ho ricevuto questo tentativo di phishing molto simpatico.
Da: "Il Team di G.mail" <soldaantonio@gmail.com> Data: 27/Apr/2015 18:38 Oggetto: Indicazioni operative Gentile utente, Molti tentativi di connessione sospetto e non-autorizzato sono stati rilevati su molti conti, vi occorrerà imperativamente confermare i vostri dati personali; Consulta questo documento. Tutto rifiuto di cooperazione tradurrà la disattivazione del vostro account messaggeria dopo 48 Ore. NB: Dovete considerare questo messaggio essendo l'ultimo avvertimento prima di chiudere il vostro account messaggeria. Cordialmente.
in allegato si trova un pdf con un link che oppurtunamente offuscato e “accorciato” porta ad un sito http://mobmsgaccoun.fulba.com
se clicchi sul pulsante vai ad una pagina in vengono chieste le vostre credenziali di Google
Ovviamente queste pagine sono dei fake usate per carpire la vostra password dell’account Gmail, se vi arriva una email del genere segnalatela come phishing.
io nel frattempo ho proseguito la compilazione del recupero password con un account inventato di sana pianta.
ecco gli header da cui si capisce che molto probabilmente soldaantonio@gmail.com è cascato nel tranello e la sua casella di posta è diventata veicolo di infezione.
Delivered-To: xxxxxxxxxx@gmail.com Received: by 10.202.173.133 with SMTP id w127csp1362636oie; Mon, 27 Apr 2015 09:38:35 -0700 (PDT) X-Received: by 10.152.27.194 with SMTP id v2mr10639736lag.75.1430152714535; Mon, 27 Apr 2015 09:38:34 -0700 (PDT) Return-Path: <soldaantonio@gmail.com> Received: from mail-la0-x241.google.com (mail-la0-x241.google.com. [2a00:1450:4010:c03::241]) by mx.google.com with ESMTPS id p3si3131734lap.99.2015.04.27.09.38.33 for <xxxxxxxxxx@gmail.com> (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128); Mon, 27 Apr 2015 09:38:34 -0700 (PDT) Received-SPF: pass (google.com: domain of soldaantonio@gmail.com designates 2a00:1450:4010:c03::241 as permitted sender) client-ip=2a00:1450:4010:c03::241; Authentication-Results: mx.google.com; spf=pass (google.com: domain of soldaantonio@gmail.com designates 2a00:1450:4010:c03::241 as permitted sender) smtp.mail=soldaantonio@gmail.com; dkim=pass header.i=@gmail.com; dmarc=pass (p=NONE dis=NONE) header.from=gmail.com Received: by mail-la0-x241.google.com with SMTP id mn9so7590373lab.2 for <xxxxxxxxxx@gmail.com>; Mon, 27 Apr 2015 09:38:33 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:date:message-id:subject:from:to:content-type; bh=zeaim2qx4rgpGWDRTpYv3fJAR2si+1rRZhvUOxEKG80=; b=yM3OoN2PnRIjXeKxhthOFLw7gR2/K02Fjjtrp+JlvCuU0uZjnq9F0X0fGpgzFP72iZ Kvf/9NKsXM4/RfRTeToslQ6Ti5gPwnVH2zpaZdft+V8RilAy/7EkAoKHTUIlIprJfj35 p0jicDvfGApdGLIp/Ghvac90NzWyaSiZMFPT459RsqwGPzPltlJkoRcqGBKwg+KszyVW Osjz8Q7ocWzqytlKRJmzCyCLDxB0c7n0sPZ2N8LKBeFYQijUiTkOgDURk0EtTsMK7jLs +l95Ejw5oJux9ZEmaNyzN2McyNIyNdU3NfdF2Woxfy1gmjZsYOaRrZ8Gwnz99NlYSQOK 9YNQ== MIME-Version: 1.0 X-Received: by 10.152.87.70 with SMTP id v6mr10606454laz.30.1430152713276; Mon, 27 Apr 2015 09:38:33 -0700 (PDT) Received: by 10.112.3.169 with HTTP; Mon, 27 Apr 2015 09:38:32 -0700 (PDT) Date: Mon, 27 Apr 2015 18:38:32 +0200 Message-ID: <CA+1yqXe=USYbU4HcLeV2MuKUsqwELegnMpqMn56Ramp6J3bVDw@mail.gmail.com> Subject: Indicazioni operative From: "Il Team di G.mail" <soldaantonio@gmail.com> To: undisclosed-recipients:; Content-Type: multipart/mixed; boundary=001a11c363cc73487f0514b76048 Bcc: xxxxxxxxxx@gmail.com