Il tuo pacco è stato trattenuto presso il nostro centro di spedizione

Oggi ho ricevuto una variante del messaggio di cui vi avevo parlato qualche tempo fa nel articolo Salve Luca, il tuo pacco è stato trattenuto!, ora il messaggio è leggermente diverso e riporta:

Il tuo pacco è stato trattenuto presso il nostro centro di spedizione. Si prega di seguire le istruzioni qui: http:// ujuxuv .me / QRofRpv

Il link sospetto

https:// corriertt .parceldlvr .xyz /lmed /it /ips2 /?p=200&uclick=syg61m&uclickhash= syg61m-syg61m-yd-0-x9-fnwj-pmfe-13b1c2

Oppure

https:// parcels .posttrackit .xyz /lmed /it/

il link trovato nel messaggio era un URL shortener, la destinazione effettiva è un sito hostato su un dominio strano con estensione “.xyz”, la schermata che ci appare è la stessa vista in questo articolo: Salve Luca, il tuo pacco è stato trattenuto!, la cosa buffa è che arrivati alla fine dove viene richiesto di inserire i dati per la consegna si viene indirizzati a Google… chissà.


Scuriosando nel codice

Ho notato che il prezzo indicato nella pagina della consegna viene letto dal parametro

?p=XXXX

Inserendo infatti qualsiasi numero questo appare come tassa doganale, inserendo una parola appare l’errore “NaN” ovvero “not a number”

Inserendo numeri troppo grandi vengono approssimati, ecco quindi che sdoganare il mio pacco costa ora 100000000000000000000000 euro

Inutile dire che tutte le schermate che appaiono sono precompilate nella pagina, non viene fatta alcuna ricerca del codice di tracciamento in alcun database, ci vengono solo proposte una serie di pagine volte a rubare dati personali.

Sempre più in profondità

Risalendo verso la root del sito scopriamo che il creatore ha pensato a truffare un grosso numero di utenti, troviamo infatti tutte le traduzioni in inglese, spagnolo, portoghese, croato e molte altre

at/ 2021-12-29 10:56 –
ca/ 2021-12-29 10:55 –
ch/ 2021-12-30 13:07 –
cz/ 2021-12-29 10:45 –
de/ 2021-12-29 10:56 –
es/ 2021-12-29 11:44 –
fr/ 2021-12-29 10:55 –
hu/ 2021-12-29 16:08 –
it/ 2021-12-30 14:00 –
no/ 2021-12-29 10:57 –
pt/ 2021-12-28 12:48 –

Tutte le cartelle sono state create una settimana fa circa, con tutta probabilità copiate da un altro hosting (alcuni siti riportano date a metà 2021)

Ci sono anche delle finte pagine di GLS (con lo stesso identico script)

Hai (1) pacco in attesa di consegna. Usa il tuo codice per rintracciarlo e riceverlo

Il tuo codice di rintracciamento
CLS910029334

un finto servizio postale che ci indica che un nostro pacco non ha l’affrancatura necessaria

Il tuopacco è in arrivo
Il tuopacco è bloccato nel nostro terminale per mancanza di affrancatura
Importo dovuto: 0.99€
IL PACCO SARÀ RESTITUITO AL MITTENTE ENTRO 24ORE, SE L’AFFRANCATURA NON È STATA PAGATA
* Se ricevi questo messaggio dopo aver pagato l’affrancatura, il pagamento non è stato verificato. Si prega di procedere nuovamente al pagamento – prova ad utilizzare un’altra carta di credito.
Il pacco ti sarà consegnato non appena avremo ricevuto il tuo pagamento.

Interessante il fatto che la pagina ci indichi che se non ci hanno già truffato a sufficienza possiamo sempre dare i dati di un altra carta di credito

Ed anche una versione dedicata a DHL (unica pagina che usa il nome di un corriere esistente

Consegna del pacco in sospeso

Hai un pacco in attesa di consegna, usa il tuo codice per rintracciarlo e riceverlo

DHL918671279

Versione concorso Comet

Girando tra le pagine del sito ho anche trovato una parte dedicata ad un fantomatico concorso Comet (una catena di negozi di elettronica di consumo) che terminava nel 2021

Proseguendo nell’esplorazione il sito ci chiede la nostra età e ogni quanto facciamo acquisti presso di “loro”

E se siamo soddisfatti o meno degli orari di apertura

Dopo una serie di domande assurde (che vi tralascio per noia) arriviamo in una pagina con una serie di dispositivi tecnologici

Scelgo di acquistare il Dyson e vengo rimandato ad un altro URL ahimè scaduto

DNS Lookup

Dal registar DNS scopriamo che il sito è nascosto dietro Cloudflare e ospitato da namesilo.com, un servizio di registrazione domini a basso prezzo

Domain Name: PARCELDLVR.XYZ
Registry Domain ID: D259786187-CNIC
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com
Updated Date: 2021-12-03T10:37:35.0Z
Creation Date: 2021-11-17T10:04:06.0Z
Registry Expiry Date: 2022-11-17T23:59:59.0Z
Registrar: NameSilo, LLC
Registrar IANA ID: 1479
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant Organization: See PrivacyGuardian.org
Registrant State/Province: AZ
Registrant Country: US
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this
output for information on how to contact the Registrant, Admin, or Tech contact of the queried
domain name.
Admin Email: Please query the RDDS service of the Registrar of Record identified in this
output for information on how to contact the Registrant, Admin, or Tech contact of the queried
domain name.
Tech Email: Please query the RDDS service of the Registrar of Record identified in this output
for information on how to contact the Registrant, Admin, or Tech contact of the queried domain
name.
Name Server: SEAMUS.NS.CLOUDFLARE.COM
Name Server: PAITYN.NS.CLOUDFLARE.COM
DNSSEC: unsigned
Billing Email: Please query the RDDS service of the Registrar of Record identified in this
output for information on how to contact the Registrant, Admin, or Tech contact of the queried
domain name.
Registrar Abuse Contact Email: 
Registrar Abuse Contact Phone: +1.4805240066
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

Post Disclaimer

Creative common license BY-NC_SA

Informazioni Importanti

Le informazioni contenute in questo articolo sono di carattere informativo e rispecchiano le opinioni personali del autore. Tutte le guide nel sito vengono proposte "as it is" puramente a scopo didattico. L'utente che accetta di seguirne i passaggi si assume ogni responsabilità in caso di guasto/malfunzionamento o altro problema come conseguenza della modifica.

Nei post di iu2frl.it posso includere collegamenti a rivenditori. Posso ricevere una piccola commissione dal rivenditore se effettui un acquisto dopo aver fatto clic su uno di questi link. I post non sono espressamente sponsorizzati da rivenditori, editori, promotori o produttori, se non diversamente specificato chiaramente e tutte le decisioni editoriali sono prese esclusivamente dagli autori dei singoli articoli.

Tutti i contenuti vengono condivisi con licenza CC BY-NC-SA 4.0: Questa licenza consente ad altri di remixare, adattare e sviluppare i contenuti in modo non commerciale, purché accreditino l'autore originale e concedano in licenza le loro nuove creazioni con gli stessi termini. Per maggiori informazioni visitare il sito Creative Commons.

Important Informations

The information contained in this article is of an informative nature and reflects the personal opinions of the author. All the guides/tutorial on the website are offered "as it is" for educational purposes only. The user who agrees to follow the steps assumes all responsibility in case of failure/malfunctioning or other problem as a result of the modification.

In some posts of iu2frl.it I can include links to resellers. I can get a small commission from the reseller if you make a purchase after clicking on one of these links. The posts are not expressly sponsored by resellers, publishers, promoters or producers, unless otherwise clearly specified and all editorial decisions are made solely by the authors of the individual articles.

All the contents are published as CC BY-NC-SA 4.0: This license lets others remix, adapt, and build upon your work non-commercially, as long as they credit you and license their new creations under the identical terms.. For more informations please visit Creative Commons website.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *