Il tuo pacco è stato trattenuto presso il nostro centro di spedizione

Oggi ho ricevuto una variante del messaggio di cui vi avevo parlato qualche tempo fa nel articolo Salve Luca, il tuo pacco è stato trattenuto!, ora il messaggio è leggermente diverso e riporta:

Il tuo pacco è stato trattenuto presso il nostro centro di spedizione. Si prega di seguire le istruzioni qui: http:// ujuxuv .me / QRofRpv

Il link sospetto

https:// corriertt .parceldlvr .xyz /lmed /it /ips2 /?p=200&uclick=syg61m&uclickhash= syg61m-syg61m-yd-0-x9-fnwj-pmfe-13b1c2

Oppure

https:// parcels .posttrackit .xyz /lmed /it/

il link trovato nel messaggio era un URL shortener, la destinazione effettiva è un sito hostato su un dominio strano con estensione “.xyz”, la schermata che ci appare è la stessa vista in questo articolo: Salve Luca, il tuo pacco è stato trattenuto!, la cosa buffa è che arrivati alla fine dove viene richiesto di inserire i dati per la consegna si viene indirizzati a Google… chissà.

Scuriosando nel codice

Ho notato che il prezzo indicato nella pagina della consegna viene letto dal parametro

?p=XXXX

Inserendo infatti qualsiasi numero questo appare come tassa doganale, inserendo una parola appare l’errore “NaN” ovvero “not a number”

Inserendo numeri troppo grandi vengono approssimati, ecco quindi che sdoganare il mio pacco costa ora 100000000000000000000000 euro

Inutile dire che tutte le schermate che appaiono sono precompilate nella pagina, non viene fatta alcuna ricerca del codice di tracciamento in alcun database, ci vengono solo proposte una serie di pagine volte a rubare dati personali.

Sempre più in profondità

Risalendo verso la root del sito scopriamo che il creatore ha pensato a truffare un grosso numero di utenti, troviamo infatti tutte le traduzioni in inglese, spagnolo, portoghese, croato e molte altre

at/ 2021-12-29 10:56 –
ca/ 2021-12-29 10:55 –
ch/ 2021-12-30 13:07 –
cz/ 2021-12-29 10:45 –
de/ 2021-12-29 10:56 –
es/ 2021-12-29 11:44 –
fr/ 2021-12-29 10:55 –
hu/ 2021-12-29 16:08 –
it/ 2021-12-30 14:00 –
no/ 2021-12-29 10:57 –
pt/ 2021-12-28 12:48 –

Tutte le cartelle sono state create una settimana fa circa, con tutta probabilità copiate da un altro hosting (alcuni siti riportano date a metà 2021)

Ci sono anche delle finte pagine di GLS (con lo stesso identico script)

Hai (1) pacco in attesa di consegna. Usa il tuo codice per rintracciarlo e riceverlo

Il tuo codice di rintracciamento
CLS910029334

un finto servizio postale che ci indica che un nostro pacco non ha l’affrancatura necessaria

Il tuopacco è in arrivo
Il tuopacco è bloccato nel nostro terminale per mancanza di affrancatura
Importo dovuto: 0.99€
IL PACCO SARÀ RESTITUITO AL MITTENTE ENTRO 24ORE, SE L’AFFRANCATURA NON È STATA PAGATA
* Se ricevi questo messaggio dopo aver pagato l’affrancatura, il pagamento non è stato verificato. Si prega di procedere nuovamente al pagamento – prova ad utilizzare un’altra carta di credito.
Il pacco ti sarà consegnato non appena avremo ricevuto il tuo pagamento.

Interessante il fatto che la pagina ci indichi che se non ci hanno già truffato a sufficienza possiamo sempre dare i dati di un altra carta di credito

Ed anche una versione dedicata a DHL (unica pagina che usa il nome di un corriere esistente

Consegna del pacco in sospeso

Hai un pacco in attesa di consegna, usa il tuo codice per rintracciarlo e riceverlo

DHL918671279

Versione concorso Comet

Girando tra le pagine del sito ho anche trovato una parte dedicata ad un fantomatico concorso Comet (una catena di negozi di elettronica di consumo) che terminava nel 2021

Proseguendo nell’esplorazione il sito ci chiede la nostra età e ogni quanto facciamo acquisti presso di “loro”

E se siamo soddisfatti o meno degli orari di apertura

Dopo una serie di domande assurde (che vi tralascio per noia) arriviamo in una pagina con una serie di dispositivi tecnologici

Scelgo di acquistare il Dyson e vengo rimandato ad un altro URL ahimè scaduto

DNS Lookup

Dal registar DNS scopriamo che il sito è nascosto dietro Cloudflare e ospitato da namesilo.com, un servizio di registrazione domini a basso prezzo

Domain Name: PARCELDLVR.XYZ
Registry Domain ID: D259786187-CNIC
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com
Updated Date: 2021-12-03T10:37:35.0Z
Creation Date: 2021-11-17T10:04:06.0Z
Registry Expiry Date: 2022-11-17T23:59:59.0Z
Registrar: NameSilo, LLC
Registrar IANA ID: 1479
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant Organization: See PrivacyGuardian.org
Registrant State/Province: AZ
Registrant Country: US
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this
output for information on how to contact the Registrant, Admin, or Tech contact of the queried
domain name.
Admin Email: Please query the RDDS service of the Registrar of Record identified in this
output for information on how to contact the Registrant, Admin, or Tech contact of the queried
domain name.
Tech Email: Please query the RDDS service of the Registrar of Record identified in this output
for information on how to contact the Registrant, Admin, or Tech contact of the queried domain
name.
Name Server: SEAMUS.NS.CLOUDFLARE.COM
Name Server: PAITYN.NS.CLOUDFLARE.COM
DNSSEC: unsigned
Billing Email: Please query the RDDS service of the Registrar of Record identified in this
output for information on how to contact the Registrant, Admin, or Tech contact of the queried
domain name.
Registrar Abuse Contact Email: 
Registrar Abuse Contact Phone: +1.4805240066
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/