Ho già parlato di truffe rivolte alla clientela dei MoneyTransfer (o più precisamente di persone che diventano clienti di un servizio di Money Transfer a seguito di una truffa).
Oggi voglio scrivere direttamente agli operatori, cioè a quelle persone che hanno inserito il servizio di invio di denaro all'interno della propria attività. Anche voi (o per meglio dire NOI, visto che lo faccio anche io) siamo soggetti a truffe. Da clienti disonesti e anche a mezzo email. Su quest'ultima categoria mi voglio soffermare.
Controllando la casella spam del mio dominio aziendale (ospitato su gmail.com) trovo questa email:
Tralasciando il chiaro messaggio di allerta di Gmail è utile guardare bene tutto.
-
Layout
Per prima cosa non è assolutamente compatibile con il layout delle email inviate da RIA. Il logo utilizzato non è nemmeno quello attualmente in uso nelle comunicazioni ufficiali.
-
Mittente
Il dominio dal quale è stata inviata l'email non è un dominio ufficiale di RIA Financial. L'unico dominio utilizzato è @riafinancial.com. Ogni altra variante è anomala e al 99% truffaldina.
-
Il contenuto
Il contenuto della mail è fin troppo generico. E gli agenti RIA sanno benissimo come vengono scritte solitamente le email che sponsorizzano i cambi di tariffa. Sicuramente non cercando di far cliccare un tasto per visualizzare le novità.
Ma siccome son curioso ho cliccato su quel link e scaricato il file, ovviamente un bel trojan (TR/Dropen.gen):
Ma approfondiamo: apro il sito web del mittente (un sospetto support-ria.com) e mi trovo una pagina di Under Construction degna dei vecchi siti amatoriali su digilander. Nemmeno un logo della vera RIA.
E' il momento del whois:
Indice Post
Raw WHOIS Record
Domain Name: SUPPORT-RIA.COM Registry Domain ID: 2058271642_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.publicdomainregistry.com Registrar URL: www.publicdomainregistry.com Updated Date: 2016-09-09T13:06:25Z Creation Date: 2016-09-09T13:06:25Z Registrar Registration Expiration Date: 2017-09-09T13:06:25Z Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com Registrar IANA ID: 303 Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Registry Registrant ID: Not Available From Registry Registrant Name: fabiano Registrant Organization: Registrant Street: marciano Registrant City: roma Registrant State/Province: Roma Registrant Postal Code: 00100 Registrant Country: IT Registrant Phone: +39.3454950609 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: testmetry@hotmail.com Registry Admin ID: Not Available From Registry Admin Name: fabiano Admin Organization: Admin Street: marciano Admin City: roma Admin State/Province: Roma Admin Postal Code: 00100 Admin Country: IT Admin Phone: +39.3454950609 Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: testmetry@hotmail.com Registry Tech ID: Not Available From Registry Tech Name: fabiano Tech Organization: Tech Street: marciano Tech City: roma Tech State/Province: Roma Tech Postal Code: 00100 Tech Country: IT Tech Phone: +39.3454950609 Tech Phone Ext: Tech Fax: Tech Fax Ext: Tech Email: testmetry@hotmail.com Name Server: ns1.md-uk-1.webhostbox.net Name Server: ns2.md-uk-1.webhostbox.net DNSSEC:Unsigned Registrar Abuse Contact Email: abuse-contact@publicdomainregistry.com Registrar Abuse Contact Phone: +1.2013775952 URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2016-10-12T14:55:45Z <<<
Abbastanza chiaro che nulla è correlato alla vera RIA Financial. Purtroppo quel numero di telefono risulta spento, risponde la TIM che ci comunica l'irreperibilità dell'utente cercato. Non oscuro il numero e nemmeno l'email per due semplici ragioni:
- è un truffatore
- sono dati pubblici
Seguendo l'email troviamo una graziosa sorpresa: il nostro truffatore ha registrato un dominio per truffare gli agenti MoneyGram: moneygram-office.com utilizzando come hosting bitcoin-dns.hosting, un provider che accetta pagamenti tramite gli anonimi bitcoin. Il dominio support-ria.com invece risulta registrato su webhostbox.net (o almeno questi sono i namerserv utilizzati) che dovrebbe fare capo a http://www.webhostbox.es . Tra l'altro il nostro ladruncolo usa sendgrid.net per inviare le email.
Ora: a questo genio voglio suggerire di utilizzare i soldi e i dati che ha rubato nella sua carriera per delle buone medicine. Immagino che con tutto quello che gli sarà stato augurato dai truffati come minimo un cagotto gli sarà venuto.
Ai colleghi agenti voglio ricordare di rileggersi l'ABC delle linee guida che ogni singolo Money Transfer ci ha fornito e di stare sempre attenti a ciò che si apre. Possibimente migrate su gmail che da questo punto di vista ha ottimi filtri per eliminare queste email facendovi dormire sonni molto più tranquilli.
EDIT 25/10/16
Nuova email dal nostro eroe di Fabriano:
Buongiorno Agente !
Siamo Lieti di informarLe Che per la festa di Halloween 2016 abbiamo tariffe speciale
per i nostri clienti Ria
Le Tariffe entrano in Vigore dal 28 ottobre Fino al 1 di Novembre !
La invitiamo di stampare le Tariffe Speciale Halloween 2016 ed exporlo alla vista dei Clienti !
Medesime modalità, medesimo indirizzo, medesimo filtraggio da parte di Gmail.
---Una VPN economica, veloce, sicura e affidabile? Prova Surf Shark!. Uno sconto dell'82% per gli utenti di aklab.org!
--
E tu cosa ne pensi? Faccelo sapere nei commenti e condividi il post sui social!
---
Vuoi rimanere sempre aggiornato? Non perdere nessun post: iscriviti al canale Telegram e alla pagina Facebook!