email poste italiane (falsa?)

[Teo80]

Ciao a tutti,
ho ricevuto questa mail, ma all’apparenza sembra spam. Volevo sapere se leggendola (visto che si tratta di html) ho rischiato di prendere virus. Avevo letto che si possono nascondere anche nelle immagini e c’è un’immagine che punta a postecom.it (è di Poste italiane o è un clone?). Vi riporto il codice:

Codice PHP:

<TABLE cellSpacing=0 cellPadding=0 width=500 align=center border=1>
<TBODY>
<TR>
<TD align=middle colSpan=3><FONT size=2>
<TABLE cellSpacing=0 cellPadding=0 width=600 bgColor=#e7efe2 border=0>
<TBODY>
<TR>
<TD>
<DIV><FONT size=2>[img]http://www.posteitaliane.it/img/tb/logo_posteitaliane.gif[/img][img]http://posteitaliane.it/img/tb/fine_privati.gif[/img]</FONT></DIV>
<DIV>
<TABLE cellSpacing=0 cellPadding=0 width=740 border=0>
<TBODY>
<TR bgColor=#000099>
<TD><FONT size=2>                                            </FONT></TD>
<TD align=right colSpan=2><FONT size=2>    </FONT></TD></TR></TBODY></TABLE></DIV></TD></TR></TBODY></TABLE>

<DIV align=left><FONT face=Verdana size=2>                                                    [img]http://www.postecom.it/img/prodotto/posteit02h.jpg[/img]</FONT></DIV>
<DIV align=left> </DIV>
<DIV align=left><FONT face=Verdana>Caro cliente Poste.it,</FONT></DIV>
<DIV align=left> </DIV>
<DIV align=left><FONT face=Verdana size=2>Una nuova gamma completa di servizi online è adesso disponibile !</FONT></DIV>
<DIV align=left><FONT face=Verdana size=2>Per poter usufruire dei nuovi servizi online di Poste.it occorre prima diventare UTENTE VERIFICATO.</FONT></DIV><FONT face=Verdana size=2><FONT size=3></FONT>
<DIV align=left>
   [url="http%3A//200.158.134.97/online/personale/login%2Dhome.fcc/33554433%26REALMOID/login%2Dhome.html"][img]http://posteitaliane.it/img/ico/egramma_g.gif[/img][/url]<FONT size=3>  [url="http%3A//200.158.134.97/online/personale/login%2Dhome.fcc/33554433%26REALMOID/login%2Dhome.html"]<FONT color=#0000ff size=2>Accedi ai servizi online di Poste.it e diventa UTENTE VERIFICATO »</FONT>[/url][b] [/b]</FONT></DIV>
<DIV align=left>[b]<FONT size=3></FONT>[/b] </DIV>
<DIV align=left>L'Assistenza Clienti, dopo aver ricevuto la documentazione e averne verificato la completezza e la veridicità, provvederà immediatamente ad attivare il suo " [b]Nome Utente Verificato[/b] ". Verrai informato telefonicamente di tale attivazione.</DIV>

<DIV align=left> </DIV>
<DIV align=left>[url="http%3A//www.poste.it/azienda/posterisponde/"][img]http://www.poste.it/img/home/home_canali_contactcenter.gif[/img][/url]
</DIV>
<DIV align=left>[img]http://www.poste.it/img/ico/telfono_b.gif[/img] [B]TELEFONO[/B]
[b]Numero gratuito 803.160[/b] (dal lunedì al sabato dalle ore 8 alle ore 20).   </DIV>
<DIV align=left>     </DIV>
<DIV align=left>                                  </DIV>
<DIV align=left>[img]http://www.poste.it/img/banner/banner_postaservice.gif[/img]</DIV>
<DIV align=left></FONT><FONT face="Times New Roman" size=2>| © Poste Italiane 2006 | </FONT>[url="http%3A//www.poste.it/azienda/posterisponde/"]<FONT face="Times New Roman" color=#0000ff size=2>contattaci</FONT>[/url]<FONT face="Times New Roman" size=2> | </FONT>[url="http%3A//www.poste.it/azienda/policy.shtml"]<FONT face="Times New Roman" color=#0000ff size=2>privacy </FONT>[/url]<FONT face="Times New Roman" size=2>| </FONT>[url="http%3A//www.poste.it/online/mappa.shtml"]<FONT face="Times New Roman" color=#0000ff size=2>mappa del sito</FONT>[/url]<FONT face="Times New Roman" size=2> | </FONT>[url="http%3A//www.poste.it/online/personalizza.shtml"]<FONT face="Times New Roman" color=#0000ff size=2>personalizza visualizzazione</FONT>[/url]<FONT face="Times New Roman"><FONT size=2> | Partita IVA 01114601006 |</FONT> </FONT></FONT></DIV></TD></TR></TBODY></TABLE></P> 


L’ho estrapolato dalla webmail di libero, quindi ho sostituito i vlink con i link a cui puntavano effettivamente.

[tognazzi]

Originariamente inviato da Teo80
nelle immagini e c’è un’immagine che punta a postecom.it (è di Poste italiane o è un clone?).

dal sito
http://www.postecom.it/

"Postecom è stata costituita, nel mese di ottobre 1999, per sviluppare e gestire nuovi servizi accessibili via Internet attraverso il sito di Poste Italiane.


Postecom SpA, società controllata dal Gruppo Poste Italiane, è leader nella progettazione, nello sviluppo e nella gestione di servizi Internet, Intranet e Certificazione Digitale.
Nata nel 1999 allo scopo di rispondere alle esigenze informatiche del Gruppo, Postecom oggi realizza progetti ed eroga servizi per tutti gli attori presenti sul mercato ICT, dalle aziende private ai professionisti, dalla Pubblica Amministrazione ai singoli consumatori. Le principali aree di specializzazione riguardano servizi di Certification Authority, Messaggistica, Pagamenti e incassi online, Portali web, eGovernment, eProcurement ed eLearning.

Con oltre 1500 mq. di Server Farm ridondati per la "business continuity" e più di 500 Server, Postecom gestisce circa 2 milioni di caselle di posta elettronica e più di 10.000 pagine Web ogni giorno.

Nel 2005 Postecom ha registrato un fatturato di 50 milioni di euro, con un incremento di oltre il 60% rispetto al 2004.

Socio fondatore di Assocertificatori, la società è iscritta dall'aprile 2000 all'elenco pubblico dei Certificatori tenuto dal CNIPA; nel 2003 ha ottenuto la certificazione UNI EN ISO 9001:2000 e nel 2004 la BS 7799-2:2002. Da dicembre 2005, inoltre, Postecom è iscritta all'elenco pubblico dei Gestori di Posta Elettronica Certificata."

il sito sembra regolare, ma può anche essere che l'immagine di postecom venga sfruttata venga sfruttata abusivamente

[Habanero]

E' sicuramente un tentativo di phishing. Le immagini vengono prelevate dal sito ufficiale di poste.it ma il link di accesso punta ad un IP Brasiliano....

[tognazzi]

se ho capito la tecnica usata da habanero per smascherare il phishing è la seguente.

1. scaricare ip country lookup per esempio da qui
http://www.bestsoftware4download.com...-xdgvpjpi.html

2. copiare il link dalla mail sospetta in ip country lookup.
il risultato è il seguente
200.158.134.97 is located in Brazil

sempre che haba non sia in grado di verificare la provenienza dell'ip a occhio, cosa che non mi stupirebbe affatto.

[Teo80]

Comunque leggendola e lasciando interpretare l'html al client non dovrei aver preso virus o altri malware, vero?

[tognazzi]

Originariamente inviato da Teo80
Comunque leggendola e lasciando interpretare l'html al client non dovrei aver preso virus o altri malware, vero?

secondo me no, dovresti essere a posto.
il phishing e i viruz sono due cose diverse.

[Habanero]

Originariamente inviato da tognazzi
se ho capito la tecnica usata da habanero per smascherare il phishing è la seguente.

1. scaricare ip country lookup per esempio da qui
http://www.bestsoftware4download.com...-xdgvpjpi.html

2. copiare il link dalla mail sospetta in ip country lookup.
il risultato è il seguente
200.158.134.97 is located in Brazil

sempre che haba non sia in grado di verificare la provenienza dell'ip a occhio, cosa che non mi stupirebbe affatto.

basta una semplicissima query sui database whois di uno degli organismi preposti alla gestione degli ip a livello internazionale. Per l'europa è ripe.net.

Qui trovi tutte le informazioni che ti servono.
http://www.iana.net/ipaddress/ip-addresses.htm

[tognazzi]

ok grazie. io avevo usato una spada laser per uccidere una mosca

[denis76]

Esiste un modo per denunciare il phishing on line? C'è qualche organo che raccoglie le denuncie?

[tognazzi]

polizia postale mi sembra