Il phishing si raffina

Mele e appunti

Stamattina ricevo questa email:

Da: Google AdWords [adwords@google.com]
Oggetto: Google AdWords Alert
Data: 08 novembre 2008 5:11:24 GMT+01:00
A: Riccardo Mori

Our system was unable to process a payment for your outstanding Google AdWords account balance using your primary credit card. For the time being, your account is still open, and your ads are still running. However, we require you to update the payment information in your AdWords account very soon in order to ensure continued ad serving.

Please update your credit card information in order to trigger our billing system to try processing your payment again. If you plan to use the same credit card(s), please use the ‘Retry Card’ button on the Billing Preferences page of your account. Otherwise, please follow the steps below to update the information in your AdWords account.

1. Log in to your AdWords account at: http://adwords.google.com [1]
2. Click the ‘My Account’ tab.
3. Click ‘Billing Preferences’ link.
4. Click Edit next to the appropriate ‘Payment Details’ section.
5. Enter your new or updated payment information.
6. Click ‘Save Changes’ when you have finished.

In the future, you may wish to use a back up credit card in order to help ensure continuous delivery of your ads. You can add a back up credit card by visiting your Billing Preferences page or visit the AdWords Help Centre for more.

Tip: You can review the status of your billing on the Billing Summary page, under the ‘My Account’ tab. If a payment has been declined, click ‘Payment Declined’ beside the line item to review information for that particular payment. Once your payment has been processed successfully, you can view and print an invoice from your Billing Summary page.

——————————————————————
This message was sent from a notification-only email address that does not accept incoming email. Please do not reply to this message. If you have any questions, please visit the Google AdWords Help Centre at https://adwords.google.com/support/?hl=en_GB [2] to find answers to frequently asked questions and a ‘contact us’ link near the bottom of the page.
—————————————————————-

Thank you for advertising with Google AdWords. We look forward to providing you with the most effective advertising available.

Sincerely,

The Google AdWords Team

Questo è uno dei migliori tentativi di phishing che abbia mai visto nella mia casella di posta. Per chi non mastica l’inglese, si tratta di un (finto) messaggio proveniente dal servizio AdWords di Google e diretto a chi utilizza questo servizio sul proprio sito per ospitare annunci di Google e ricavare qualche soldino. Nel messaggio il ‘Team’ del servizio tecnico informa che non è stato possibile effettuare una transazione a beneficio dell’utente sulla sua carta di credito principale, e si richiede al malcapitato di aggiornare il suo profilo finanziario nell’apposita pagina dell’account AdWords. Ovviamente è un’esca per rubare i dati della carta di credito. Ma è un’esca ben confezionata.

1. Il messaggio è in testo puro, non in HTML, e non contiene immagini.
2. Il messaggio è scritto in inglese, ma non ci sono errori ortografici o grammaticali.
3. Il messaggio è credibile. Copia molto bene lo stile delle comunicazioni di Google. Probabilmente è copiato pari pari da una vera comunicazione di Google AdWords.
4. Il trucco più insidioso per farlo credere un messaggio legittimo è che l’URL [2] rimanda alla vera pagina di supporto Google AdWords, mentre l’URL [1] rimanda al sito malevolo. E una persona un po’ distratta può addirittura scambiare questo indirizzo come legittimo, perché passandoci sopra con il puntatore del mouse in Mail, la URL visualizzata è: http://adwords.google.com.session-38270950369891169912.07457744154617831904.ssl83.ru/. La parte che non deve sfuggire è l’ultima, ssl83.ru, che indica inequivocabilmente un sito russo.

Il messaggio è stato correttamente identificato come SPAM, ma più che a SpamSieve il merito va a SpamAssassin installato sul server di posta a monte, che ha riconosciuto lo SPAM perché, come indicano gli header, contiene degli URL elencati in due diverse blocklist. Anche se non fosse stato archiviato nella mia cartella Spam, avrei capito che si trattava di una truffa, più che altro perché non ho un account AdWords e, se lo avessi, probabilmente il messaggio mi arriverebbe in italiano. Ma penso a tutti quelli che hanno un account AdWords e sono di madrelingua inglese — magari qualcuno ci è cascato.

In ogni caso, cercare sempre di vedere dove portano gli URL e visualizzare gli header del messaggio (anche se gli spammer riescono a celare la vera origine di un messaggio, rimane comunque poco credibile che un messaggio che si dice proveniente da Google abbia negli header un nome server come “mail.braidwoods.com”). Ma soprattutto il buon senso: diffidare sempre di richieste di “aggiornamento informazioni della carta di credito” o di “verifica di nome utente e password del tale account”. Nel 99,999…% dei casi è una truffa.

The Author

Writer. Translator. Mac consultant. Enthusiast photographer. • If you like what I write, please consider supporting my writing by purchasing my short stories, Minigrooves or by making a donation. Thank you!

1 Comment

  1. L’altro giorno ne ho ricevuta una, fatta piuttosto bene, che sembrava provenire da Yahoo!. Credo che questa volta fosse cinese, il sito in questione…

    Comunque sì, piuttosto fedele all’originale. Come te mi chiedo in quanti ci sono cascati, anche se in questo caso mi sembra che ci siano dati importanti a rischio. (Ma io non sono certo andato a controllare! :) )
    MS

Comments are closed.