Oggi, nel pomeriggio, una persona che conosco riceve il classico SMS di phishing delle Poste, con URL “accedionlineweb.com”. Testo il sito, funziona bene graficamente ed è probabilmente uno di quei siti che prova a fare login sul sito reale con il codice OTP, così decido di segnalarlo all’abuse, anche se Chrome Mobile lo segnalava comunque come sito truffaldino.

Faccio un whois, guardo la data (di ieri, classico sintomo di attacco mordi e fuggi) e l’indirizzo d’abuse, e mando un’email, che viene però respinta (forse, ironia della sorte, perché ritenuta phishing…), quindi vado sul sito di NameCheap, il loro hosting, apro un ticket e faccio poi un thread su Twitter, dove mi comunicano praticamente subito che hanno sospeso l’account. Personalmente uso anche NameCheap per registrare i miei domini, mi trovo bene e devo dire che come gestione abusi molti ne parlano bene.

Sito aperto alle 13, chiuso alle 19. Bene. Poco dopo alcuni DNS hanno smesso proprio di servire il sito (Cloudflare, nel mio caso), mentre altri rimandano alla pagina di sospensione (Vodafone).

Comunque, riapro il whois e mi rendo conto di una cosa incredibile al giorno d’oggi: non hanno acquistato la privacy del dominio!. Ormai è semplicissimo rendere anonimo un qualsiasi dominio, cosa che molti fanno per evitare scocciatori o spammer, e questo dominio non lo è. I dati del whois, liberamente accessibili, sono:

ciro antonelli

name

via lazio 888

milano

mi

20019

IT

+39.335788383

antonellaromano@gmail.com

Non possiamo chiaramente sapere se son reali o meno e, se lo sono, se sono i dati del registrante o meno. Per di più, via Lazio 888 è praticamente l’indirizzo della stazione di Milano Smistamento, può essere dunque un indirizzo cercato online (anche se Google Maps lo riporta a Segrate, quindi è probabile che, se falso, non sia stato cercato con quel servizio).

Il numero telefonico è tecnicamente errato, dato che manca una cifra in coda (dovrebbe essere 335 788 383x), ma è possibile che si tratti di un errore d’immissione, cosa che certi moduli online facilitano anche. Una breve ricerca su tutte le possibili varianti del numero non dà alcun risultato di rilievo.

L’email utilizzata, invece, risulta già usata sul web per una tesi di laurea specialistica, tuttavia è ben possibile che sia stata rubata, quindi ho infine deciso di avvisare il Commissariato di PS Online di questo avvenimento, lasciando che siano loro a sbrigarsela. D’altronde, se devo farle io certe indagini, quantomeno voglio una pistola :D

Se mai avessi aggiornamenti, aggiornerò questi articoli.

Cosa fare, dunque, in caso di phishing?

La prima cosa è identificare l’hosting provider e il registrar, che spesso nel caso di acquisti del genere corrispondono alla stessa entità: ciò si può fare con Whois, che permette di vedere da chi è registrato il dominio e, solitamente, include già l’email per segnalare abusi. Se volete segnalare anche all’hosting è solitamente sufficiente utilizzare ping sul dominio e fare Whois sull’IP ottenuto, che normalmente permetterà di sapere a chi è intestato e a chi fare segnalazione.

Possono esistere eccezioni, specie quando si usano proxy o sistemi come Cloudflare, ma è ben probabile che in caso saranno loro a guidarvi.

Scrivete quindi una bella segnalazione, possibilmente in inglese (certo che se il sito è .it e hostato a Verona potete anche usare l’italiano, o anche il veneto se di vostro gradimento), spiegando il sito che viene imitato, e inviatela all’email che avete trovato o tramite un modulo di abuse online.

Se ritenete che le autorità possano essere interessate a conoscere questo fatto, segnalatelo al Commissariato di PS online o ad analogo sistema nella vostra giurisdizione. Qualcuno sostiene che tutti gli attacchi vadano segnalati, poiché ciò permette alle Forze dell’Ordine di avere un’idea generale degli avvenimenti, ma diciamocelo: il phishing c'è tutti i giorni, ha senso segnalarlo solo se è particolarmente pericoloso, ci sono buone probabilità che i perpetratori sono raggiungibili dalla giurisdizione in cui risiedete o se tira in ballo le autorità medesime, come nel caso delle truffe dove l’autore si finge la polizia o un tribunale per ottenere qualcosa.

In casi molto gravi o nel caso in cui invece ci siete cascati, è forse più opportuno procedere con un classico esposto, presentandosi di persona dalle autorità.