Roma – “Manuela Manini ti ha invitato ad aprire un nuovo account di posta G-mail”: si presenta così un messaggio spammatorio che ieri ha raggiunto un numero enorme di utenti italiani, un’email che assomiglia ad un invito ad aprire un account sulla posta di Google ma che in realtà nasconde un’operazione di phishing .
Lo spam è stato intenso: nella sola giornata di ieri sono più di 200 le segnalazioni giunte in redazione da altrettanti utenti la cui mailbox è stata intasata , in alcuni casi persino decine di volte. Una reazione che sembra testimoniare anche un’accresciuta capacità di distinguere i messaggi truffaldini da quelli legittimi.
Nel messaggio viene proposto un link, come http://mail.g00gle.com/mail/c-8n84 561nt8-41p4mmt369-l7456tgb63, che è però un collegamento fasullo: punta infatti a http://www.secretwindow.biz/invito/crea_nuovo_account/. L’utilizzo di un nome a dominio simile a quello di Google, G00gle, si ritiene possa aver ingannato un alto numero di utenti.
Chi ha realizzato questa pagina ha sfruttato la foto di una ragazza probabilmente del tutto inconsapevole dell’uso della sua immagine per un’operazione di questo tipo. La pagina, vagamente somigliante a quelle del servizio Gmail di Google propone il download di un file.exe: qualsiasi link su quella pagina porta all’apertura del file.
“Come noterete – scrive Luca C. – non è stata usata nessuna tecnica “avanzata” per camuffare il link,è semplicemente HTML.Il sito non si propone di rubare l’identità dell’utente, ma solo di scaricare dei programmi eseguibili”. Per gli utenti Windows, aprire quel file può significare consegnare agli autori di questo schema il controllo del proprio computer , sia per indurre il computer a collegarsi a numeri a pagamento sia per tenere aperta una backdoor di accesso da remoto.
Da una ricerca sullo WHOIS emerge che a registrare il sito secretwindow.biz è stata una società di Wetchester , in California, ma è assai probabile che si tratti di una intestazione fittizia. Lo WHOIS rivela anche che i dati della registrazione sono stati aggiornati proprio ieri, segno che chi utilizza in questo momento questo dominio a fini truffaldini ha inondato la rete con i suoi messaggi di phishing subito dopo aver attivato quelle pagine web.
Dietro questa operazione dunque c’è probabilmente anche un domain hijacking , ossia un blitz da parte dei truffatori per acquisire abusivamente un dominio da utilizzare per i propri scopi, dominio registrato da altri il 21 giugno del 2004, come risulta dai record dello WHOIS.
Di un certo interesse, sebbene sia tutto meno che sorprendente, il fatto che l’IP a cui oggi corrisponde quel dominio web provenga da computer cinesi : non è la prima volta che server non protetti in Cina o computer di cui si sia preventivamente ottenuto il controllo siano utilizzati per operazioni di questo tipo.