visione della chiusura dei siti e modifica la pagina di redirect e l'e-mail di conseguenza, ma stavolta lo ho avvisato che questo era il mio ultimo avviso, il quale - per conoscenza - e' stato anche mandato all'abuse del servizio di hosting del sito.
Nessun commento:
Posta un commento
Come detto sull'intestazione del Blog, sarete ospiti ben graditi, e per questo vi ringrazio anche per i vostri commenti, anche se messi per criticarmi. (-:
Visto lo spam ricevuto in questo periodo, i commenti sono moderati, pertanto vi prego di utilizzare questo spazio per costruire qualcosa assieme a me e agli altri lettori, astenendovi invece dal limitarvi ad approfittare di questo spazio aperto per fare pubblicità ai vostri prodotti o servizi. In caso di dubbi, in home page trovate il mio indirizzo e-mail e il mio numero di telefono (attivo dal lunedì al venerdì dalle 9 alle 13 e dalle 15 alle 19), per contattarmi.
Infine, vi prego di non utilizzare parolacce, bestemmie o termini che possano urtare la sensibilità mia o dei lettori.
Grazie mille! Grizzly