La transazione e' stata autorizzata.
Grazie per il tempo assegnato nel controllo del conto cliente.
Tuttavia, visiti prego appena possible http://www.intesa.com/
Per controllare le vostre informazioni di conto!
Clicca qui per visualizzare il saldo disponibile residuo.

E come di consueto il link non porta al sito indicato sopra, ma a questo:

http://www.dr-ravid.co.il//admin/Editor/assets/cap.htm

E come uso fare in questi casi, per i più esperti, vado a pubblicare anche il codice sorgente dell’email, in modo che si possano leggere ulteriori informazioni che possano risultare utili per l’investigazione.

Delivered-To: *************** (mia email privata)
Received: by 10.204.114.83 with SMTP id d19cs194460bkq;
Mon, 28 Sep 2009 18:30:23 -0700 (PDT)
Received: by 10.211.154.17 with SMTP id g17mr3943656ebo.32.1254187823384;
Mon, 28 Sep 2009 18:30:23 -0700 (PDT)
Return-Path:
Received: from 121dental.co.uk ([217.169.27.60])
by mx.google.com with ESMTP id 26si13634954ewy.59.2009.09.28.18.30.23;
Mon, 28 Sep 2009 18:30:23 -0700 (PDT)
Received-SPF: neutral (google.com: 217.169.27.60 is neither permitted nor denied by domain of servizi@intesasanpaolo.it) client-ip=217.169.27.60;
Authentication-Results: mx.google.com; spf=neutral (google.com: 217.169.27.60 is neither permitted nor denied by domain of servizi@intesasanpaolo.it) smtp.mail=servizi@intesasanpaolo.it
Received: from User ([216.171.191.222]) by 121dental.co.uk with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 28 Sep 2009 13:42:46 +0100
From: "Intesa SanPaolo S.p.A"
Subject: La transazione e' stata autorizzata.!!!
Date: Mon, 28 Sep 2009 08:39:51 -0400
MIME-Version: 1.0
Content-Type: text/html; charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: servizi@intesasanpaolo.it
Message-ID: <121-SERVERuJGFO5QBy0000082b@121dental.co.uk>
X-OriginalArrivalTime: 28 Sep 2009 12:42:46.0843 (UTC) FILETIME=[2E59C8B0:01CA4039]

Sperando vengano presi, vi saluto e alla prossima!

Ed eccoli i truffatori di oggi! Si spacciano per la Banca Popolare di Milano, ti inviano una email con mittente questo indirizzo servizi@bpmbancing.it e con questo oggetto: Comunicazione 14222 – www.bpmbanking.it

Ma vediamo il testo completo dell’email:

Caro cliente,

Nell’ambito di un progetto di verifica dei dati anagrafici forniti durante
la sottoscrizione dei servizi di Banca Popolare di Milano e stata riscontrata
una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all
momento della sottoscrizine contrattuale.

L’inserimento dei dati alterati puo costituire motivo di interruzione di
servizio secondo gli art. 135 e 137/c da Lei accettati al momento della
sottoscrizione, oltre a costituire reato penalmente perseguibile secondo
il C.P.P. ar. 415 del 2001 relativa alla legge contro il riciclaggio e la
trasparenza dei dati forniti in auto certificazione.

Per ovviare al problema e necessaria la verifica e l’aggiornamento dei dati
relativi all’anagrafica dell’Intestatario dei servizi Banca Popolare di Milano.
Effettuare l’aggiornamento dei dati cliccando sul seguente collegamento
sicuro:

https://www.bpmbanking.it/pub/xbank/home.do

Cordiali saluti,

Banca Popolare di Milano Società Cooperativa

Il link inserito nell’email in realtà porta ad un altro sito, preparato appositamente dai truffatori per porre in inganno il cliente potendo così attuare il loro piano di phishing (il phishing è una frode on-line ideata per sottrarre con l’inganno numeri di carte di credito, password, informazioni su account personali).

Per i più esperti di voi, pubblico anche il codice sorgente dell’email, in modo che si possano leggere ulteriori informazioni che possono risultare utili per l’investigazione.

Delivered-To: *************************
Received: by 10.210.54.16 with SMTP id c16cs249617eba;
Tue, 11 Aug 2009 05:03:45 -0700 (PDT)
Received: by 10.114.12.14 with SMTP id 14mr1341800wal.209.1249992223068;
Tue, 11 Aug 2009 05:03:43 -0700 (PDT)
Return-Path:
Received: from 5ac74618.bb.sky.com (5ac74618.bb.sky.com [90.199.70.24])
by mx.google.com with ESMTP id 5si1059950pxi.58.2009.08.11.05.03.11;
Tue, 11 Aug 2009 05:03:42 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of ibfmoxm@5ac74618.bb.sky.com designates 90.199.70.24 as permitted sender) client-ip=90.199.70.24;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of ibfmoxm@5ac74618.bb.sky.com designates 90.199.70.24 as permitted sender) smtp.mail=ibfmoxm@5ac74618.bb.sky.com
Received: from 90.199.70.24 by mail.bluetowels.com; Tue, 11 Aug 2009 12:03:41 +0000
Date: Tue, 11 Aug 2009 12:03:41 +0000
From: “servizi@bpmbancing.it”
X-Mailer: The Bat! (v3.71.01) Professional
Reply-To: ibfmoxm@5ac74618.bb.sky.com
X-Priority: 3 (Normal)
Message-ID: <729746123.67486208026806@5ac74618.bb.sky.com>
To: *************************
Subject: Comunicazione 14222 – www.bpmbanking.it
MIME-Version: 1.0
Content-Type: text/html;
charset=iso-8859-2
Content-Transfer-Encoding: 7bit

Sperando di esservi stato utile vi saluto, augurandovi buone vacanze!
dal vostro Niravo*

Arriva via e-mail la nuova truffa online da parte di criminali informatici che si spacciano per la nota banca veneta Banca Popolare di Vicenza.

Il mittente: Banca Popolare Di Vicenza <contl@vicenza.it>
L’oggetto dell’email: Dovete confermare che non siete una vittima del furto di identita
Il contenuto dell’e-mail:
Caro membro di Banca Popolare Di Vicenza,
Per i motivi di sicurezza abbiamo sospeso il vostro conto di operazioni bancarie in linea a Banca Popolare Di Vicenza.
Dovete confermare che non siete una vittima del furto di identita per ristabilire il vostro conto.
Dovete scattare il collegamento qui sotto e riempire la forma alla seguente pagina per realizzare il processo di verifica.
http://www.banca.popolare.vicenza.it/bpvi/Navigate/HomePage.html
Li ringraziamo per la vostra attenzione rapida a questa materia.
Capisca prego che questa una misura di sicurezza progettata per contribuire a proteggere voi ed il vostro conto.
Chiediamo scusa per eventuali inconvenienti.
Non risponda prego a questo E-mail. La posta trasmessa a questo indirizzo non pu essere risposta a.

In realtà andando a cliccare sul link sopra riportato si va su questo sito mascherato da sito di Banca Popoalre di Vicenza: http://server.enzu.com.au/mda.html

*** ATTENZIONE !!! E’ UNA TRUFFA !!! ***

Per i più esperti di voi vado ora a pubblicare il messaggio originale dell’e-mail con tutti i dati tecnici della stessa.


Delivered-To: la-mia-email-privata
Received: by 10.210.54.16 with SMTP id c16cs1750eba;
Wed, 5 Aug 2009 23:55:56 -0700 (PDT)
Received: by 10.151.27.9 with SMTP id e9mr2491775ybj.172.1249541753637;
Wed, 05 Aug 2009 23:55:53 -0700 (PDT)
Return-Path: <contl@vicenza.it>
Received: from dcjazz (dcjazz.com [204.9.137.35])
by mx.google.com with ESMTP id 5si5197256ywh.31.2009.08.05.23.55.53;
Wed, 05 Aug 2009 23:55:53 -0700 (PDT)
Received-SPF: neutral (google.com: 204.9.137.35 is neither permitted nor denied by best guess record for domain of contl@vicenza.it) client-ip=204.9.137.35;
Authentication-Results: mx.google.com; spf=neutral (google.com: 204.9.137.35 is neither permitted nor denied by best guess record for domain of contl@vicenza.it) smtp.mail=contl@vicenza.it
Received: from User [86.51.146.166] by dcjazz with ESMTP
(SMTPD-8.22) id AE5F147C4; Thu, 06 Aug 2009 02:55:27 -0400
Reply-To: <contli@vicenza.it>
From: "Banca Popolare Di Vicenza"<contl@vicenza.it>
Subject: Dovete confermare che non siete una vittima del furto di identita
Date: Thu, 6 Aug 2009 09:54:54 +0300
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <200908060255593.SM01160@User>

L’email arriva con oggetto “Bonus Di Fedelta – 250,00 Euro“. Aprendola leggiamo:

Congratulazion !
Gentile Cliente
Mondo BancoPosta premia il suo account oggi (21/07/2009) con un bonus di fedeltа pari a 250,00 Euro.
Il bonus le sarra accreditato nelle prossime 48 ore.
Per ricevere il bonus necesario accesare ai servizi online entro 48 ore dalla ricezione di guesta e-mail.
Importo bonus vinto: 249.00
Comissioni: 1.00
Importo totale: 250.00
Accedi ai servizi online per accreditare il bonus fedelta :
Asccedi ai servizi online per accreditare il bonus [link*]
La ringraziamo per aver scelto i nostri servizi
Distinti saluti

Notiamo subito il saluto con un leggero accento veneziano “congratulazion“, come si direbbe a Venezia “Congratulazion vecio, ti ga vinto dosentoesinquanta euri”. Ok, può essere che ti scrivano dall’ufficio postale di Piazza San Marco :-)

All’altezza della voce “Asccedi ai servizi online per accreditare il bonus” (notare anche qui la leggera influenza del dialetto veneto trevisano con la parola “Asccedi“) c’è un link che ti manda alla pagina camuffata di Poste Italiane dove, se cadrete nel tranello, inserendo i vostri dati di accesso (sempre che abbiate un account con Poste Italiane) rimarrete fregati!

Il link è questo:
http://www.gweixiu.com/Upfiles/proimages/gore.htm
e successivamente un redirect al sito reale che punta a:
http://donatela.info/davidie/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid=

Ora, fortunatamente il mio Gmail mi segnala l’email come SPAM per cui mi sento abbastanza protetto perchè le email considerate SPAM è sempre bene non aprirle, ma la cosa che mi è piaciuta veramente tanto e che con il mio nuovo Firefox 3.5.1 mi viene bloccato l’accesso al sito contraffatto!

In questo specifico caso quindi, ho avuto due segnalazioni importanti per non entrare in questo tipo di sito truffa, una è il mio programma di posta elettronica, e l’altra è stata il mio browser.

Insomma un tentativo di phishing bello e buono.
Di seguito l’intestazione del messaggio che, ricordo, essere identificabile nella “sorgente del messaggio”. Per Gmail lo trovate su “mostra originale”.

Received: by 10.204.62.13 with SMTP id v13cs314761bkh;
Thu, 23 Jul 2009 05:56:02 -0700 (PDT)
Received: by 10.210.42.20 with SMTP id p20mr8143275ebp.60.1248353762762;
Thu, 23 Jul 2009 05:56:02 -0700 (PDT)
Return-Path:
Received: from taugamma.de (taugamma.de [212.78.103.164])
by mx.google.com with ESMTP id 21si3257108ewy.90.2009.07.23.05.56.02;
Thu, 23 Jul 2009 05:56:02 -0700 (PDT)
Received-SPF: neutral (google.com: 212.78.103.164 is neither permitted nor denied by domain of info@posteitaliane.it) client-ip=212.78.103.164;
Authentication-Results: mx.google.com; spf=neutral (google.com: 212.78.103.164 is neither permitted nor denied by domain of info@posteitaliane.it) smtp.mail=info@posteitaliane.it
Received: from User [212.36.38.66] by taugamma.de with ESMTP
(SMTPD-10.02) id ACE31C4C; Thu, 23 Jul 2009 14:51:47 +0200
From: “Poste Italiane(BancoPosta)”
Subject: Bonus Di Fedelta – 250,00 Euro
Date: Thu, 23 Jul 2009 13:51:52 +0100
MIME-Version: 1.0
Content-Type: text/html;
charset=”Windows-1251″
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-Id: <200907231451834.SM08304@User>

Con questi dati, volendo, possiamo cercare in internet un sito che offra servizio gratuito di Email Trace – Email Tracking ( come ad esempio il primo che ho trovato è quello di ip-address.com ) in modo capire almeno il nome del provider (in questo caso NETCOMPLETT-NET, dalla cittadina di Sachsen-Anhalt in Germania) che ha permesso la partenza di questa email. Con la funzione whois poi sarebbe possibile individuare la email del provider stesso al quale si potrebbe scrivere per denunciare il fatto.

PS: ovviamente il mittente non è l’email di Poste Italiane… questo dato è facile da modificare in una email spam… ma questo lo spiegheremo in un altra puntata.

Fonte > www.mondoinformatico.info
Autore > Niravo

- – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – -

Benvenuto in Virgin.

Noi siamo lieti che Lei desidera di unirsi con la nostra squadra! Lei deve collaborare con noi occupato come presentante della societa (manager regionale), ritenere il dovere di partecipare nelle operazioni con clienti. Per Lei sara’ nacessario rapidamente ricevere pagamenti.
Questo un modo migliore per offrire un nuovo servizio finanziario per nostri clienti grazie alla Sua collaborazione. Percio’ questo lavoro Vi porta via soli 2-3 ore al giorno.
Il lavoro non complicato, tipico. Lei deve realizzare gli pagamenti per i nostri clienti. I nostri manager sarano alla Sua disposizione tutto periodo di prova a spiegare tutto che necessario per la collaborazione con noi.
Vi offriremo uno stipendio fluttuante: il primo mese Lei gudagna fino a 1700 euro e successivamente tutto dipende da Lei, lavora di piu’ e guadagno aumenta molto veloce.
Rimasto da fare solo un passo per iniziare una buona carriera.
Manda un e-mail al indirizzo: r.vacancy.vir@gmail.com
Nella lettera indicare il Suo nome, cognome, numero di telefono e un’ora conveniente per chiamata. Cosi’ i nostri manager avranno la possibilita di collegarsi telefonicamente con Lei e rispondere a tutte le Sue domande..

Distinti saluti,

Luigi Galli
Senior Managing Director,
Virgin, Italy

- – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – -

e per i più esperti di voi, eccovi i dettagli dell’invio:

Received: by 10.210.120.19 with SMTP id s19cs101940ebc;
Fri, 17 Jul 2009 20:44:59 -0700 (PDT)
Received: by 10.141.49.20 with SMTP id b20mr962385rvk.1.1247888697778;
Fri, 17 Jul 2009 20:44:57 -0700 (PDT)
Return-Path: <0-rv@colossus>
Received: from colossus (host130.190-137-140.telecom.net.ar [190.137.140.130])
by mx.google.com with ESMTP id 15si4030466pzk.92.2009.07.17.20.44.51;
Fri, 17 Jul 2009 20:44:57 -0700 (PDT)
Received-SPF: neutral (google.com: 190.137.140.130 is neither permitted nor denied by best guess record for domain of 0-rv@colossus) client-ip=190.137.140.130;
Authentication-Results: mx.google.com; spf=neutral (google.com: 190.137.140.130 is neither permitted nor denied by best guess record for domain of 0-rv@colossus) smtp.mail=0-rv@colossus
Received: from 190.137.140.130 by mail1.viacom.com; Sat, 18 Jul 2009 00:44:55 -0300
From: "Valentin Bridges" 0-rv@colossus
Subject: il successo all'inizio della sua carriera
Date: Sat, 18 Jul 2009 00:44:55 -0300
MIME-Version: 1.0
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
Thread-Index: Aca6QI2SHYTD3XX513FWSW9SHUOH4P==
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2527
Message-ID: 01ca0740$f7ca4490$828c89be@0-rv