Phishing molto sospetto.

[a-mac]

Return-Path: <supporte@italia.it>
Delivered-To: info@sisani.net
Received: (qmail 18310 invoked by uid 89); 31 Oct 2014 16:56:36 -0000
Received: from unknown (HELO mxcmd02.ad.aruba.it) (10.10.10.66)
by mxavas4.ad.aruba.it with SMTP; 31 Oct 2014 16:56:36 -0000
Received: from sisvia.es ([85.238.4.38])
by mxcmd02.ad.aruba.it with bizsmtp
id 9swb1p00a0pD2c501swb2J; Fri, 31 Oct 2014 17:56:35 +0100
Received: (qmail 25694 invoked from network); 31 Oct 2014 13:37:28 +0100
Received: from unknown (HELO User) (185.7.213.28)
by mail.sisvia.es with SMTP; 31 Oct 2014 13:37:27 +0100
Reply-To: <supporte@italia.it>
From: "Verified by Visa"<supporte@italia.it>
Subject: Notifica (n. di accettazione: 943100541)
Date: Fri, 31 Oct 2014 13:37:19 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0083_01C2A9A6.5D4E01E0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Spam-Rating: mxavas4.ad.aruba.it 1.6.2 0/1000/N
This is a multi-part message in MIME format.

spesso spessissimo vengono compromessi i siti o peggio gli spazi hosting, proprio per inviare porcherie in giro per il pianeta
anche catturando ad ignari le password dei server smtp usati nel computer
o gli stessi programmi client mail usati sui vari pc zombi

che quindi creano involontariamente, phishing e spam

e non è detto che sia aruba il vero mittente
concetto generale, non voglio entrare in merito a questo singolo messaggio

difficilmente il mittente che noi vediamo nella mail, risulta essere il vero mittente

in generale è anche vero, che i server americani e non solo, usano sistemi più complicati di aruba, per la "tracciabilità" dei messaggi smtp/pop
per l'autenticazione e la "firma" del mittente
per l'autorità del server smtp usato ed eventuale ip del mittente
(configurazioni disponibili nei piani hosting attraverso cpanel)

in quel messaggio vedo "solo" un timido "id"

poi probabilmente "sniffano" i server di aruba (che non saranno il massimo della sicurezza) e catturano i destinatari per infilarli nei database

lo faranno direttamente "in casa"... come ad esempio arubadns.cz

[Kernel Panic]

Io a 'sto punto proverei anche a fare un po' di pulizia al browser che hai usato per queste transazioni.

Cioè? Vuotare la cache e la cronologia? Altro non si può fare... (Firefox 33.0.2).

Intanto per precauzione fai girare AdwareMedic, poi controlla e se necessario disabilita/disinstalla temporaneamente le estensioni se ve ne sono installate.
E poi, almeno una volta, usa un browser diverso per queste transazioni, e stai a vedere se la faccenda "verified by visa" continua.

Comunque per una volta sarei (stranamente) d'accordo con a-mac, forse ad essere sniffato non è il tuo traffico ma quello dei server cui ti colleghi.

[CristalLina]

Comunque per una volta sarei (stranamente) d'accordo con a-mac

Sei un Mitooooo!!! ah ah ah

[Kernel Panic]

Sì?
Qualcuno ha chiamato?

[fragrua]

Meglio oggi che sei un mito, da domani…

[a-mac]

oggi è successo e sta succedendo qualcosa di più grave di ciò che pensavo
mi aggancio a questo discorso, visto che è correlato al phishing

sono quasi certo che sono stati attaccati i server di posta di Libero Infostrada Wind

ho ricevuto messaggi di phishing da amici con la casella @libero.it
al primo, ho avvisato l'amico di turno, dicendogli che probabilmente aveva preso un virus malware

ma poi me ne sono arrivati da altri amici/conoscenti che hanno ovviamente la mia mail nella rubrica
stesso genere di messaggio che induce ad andare ad alcuni link di phishing

se qualcuno ha modo di verificare e confermare o meno, quanto sospetto
chi ha un account di posta Libero Infostrada
o chi ha amici con mail @libero.it Libero Infostrada

ora siccome ho una mail @libero.it provo ad inviare a me stesso dei messaggi
e vediamo che succede...

[Scialla]

A me é già successo in passato, proprio con una mail libero.

Se entri nella mail tramite browser hai la possibilità di vedere gli IP relativi agli ultimi accessi a capire chi é stato a bombarti la mail; a me erano stati dei maledetti cinesi!!!
Ho quindi cambiato la password mettendone una più complicata e ho risolto...

[a-mac]

ah ecco, potrebbe succedere a chi la usa da browser e/o soprattutto utilizza password molto semplici

non ho mai usato la mail @libero dal web

è curioso che proprio oggi ho ricevuto mail di phishing da conoscenti con email @libero
e sentiti loro, hanno ricevuto pure loro messaggi del genere

quindi da differenti account @libero.it

non da altri conoscenti con indirizzi email di altri ISP

[Scialla]

e si vede che, in questo periodo, hanno preso di mira (di nuovo) libero e stanno bombando parecchi account

Quando ho cambiato la password, ho compreso in quella nuova un insulto verso di loro... se la trovano di nuovo almeno li ho insultati!!

[robertos]

confermo!
anche a me stanno arrivando mail tarocche da account clienti e fornitori con indirizzo @libero.it...

[a-mac]

Grazie Rob!

Scialla anch'io in un altro account ho messo come password quello che penso

PS: il problema aggiuntivo è che gli ISP fuori dall'Italia poi bannano @libero.it come mittente di spam e phishing
quindi bloccano milioni (giustamente?) di messaggi buoni, indirizzati ad indirizzi email Libero Infostrada
e quelli di Libero Infostrada ci impiegano 2/3 giorni per farsi togliere dalle liste nere

(fortunatamente) non succede con ISP nostrani, in quanto sanno bene che @libero ed altri sono anche operatori telefonici e quindi con migliaia milioni di clienti/utenti

non so se mi sono capito ?!

[faxus]

... non so se mi sono capito ?!

Ti sei capito in modo complicato ma semplice

[Scialla]

Se mi bloccassero le mail @libero e @iol mi farebbero solo un favore...
Orami ne ho talmente tante che non me le ricordo più e sto cercando di impostarle che rinviano i messaggi automaticamente alla principale, solo che essendo gratuite, spesso non te lo fanno fare!