[TRUFFE]Agenti RIA e MoneyGram: occhio alle truffe – Aggiornamento

Ho già parlato di truffe rivolte alla clientela dei MoneyTransfer (o più precisamente di persone che diventano clienti di un servizio di Money Transfer a seguito di una truffa).
Oggi voglio scrivere direttamente agli operatori, cioè a quelle persone che hanno inserito il servizio di invio di denaro all'interno della propria attività. Anche voi (o per meglio dire NOI, visto che lo faccio anche io) siamo soggetti a truffe. Da clienti disonesti e anche a mezzo email. Su quest'ultima categoria mi voglio soffermare. 

Controllando la casella spam del mio dominio aziendale (ospitato su gmail.com) trovo questa email:

 

email

Tralasciando il chiaro messaggio di allerta di Gmail è utile guardare bene tutto.

  • Layout
    Per prima cosa non è assolutamente compatibile con il layout delle email inviate da RIA. Il logo utilizzato non è nemmeno quello attualmente in uso nelle comunicazioni ufficiali.
     
  • Mittente
    Il dominio dal quale è stata inviata l'email non è un dominio ufficiale di RIA Financial. L'unico dominio utilizzato è @riafinancial.com. Ogni altra variante è anomala e al 99% truffaldina.
     
  • Il contenuto
    Il contenuto della mail è fin troppo generico. E gli agenti RIA sanno benissimo come vengono scritte solitamente le email che sponsorizzano i cambi di tariffa. Sicuramente non cercando di far cliccare un tasto per visualizzare le novità.

Ma siccome son curioso ho cliccato su quel link e scaricato il file, ovviamente un bel trojan (TR/Dropen.gen):

avira

 

Ma approfondiamo: apro il sito web del mittente (un sospetto support-ria.com) e mi trovo una pagina di Under Construction degna dei vecchi siti amatoriali su digilander. Nemmeno un logo della vera RIA.
E' il momento del whois: 

Raw WHOIS Record

Domain Name: SUPPORT-RIA.COM
Registry Domain ID: 2058271642_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.publicdomainregistry.com
Registrar URL: www.publicdomainregistry.com
Updated Date: 2016-09-09T13:06:25Z
Creation Date: 2016-09-09T13:06:25Z
Registrar Registration Expiration Date: 2017-09-09T13:06:25Z
Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com
Registrar IANA ID: 303
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID: Not Available From Registry
Registrant Name: fabiano
Registrant Organization: 
Registrant Street: marciano   
Registrant City: roma
Registrant State/Province: Roma
Registrant Postal Code: 00100
Registrant Country: IT
Registrant Phone: +39.3454950609
Registrant Phone Ext: 
Registrant Fax: 
Registrant Fax Ext: 
Registrant Email: testmetry@hotmail.com
Registry Admin ID: Not Available From Registry
Admin Name: fabiano
Admin Organization: 
Admin Street: marciano  
Admin City: roma
Admin State/Province: Roma
Admin Postal Code: 00100
Admin Country: IT
Admin Phone: +39.3454950609
Admin Phone Ext: 
Admin Fax: 
Admin Fax Ext: 
Admin Email: testmetry@hotmail.com
Registry Tech ID: Not Available From Registry
Tech Name: fabiano
Tech Organization: 
Tech Street: marciano  
Tech City: roma
Tech State/Province: Roma
Tech Postal Code: 00100
Tech Country: IT
Tech Phone: +39.3454950609
Tech Phone Ext: 
Tech Fax: 
Tech Fax Ext: 
Tech Email: testmetry@hotmail.com
Name Server: ns1.md-uk-1.webhostbox.net
Name Server: ns2.md-uk-1.webhostbox.net
DNSSEC:Unsigned
Registrar Abuse Contact Email: abuse-contact@publicdomainregistry.com
Registrar Abuse Contact Phone: +1.2013775952
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2016-10-12T14:55:45Z <<<

 

Abbastanza chiaro che nulla è correlato alla vera RIA Financial. Purtroppo quel numero di telefono risulta spento, risponde la TIM che ci comunica l'irreperibilità dell'utente cercato. Non oscuro il numero e nemmeno l'email per due semplici ragioni:

  • è un truffatore
  • sono dati pubblici

Seguendo l'email troviamo una graziosa sorpresa: il nostro truffatore ha registrato un dominio per truffare gli agenti MoneyGram: moneygram-office.com utilizzando come hosting bitcoin-dns.hosting, un provider che accetta pagamenti tramite gli anonimi bitcoin. Il dominio support-ria.com invece risulta registrato su webhostbox.net (o almeno questi sono i namerserv utilizzati) che dovrebbe fare capo a http://www.webhostbox.es . Tra l'altro il nostro ladruncolo usa sendgrid.net per inviare le email.

testmetry

Ora: a questo genio voglio suggerire di utilizzare i soldi e i dati che ha rubato nella sua carriera  per delle buone medicine. Immagino che con tutto quello che gli sarà stato augurato dai truffati come minimo un cagotto gli sarà venuto.

Ai colleghi agenti voglio ricordare di rileggersi l'ABC delle linee guida che ogni singolo Money Transfer ci ha fornito e di stare sempre attenti a ciò che si apre. Possibimente migrate su gmail che da questo punto di vista ha ottimi filtri per eliminare queste email facendovi dormire sonni molto più tranquilli.

 

EDIT 25/10/16

Nuova email dal nostro eroe di Fabriano:

trojan2

Buongiorno Agente !

Siamo Lieti di informarLe Che per la festa di Halloween  2016 abbiamo tariffe speciale

per i nostri clienti Ria

Le Tariffe entrano in Vigore dal 28 ottobre Fino al 1 di Novembre !

La invitiamo di stampare le Tariffe Speciale Halloween 2016 ed exporlo alla vista dei Clienti !

 

Medesime modalità, medesimo indirizzo, medesimo filtraggio da parte di Gmail. 

---
Una VPN economica, veloce, sicura e affidabile? Prova Surf Shark!. Uno sconto dell'82% per gli utenti di aklab.org!
--
E tu cosa ne pensi? Faccelo sapere nei commenti e condividi il post sui social!
---
Vuoi rimanere sempre aggiornato? Non perdere nessun post: iscriviti al canale Telegram e alla pagina Facebook!