Il mondo delle truffe online è un ecosistema abbastanza vasto ed i soggetti impegnati quotidianamente nell’elaborazione di nuove trappole per gli utenti di internet riescono a superare ogni immaginazione alla ricerca di metodi e tattiche per ingannare i miliardi di navigatori presenti in rete.
L’ultima trovata, proveniente dalla Cina, fa leva su una fantomatica disputa circa i nomi a dominio. Recentemente il nostro staff ha ricevuto un’email molto simile a questa :
Dear President & CEO, We are an organization specified at dealing with domain name dispute and registration in Asia. We have something important on intellectual property right need to confirm with your company. On August 30, 2011, we received an application formally, one company named "Nelodel Holding Ltd" applied for the Network Brand "servermanaged" and some domain names with our organization. After checking, we found your company is the original trademark owner. If the company's action haven't been authorized by your company, so their behavior will conflict with your interests. In order to deal with the matter better, please contact us ASAP. (If you are NOT President, please forward this to your President & CEO, because this is urgent. Thanks.) Best Regards, Andy Auditing Director Web: http://www.nz-asia.com Tel:+86 21 54383516 Fax:+86 21 34628491 Mail: andy@nz-asia.com
Le vittime di questo tipo di truffa possono essere semplici blogger o aziende ed il formato del messaggio email può variare sia nella costruzione sintattica che nella firma del mittente.
La truffa dissezionata
Un occhio esperto avrà pochi dubbi circa la legittimità nulla del messaggio. Per l’utente comune ecco quali sono i passaggi per smascherare la truffa.
Cina
La Cina è una delle nazione ad altissimo tasso di intrusioni informatiche e fonti d’attacco oltre ad offrire un riparo sicuro ad impostori e truffatori online. La provenienza asiatica del messaggio contribuisce con buona percentuale a far nascere dubbi circa la validità del messaggio di posta.
Un dominio inesistente
Il dominio di provenienza del messaggio, nz-nic.com è inesistente. Nè una ricerca su Google nè un semplice lookup riescono a fornire informazioni su questo nome a dominio :
$ nslookup nz-nic.com Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: *** Can't find nz-nic.com: No answer
Il sito web in calce alla firma invece esiste ed appartiene ad una società di hosting e registrazione di domini situata in Cina, www.nz-asia.com.
La realtà dei fatti inizia a prendere forma. Il messaggio proveniente da Andy, sedicente Auditing Directory di nz-asia.com vuole indurre l’utente ad acquistare uno o più domini presso nz-asia.com per far fronte alla fantomatica richiesta di registrazione del brand “Servemanaged” da parte della concorrente Nelodel Holding Ltd, una società cinese che non esiste. A confermare i risultati delle ricerche vi sono inoltre alcuni thread su alcuni forum esteri (Domain Name threat! Scam?? , Help Me Understand “Domain Suffix” Dispute Email) dove numerosi utenti segnalano la ricezione dello stesso messaggio di posta dove un’inesistente azienda cinese fa pressione sulle vittime allo scopo di ottenere la registrazione di alcuni nomi a dominio. Una pratica pubblicitaria meschina ed illegale che fa leva sulla paura scaturita nell’utente dalla minaccia di perdere il copyright sui propri brand online.
Il sorgente del messaggio
Nell’analisi di spam e truffe è essenziale verificare in primo luogo il sorgente del messaggio di posta (CTRL+U su Thunderbird) allo scopo di tracciare la provenienza dell’email. Ecco le prime righe di sorgente del messaggio oggetto dell’analisi :
Return-Path: <andy.wan@nz-nic.com> X-Original-To: info@servermanaged.it Delivered-To: info@servermanaged.it Received: from mx33.dns.com.cn (mx33.dns.com.cn [119.254.72.173]) by monitor.servermanaged.it (Postfix) with SMTP id CD53FB1C104 for <info@servermanaged.it>; Wed, 31 Aug 2011 13:04:16 +0200 (CEST) Received: (qmail 17415 invoked by uid 89); 31 Aug 2011 11:04:11 -0000 Received: from unknown (HELO PC-200201010006) (115.174.147.164) by mx33.dns.com.cn with SMTP; 31 Aug 2011 11:04:11 -0000 Date: Wed, 31 Aug 2011 19:03:07 +0800 From: "andy.wan" <andy.wan@nz-nic.com> Reply-To: andy@nz-asia.com To: info <info@servermanaged.it> Subject: Internet copyright of "servermanaged" and Nelodel company. Message-ID: <201108311903057184669@nz-nic.com> X-Priority: 1 (Highest)
Concentriamoci su alcuni dati. L’email è arrivata dal server di posta mx33.dns.com.cn con indirizzo 119.254.72.173. Questo indirizzo ip fa capo a :
Langfang Development Area Huarui Xintong Network Technology Co., Ltd. presso Langfang university Langfang Development Area. E’ molto improbabile che un’azienda di hosting si appoggi a server collocati in un’università per offrire i propri servizi.
Prima di attraversare il server di posta il messaggio email è stato inviato dall’indirizzo ip 115.174.147.164 che fa capo a :
Greatwall Broadband Network Co.Ltd. presso 5F Greatwall Bldg., A38 Xueyuan Road Haidian District,Beijing. Si tratta di una società che offre servizi di connessione ADSL residenziale in Cina, nei pressi di Beijing che geograficamente dista circa 50 Km dal campus universitario che ospita il server di posta.
L’analisi delle fonti e degli indirizzi ip coinvolti nell’invio del messaggio email consentono di tirare le somme. Si tratta di una truffa che nella migliore delle tradizioni fa leva sul senso di paura indotto nell’utente per porre la vittima in uno stato di tensione ed indurla ad acquistare domini web presso nz-asia.com. Dalla Cina con furore.
