Notifica importante! – INT : 3838

Arriva da un indirizzo e-mail all’apparenza valido, come “Intesa Sanpaolo <smtp-353577@intesasanpaolo.com>”, solo che il messaggio fallisce qualsiasi validazione (SPF, DKIM, DMARK…) ed anche SpamAssassin gli assegna un punteggio molto alto, 9.9 punto, marchiandolo definitivamente come spam.

Il corpo della mail di phishing

Come si percepisce dal corpo del messaggio, il tutto fa leva sulla paura che qualcuno abbia operato indiscriminatamente sul nostro conto bancario, chiedendo di cliccare sul link (gentilmente) fornito per annullare l’operazione.

Il link, come è da aspettarsi, punta a tutt’altro URL, https://blackengine.co.uk/images/uma/xs/u7VtUptW3bjCW49K.html?codice=331065, che al momento restituisce un Error 404: probabilmente questa campagna di phishing è ormai stata resa inoffensiva.

Uno sguardo alle intestazioni

Interessante, tra gli header, il campo List-Unsubscribe, usato dai sistemi di mass-mailing per l’opt-out degli utenti:

List-Unsubscribe: <http://mail.great-news.pl/r/702912.042003463>, <mailto:unsubscribe+96921.2475187178@newsletter-hub.com?subject=unsubscribe>

come se questa mail fosse stata inviata da un sistema di bulk e-mail, come conferma la visita al dominio mail.great-news.pl:

You probably came across this website through a link inserted in your email.

This domain is used by the FreshMail system to manage the sending of emails. FreshMail creates, maintains and develops an email marketing system that allows our clients to send emails to their subscribers in accordance with the law and best practices on online marketing.

FreshMail is responsible for the technology that functions as the medium of delivery of the emails and newsletters, but clients are responsible for their content and the quality of the subscriber databases used.

Sempre dalle intestazioni si vede come la mail sia partita da un server con IP 208.118.233.60, localizzato negli States e con hostname usgifts.aerohosting.com, al momento blacklisted solamente dalla Barracuda Reputation Block List.

In conclusione

Direi che campagne di questo tipo, dove sono spesso gli stessi istituti di credito a ricordare continuamente ai loro clienti di non abboccare alle e-mail fasulle che simulano operazioni bancarie non autorizzate o “conferme” di credenziali, sono destinate a scomparir, soppiantate da ben altre tecniche molto più insidiose.

Come sempre, vale la regola d’oro: NON CLICCATE MAI SUI LINK che vi arrivano per mail.

Michele Pinassi

Blogger, appassionato di tecnologia, società e politica. Attualmente Responsabile del Sistema telefonico di Ateneo presso l'Università degli Studi di Siena ed esperto di sicurezza informatica nello staff del DPO. Utilizza quasi esclusivamente software libero.

Potrebbero interessarti anche...

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: