Poco dopo la mezzanotte ricevo questa serie di messaggi da parte di Marco:
Possiedo da tempo un indirizzo email di libero, che non trovo mai il tempo da cancellare perché da anni ricevo in continuazione spam di ogni tipo e di ogni genere (ormai Libero l’ho abbandonato ed ora uso un’altra email)
Ora, fra le molteplici email spam arrivate mi si segnala che ho un servizio vantaggioso su Tim (quando io sono Vodafone ma vabbè). Vado a vedere l’indirizzo del mittente
bounce_19084@deltaservice.cloud
Decido quindi di googlare “deltaservice.cloud”.. e mi ritrovo su un presunto sito di Poste Italiane
Dico presunto perché nell’indirizzo non appare il lucchetto verde, il segno distintivo dell’autenticità del marchio in questione. Il sito che ho scovato, a suo dire, offre l’opportunita di ottenere un bonus di 500€…. basta solo mettere dati anagrafici e dati bancari
Marco è stato bravo, ha seguito le pratiche anti truffa che proprio volevo spiegarvi in un “tutorial” (potete consultarlo qui). Veniamo al sito Deltaservice.cloud e al messaggio che porta in home page:
Gentile Cliente,
Con Decreto del Presidente Della Repubblica, Unicredit Banca e Poste Italiane sono state autorizzate alla distribuzione dei Buoni Famiglia di 500 euro.
Il nominativo segnalato dal Ministero delle Finanze, può ricevere esclusivamente il Buono Famiglia di 500 euro in denaro, attraverso il versamento sul conto carta di credito o prepagata.
Poste Italiane una volta ricevuti i dati anagrafici con i relativi dati finanziari effettuerà immediatamente l’ accredito dell’ importo dovuto.
Lascia nella prossima pagina il tuo contatto telefonico e i dati finanziari, sarai contattato da un nostro operatore per la conferma anagrafica e l’accredito della somma.
Un decreto del Presidente della Repubblica per dei “Buoni Famiglia di 500 euro” che autorizza a distribuirli una banca e le Poste Italiane? Non vi è alcuna traccia, ma andiamo avanti. Cosa succede se cliccate sul tasto “avanti“? Vi compare un falso sito delle Poste Italiane dove vi invitano a inserire i vostri dati utente e password per accedere al vostro account (se ne avete uno):
Nessuno dei link presenti nella pagina è utilizzabile, sono completamente fasulli incluso il “Registrati“. È evidente il tentativo di phishing.
Il Whois del dominio Deltaservice.cloud risulta incredibilmente in chiaro, senza un oscuramento dei dati e riportante il nome di una persona italiana di nome Ilaria *********, che prima di accusare vi invito a leggere tutto l’articolo:
Domain Name: deltaservice.cloud
Registry Domain ID: DAD4A6FAF4F514588B827F9832C3E5C6E-NSR
Registrar WHOIS Server: whois.opensrs.net
Registrar URL: www.opensrs.com
Updated Date: 2017-06-07T09:26:43Z
Creation Date: 2016-12-13T03:02:08Z
Registry Expiry Date: 2017-12-13T03:02:08Z
Registrar: Tucows Domains Inc.
Registrar IANA ID: 69
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Registry Registrant ID: C4973E46AD23B4ADEA80829529552E85C-NSR
Registrant Name: ILARIA *********
Registrant Organization: ILARIA *********
Registrant Street: *********
Registrant Street:
Registrant Street:
Registrant City: *********
Registrant State/Province: *********
Registrant Postal Code: *********
Registrant Country: IT
Registrant Phone: +33.754239294
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: *********@*********.*********
Nota: il numero di telefono +33.754239294 è uno di quelli utilizzati per ricevere SMS online tramite siti come Receive-sms-online.info per evitare di usare il proprio numero personale.
A quanto risulta da un ulteriore ricerca, la stessa persona avrebbe registrato il dominio Gammaservice.cloud che rimanda ad un sito con un’altra attività truffaldina che utilizza il marchio Vodafone:
Gentile Cliente,
questa e’ una campagna di pomozione della nostra nuova offerta Giga Year, con la quale puoi navigare dal tuo smartphone a Giga illimitati fino alla fine dell’anno.
In questo caso vi porta ad un falso sito Vodafone con la richiesta di inserire i dati della vostra carta di credito:
Curioso che il file a cui rimandi il form si chiami “CardDataAction.php“:
Ora vi spiego perché ritengo che sia in qualche modo “incredibile” che ci sia il nome in chiaro dall’interrogazione Whois dei due domini. Per prima cosa è da folli avviare truffe di questo genere con la registrazione dei domini in chiaro e accessibile al pubblico, in secondo luogo è una pratica comune dei truffatori usare i dati personali di altre persone probabilmente già vittime di qualche attività di phishing. Infatti alcuni domini vengono registrati con nomi reali, a volte pagati con le carte di credito già precedentemente rubate, per depistare eventuali azioni giudiziarie. Per questo motivo ho contattato direttamente l’unica persona che via Facebook risulta corrispondere a nome, cognome e città di residenza spiegandole il problema e invitandola a rivolgersi alle forze dell’ordine, in questo caso della Polizia Postale, per tutelare la sua persona contro i malintenzionati. Di conseguenza rinnovo l’invito: state attenti a non accusare subito la persona che risulta titolare di un dominio, in caso di dubbio contattatela e fate come me.
