AKLab.org

Since 2006

[TRUFFE]Agenti RIA e MoneyGram: occhio alle truffe – Aggiornamento

Ho già parlato di truffe rivolte alla clientela dei MoneyTransfer (o più precisamente di persone che diventano clienti di un servizio di Money Transfer a seguito di una truffa).
Oggi voglio scrivere direttamente agli operatori, cioè a quelle persone che hanno inserito il servizio di invio di denaro all'interno della propria attività. Anche voi (o per meglio dire NOI, visto che lo faccio anche io) siamo soggetti a truffe. Da clienti disonesti e anche a mezzo email. Su quest'ultima categoria mi voglio soffermare. 

Controllando la casella spam del mio dominio aziendale (ospitato su gmail.com) trovo questa email:

 

email

Tralasciando il chiaro messaggio di allerta di Gmail è utile guardare bene tutto.

Ma siccome son curioso ho cliccato su quel link e scaricato il file, ovviamente un bel trojan (TR/Dropen.gen):

avira

 

Ma approfondiamo: apro il sito web del mittente (un sospetto support-ria.com) e mi trovo una pagina di Under Construction degna dei vecchi siti amatoriali su digilander. Nemmeno un logo della vera RIA.
E' il momento del whois: 

Raw WHOIS Record

Domain Name: SUPPORT-RIA.COM
Registry Domain ID: 2058271642_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.publicdomainregistry.com
Registrar URL: www.publicdomainregistry.com
Updated Date: 2016-09-09T13:06:25Z
Creation Date: 2016-09-09T13:06:25Z
Registrar Registration Expiration Date: 2017-09-09T13:06:25Z
Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com
Registrar IANA ID: 303
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID: Not Available From Registry
Registrant Name: fabiano
Registrant Organization: 
Registrant Street: marciano   
Registrant City: roma
Registrant State/Province: Roma
Registrant Postal Code: 00100
Registrant Country: IT
Registrant Phone: +39.3454950609
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: testmetry@hotmail.com
Registry Admin ID: Not Available From Registry
Admin Name: fabiano
Admin Organization: 
Admin Street: marciano  
Admin City: roma
Admin State/Province: Roma
Admin Postal Code: 00100
Admin Country: IT
Admin Phone: +39.3454950609
Admin Phone Ext: 
Admin Fax: 
Admin Fax Ext: 
Admin Email: testmetry@hotmail.com
Registry Tech ID: Not Available From Registry
Tech Name: fabiano
Tech Organization: 
Tech Street: marciano  
Tech City: roma
Tech State/Province: Roma
Tech Postal Code: 00100
Tech Country: IT
Tech Phone: +39.3454950609
Tech Phone Ext: 
Tech Fax: 
Tech Fax Ext: 
Tech Email: testmetry@hotmail.com
Name Server: ns1.md-uk-1.webhostbox.net
Name Server: ns2.md-uk-1.webhostbox.net
DNSSEC:Unsigned
Registrar Abuse Contact Email: abuse-contact@publicdomainregistry.com
Registrar Abuse Contact Phone: +1.2013775952
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2016-10-12T14:55:45Z <<<

 

Abbastanza chiaro che nulla è correlato alla vera RIA Financial. Purtroppo quel numero di telefono risulta spento, risponde la TIM che ci comunica l'irreperibilità dell'utente cercato. Non oscuro il numero e nemmeno l'email per due semplici ragioni:

Seguendo l'email troviamo una graziosa sorpresa: il nostro truffatore ha registrato un dominio per truffare gli agenti MoneyGram: moneygram-office.com utilizzando come hosting bitcoin-dns.hosting, un provider che accetta pagamenti tramite gli anonimi bitcoin. Il dominio support-ria.com invece risulta registrato su webhostbox.net (o almeno questi sono i namerserv utilizzati) che dovrebbe fare capo a http://www.webhostbox.es . Tra l'altro il nostro ladruncolo usa sendgrid.net per inviare le email.

testmetry

Ora: a questo genio voglio suggerire di utilizzare i soldi e i dati che ha rubato nella sua carriera  per delle buone medicine. Immagino che con tutto quello che gli sarà stato augurato dai truffati come minimo un cagotto gli sarà venuto.

Ai colleghi agenti voglio ricordare di rileggersi l'ABC delle linee guida che ogni singolo Money Transfer ci ha fornito e di stare sempre attenti a ciò che si apre. Possibimente migrate su gmail che da questo punto di vista ha ottimi filtri per eliminare queste email facendovi dormire sonni molto più tranquilli.

 

EDIT 25/10/16

Nuova email dal nostro eroe di Fabriano:

trojan2

Buongiorno Agente !

Siamo Lieti di informarLe Che per la festa di Halloween  2016 abbiamo tariffe speciale

per i nostri clienti Ria

Le Tariffe entrano in Vigore dal 28 ottobre Fino al 1 di Novembre !

La invitiamo di stampare le Tariffe Speciale Halloween 2016 ed exporlo alla vista dei Clienti !

 

Medesime modalità, medesimo indirizzo, medesimo filtraggio da parte di Gmail. 

QR Code - Take this post Mobile!

Use this unique QR (Quick Response) code with your smart device. The code will save the url of this webpage to the device for mobile sharing and storage.

Alek

Da sempre appassionato di informatica e tecnologia. Dall'uscita degli smartphone non ha più potuto farne a meno. Attualmente follemente innamorato di Android e dei dispositivi Pure Google Experience

More Posts - Website

Follow Me:
TwitterGoogle Plus

, , , , , , , , , , , ,

%d blogger hanno fatto clic su Mi Piace per questo: