Riconoscere le email truffaldine

Fri 31 January 2014 | in Misc

Un piccolo vademecum su come riconoscere una email truffaldina da una lecita.

Buongiorno a tutti.Oggi voglio pubblicare un piccolo vademecum che vi aiuterà a riconoscere la maggior parte delle email truffaldine che potrebbero prima o poi capitare nella vostra casella.

Oltre a tutti questi consigli, come al solito è opportuna una buona dose di diffidenza, che su internet non guasta mai.

Per questo esempio useremo una email creata ad-hoc che vi ho riportato qui sotto:

Da Mr. Robin Taylor ,

Mi aspetto che la mia lettera di incontrarvi in buona salute e il vostro migliore stato d'animo di oggi , il mio nome è Mr. Robin Taylor , Assistant Manager Ubs Investment Bank London Branch . Ho deciso di cercare una riservata cooperazione con voi in esecuzione del contratto descritto qui - sotto per il nostro sia reciproco vantaggio e vi esorto a mantenere il top secret a causa della natura di questa transazione . Durante la revisione dei conti bancari in nostra banca , ho scoperto una somma totale dei fondi non reclamati di £ 15,400 , 000.00 GBP ( Quindici milione e quattrocentomila sterline britanniche Sterling ) in un conto che appartiene a uno dei nostri cliente straniero in ritardo (Late Mr. Stephen Richard ), uno scienziato americano e ingegnere che purtroppo ha perso la vita e la famiglia in un incidente d'auto mortale .

Dopo aver attraversato il suo fascicolo personale nella mia banca , ho scoperto che è morto senza eredi specifico per questi fondi . Volentieri cerco il vostro consenso , per presentarvi quale il parente più prossimo / erede del defunto in modo che i proventi di questo account per un valore di £ 15,400 , 000.00 GBP sarà rilasciato a voi come beneficiario , che vi verranno comunicate in rapporto percentuale al 60% per me e per il 40 % a voi , rispettivamente . Tutto quello che chiedo è la vostra massima leale collaborazione , la fiducia e la massima riservatezza per realizzare questo progetto con successo . Ho lavorato con attenzione le modalità per l'esecuzione di questa operazione in regime di legittima per proteggere l'utente da qualsiasi violazione della legge , sia nel vostro Paese e qui in Inghilterra quando il fondo viene trasferito al vostro conto bancario . Dopo la vostra considerazione e l'accettazione di questa offerta , vi prego di inviarmi subito le seguenti informazioni .

  • Il vostro nome completo ,
  • Il tuo Indirizzo di contatto
  • Il vostro diretta numero di telefono cellulare .
  • La data di nascita

Così posso inviare i dati del nostro database banca a comparire nel sistema bancario che si sta nominato il parente più prossimo / erede beneficiario del fondo , e poi io guiderò la vostra comunicazione con Ubs Investment Bank per il rilascio immediato e il trasferimento del fondo per voi , io aspetto la tua risposta immediata alla mia e-mail privata : [email protected] , così possiamo iniziare subito l'operazione .

Grazie in apprezzamento e attesa della vostra risposta urgente .

Cordiali saluti ,

Mr. Robin Taylor Assistant Manager Ubs Investment Bank. Numero di cellulare : +447024053928 E- mail:[email protected]

Ovviamente questo è un esempio esagerato, ma i truffatori possono essere molto più abili e subdoli di così.

Ora analizzeremo per bene tutte le caratteristiche che la rendono una email truffaldina.

La forma

Per prima cosa vediamo come inizia la lettera:

Da Mr. Robin Taylor

Sicuramente non è il modo ideale di iniziare una lettera e questo dovrebbe già metterci in allarme, ma immaginate quella che sembra una email dalla vostra banca che inizia con

Gentile cliente,

Oppure

Gentile Signore/a,

Solitamente le banche e le aziende come PayPal usano gli estremi lasciati durante la sottoscrizione del contratto, quindi una apertura non truffaldina sarebbe una cosa del tipo

Gentile |nome| |cognome|,

Sicuramente una lettera che non inizia secondo i canoni tradizionali di una lettera dovrebbe insospettirci non poco.

La grammatica

La maggior parte delle email truffaldine viene tradotta con l'ausilio di traduttori automatici e perciò risulta sgrammaticata in maniera anche buffa, prendiamo per esempio:

ho scoperto una somma totale dei fondi non reclamati di £ 15,400 , 000.00 GBP ( Quindici milione e quattrocentomila sterline britanniche Sterling ) in un conto che appartiene a uno dei nostri cliente straniero in ritardo (Late Mr. Stephen Richard ),

Il primo errore è evidente, la dicitura corretta sarebbe "quindici milioni"; il secondo invece, per coloro che conoscono l'inglese è una ripetizione dato che Sterling si traduce in italiano con Sterlina.

Il terzo errore è "in ritardo", per cosa? Per il bus, per venire a casa? Io sono un tipo paziente e posso aspettare anche una buona mezzora. Ma soprattutto la seconda ripetizione con Late (in ritardo).

In realtà probabilmente per "late" si intende "defunto". Quindi è molto probabilmente la classica truffa del cliente o riccone defunto senza eredi.

Allenatevi a trovare le altre sgrammaticature

L'oggetto e la richiesta

Come è evidente dalla email, l'oggetto non è dei più leciti, legali, etici o sensati: dividere il contenuto di un conto corrente di un morto per ricavarne un beneficio personale e soprattutto farlo con una persona che non si conosce nemmeno.

Più avanti nella mail possiamo vedere anche cosa ci viene rischiesto per entrare in possesso del nostro "malloppo":

Dopo la vostra considerazione e l'accettazione di questa offerta , vi prego di inviarmi subito le seguenti informazioni .

  • Il vostro nome completo ,
  • Il tuo Indirizzo di contatto
  • Il vostro diretta numero di telefono cellulare .
  • La data di nascita

Che corrisponde esattamente a tutto il materiale necessario per un furto d'identità in piena regola.

Delle truffe più fini sono quelle dell'"aggiornamento dati" nelle quali venite incitati a cliccare su un link per entrare nella pagina della vostra banca e riattivare tutti i servizi. Se volete farlo, digitate manualmente l'indirizzo della vostra banca nel browser e non seguite il link, nel caso vi fosse veramente necessità dei vostri dati sarà scritto nella home page della vostra banca.

La testata

Per i più smanettoni è possibile vedere l'header della email e verificare eventuali incongruenze, immaginiamo un header del genere:

Return-Path: [email protected]

Received: from |indirizzo| (192.xxx.xx.116) by |indirizzo| (8.xxx.xxx.22)

id 52E87465001BF2CF for ||indirizzo destinatario||; Thu, 30 Jan 2014 20:16:31 +0100

Received: from |indirizzo| (EHLO |indirizzo|) ([192.xxx.xxx.164])

by |indirizzo|

with ESMTP id YFF69486;

Thu, 30 Jan 2014 20:16:18 +0100 (CET)

Authentication-Results: |indirizzo|; dkim=neutral (message not signed) header.i=none

Received-SPF: SoftFail identity=mailfrom; client-ip=198.xx.xxx.134;

receiver=|indirizzo|;

envelope-from="[email protected]";

x-sender="[email protected]";

x-conformance=spf_only;

x-record-type="v=spf1"

X-LREMOTE-IP: 198.xx.xxx.134

Received: from xxx.hoxxxxxxika.org ([198.xx.xxx.134])

by |indirizzo| with ESMTP; 30 Jan 2014 18:31:53 +0000

Received: from localhost ([127.0.0.1]:37178 helo=jhupas.com)

by xxx.hoxxxxxxika.org with esmtpa (Exim 4.82)

(envelope-from |[email protected]|)

id 1W8wOD-00057s-DC; Thu, 30 Jan 2014 11:31:01 -0700

Received: from 41.xxx.xxx.138 ([41.xxx.xxx.138])

(SquirrelMail authenticated user [email protected])

by jhupas.com with HTTP;

Thu, 30 Jan 2014 11:31:01 -0700

Message-ID: |[email protected]|

Date: 30/01/2014 19.31

Subject: Da Mr. Robin Taylor ,

From: "Mr. Robin Taylor" |[email protected]|

Reply-To: [email protected]

User-Agent: SquirrelMail/1.4.22

MIME-Version: 1.0

Content-Type: text/plain;charset=iso-8859-1

Content-Transfer-Encoding: 8bit

X-Priority: 3 (Normal)

Importance: Normal

X-AntiAbuse: This header was added to track abuse, please include it with any abuse report

X-AntiAbuse: Primary Hostname - hos.hoxxxxxxika.org

X-AntiAbuse: Original Domain - |dominio|

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Sender Address Domain - hotmail.com

X-Get-Message-Sender-Via: xxx.hoxxxxxxika.org: authenticated_id: [email protected]

X-Junkmail-Status: score=38/55, host=|indirizzo|

X-Junkmail-Signature-Raw: score=suspect(3),

refid=str=0001.0A0C0205.52EAA50E.011C,ss=2,re=0.000,fgs=0,

ip=198.xx.xxx.134,

so=2011-06-21 16:49:39,

dmn=2011-06-08 23:29:05,

mode=multiengine

X-Junkmail-IWF: false

X-Mirapoint-Virus-RAPID-Raw: score=unknown(0),

refid=str=0001.0A0C0205.52EAA50E.011C,ss=2,re=0.000,fgs=0,

ip=198.xx.xxx.134,

so=2011-06-21 16:49:39,

dmn=2011-06-08 23:29:05

X-Mirapoint-Loop-Id: f2b1bb9fe6ca62f6b32ddcc3759bbff0

X-libjamoibt: 258

Prima cosa: dato che l'indirizzo da cui "è partito" il messaggio fa parte di hotmail, ci conviene verificare come il nostro Taylor si è autenticato sul server:

From: "Mr. Robin Taylor" [email protected]

[...]

(SquirrelMail authenticated user [email protected])

E qui abbiamo una prima incongruenza, solitamente un utente si autentica sul server con lo stesso indirizzo con cui invia la mail.

Il nostro Taylor dice di essere Inglese, quindi vediamo per dove è rimbalzata l'email, analizzando a ritroso tutte le righe "received from":

Received: from |indirizzo| (192.xxx.xx.116) by |indirizzo| (8.xxx.xxx.22)

id 52E87465001BF2CF for ||indirizzo destinatario||; Thu, 30 Jan 2014 20:16:31 +0100

Received: from |indirizzo| (EHLO |indirizzo|) ([192.xxx.xxx.164])

by |indirizzo|

[...]

Received: from xxx.hoxxxxxxika.org ([198.xx.xxx.134])

by |indirizzo| with ESMTP; 30 Jan 2014 18:31:53 +0000

Received: from localhost ([127.0.0.1]:37178 helo=jhupas.com)

by xxx.hoxxxxxxika.org with esmtpa (Exim 4.82)

[...]

Received: from 41.xxx.xxx.138 ([41.xxx.xxx.138])

(SquirrelMail authenticated user [email protected])

E vedremo che, per esempio l'email è partita dalla Nigeria, rimbalzando per un server Americano per poi arrivare a noi. E qui di Inghilterra neanche l'ombra.

Alcuni server forniscono delle informazioni anti abuso, più semplici da leggere:

X-AntiAbuse: This header was added to track abuse, please include it with any abuse report

X-AntiAbuse: Primary Hostname - xxx.hoxxxxxxika.org

X-AntiAbuse: Original Domain - |dominio|

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Sender Address Domain - hotmail.com

Come possiamo vedere l'hostname primario da dove è partita la mail non ha a che fare con hotmail o l'inghilterra.

Questo è quanto...

Buona analisi forense a tutti!

Penaz.

social