Migliaia di italiani hanno ricevuto un SMS truffa a tema Bitcoin

Oggi 9 ottobre 2017, alle 13:30 ora italiana (11:30 UTC), migliaia di numeri cellulari in Italia hanno ricevuto un SMS molto sospetto da un mittente mascherato dalla stringa “BitcoinCode”.

Ho effettuato una rapida analisi del messaggio e del relativo link, potendo stimare il numero minimo di utenti colpiti e verificare che il sito linkato è piuttosto infido e decisamente inaffidabile (come era prevedibile). Lo scopo di questo post è duplice: da una parte vorrei descrivere la metodologia di analisi utilizzata e dall’altra mettere in guardia chiunque si imbatta nel metodo “Bitcoin Code”.

Lo strano SMS

Il contenuto dell’SMS è già piuttosto sospetto (il link non è cliccabile, volutamente):

Hai (1) Bitcoin nel tuo account. Conferma l’account qui: http://bit.ly/2y9WNXB Valore di mercato corrente 3895.83 Euro

Ma guarda… a pranzo stavo giusto pensando “buono questo panino, è da un po’ che qualcuno non mi regala 4000 euro”. Come no! 😀

Ora, dirò una cosa (spero) ovvia, però… chiaramente non ho aperto il link. In questi casi non si deve mai cliccare collegamenti ignoti che potrebbero potenzialmente portare a pagine contenenti malware, o anche semplicemente tracciare il fatto che il proprio numero telefonico ha ricevuto e letto l’SMS.

Analisi dell’URL

Bit.ly è un famosissimo servizio per accorciare (e in un certo senso mascherare) degli URL. Non c’entra nulla con questi messaggi promozionali, serve solo a rendere un URL più corto, una cosa utile per inviarlo via SMS. La cosa interessante è che ha anche delle funzionalità statistiche: chiunque conosca un URL generato da questo sito può semplicemente aggiungere un + alla fine e ottenere maggiori informazioni.

Andando a visitare http://bit.ly/2y9WNXB+ ho potuto capire che l’URL non avrebbe tracciato il mio numero di cellulare, perché è stato aperto oltre 3200 volte:

statistiche_link_bitcoin_code
Le visite che ha ricevuto il link contenuto nell’SMS

È interessante vedere come il link sia stato condiviso anche su Facebook e in misura molto ridotta anche in altre nazioni. Il picco di visite nella fascia 11:00-11:59 UTC (cioè 13:00-13:59 in Italia) coincide con l’orario in cui ho ricevuto l’SMS.

Escluso il tracciamento, restava comunque il rischio di malware. Prima di puntare un browser a quell’indirizzo, è stato opportuno provare a vedere dove andasse a finire quell’URL. Ho usato HTTPie che è molto comodo:

http --follow --all get 'http://creativesellar.com/tracking/596dae565fa39a39a9c3f869?src=59ca723d377e015f43de7a16&s1=&s2=&s3=&s4=&s5=&k=598c46292cd1ca261ba4867d'

La pagina delle statistiche di Bit.ly consente di vedere la versione originale dell’URL, di conseguenza si può visitare senza incrementare le statistiche. In altri termini, nessuno di quei 3200 click è mio. 🙂

L’output di HTTPie è decisamente prolisso perché mostra tutti gli header HTTP (piuttosto utili per fare debugging e analizzare pagine sospette) ma mi limito a dire che i redirect sono stati i seguenti:

http://a.trafficrouter.bid/aff_c?offer_id=1628&aff_id=2074&aff_sub=59ca723d377e015f43de7a16&aff_sub2=59dbce2dee485e5e82e82aef&entity=jav

http://mediaroi.go2cloud.org/aff_r?offer_id=1666&aff_id=2074&url=http%3A%2F%2Fbitcoinmillions.co%2Fse%2F%3Foffer_id%3D1666%26aff_id%3D2074%26transaction_id%3D102685e5380c3fe094b3ed05a891bc%26aff_sub%3D59ca723d377e015f43de7a16%26aff_sub2%3D59dbce2dee485e5e82e82aef%26aff_sub3%3D%26aff_sub4%3D%26goal_id%3D2510%26xparam%3Dbitcoinmillions.co%2Fse%26entity%3Djav%26urfname%3D%7Burfname%7D%26urlname%3D%7Burlname%7D%26urphone%3D%7Burphone%7D%26uremail%3D%7Buremail%7D%26urcountry%3D%7Burcountry%7D&urlauth=646211568076217752932436557944

http://bitcoinmillions.co/se/?offer_id=1666&aff_id=2074&transaction_id=102685e5380c3fe094b3ed05a891bc&aff_sub=59ca723d377e015f43de7a16&aff_sub2=59dbce2dee485e5e82e82aef&aff_sub3=&aff_sub4=&goal_id=2510&xparam=bitcoinmillions.co/se&entity=jav&urfname={urfname}&urlname={urlname}&urphone={urphone}&uremail={uremail}&urcountry={urcountry}

La mia reazione è stata più o meno questa:

Clicca qui per mostrare contenuto da YouTube.
(leggi la privacy policy del servizio)

Alla fine sono capitato su bitcoinmillions.co, in particolare nella versione svedese per via dell’IP della VPN che sto usando oggi. Ho aperto l’URL in una macchina virtuale da analisi e poi ho verificato che il sito è disponibile anche in italiano, tedesco, inglese e qualche altro idioma (basta cambiare il codice della lingua nell’URL).

Stranezze e assurdità

La pagina ha lo scopo di presentare all’ignaro utente il metodo “Bitcoin Code” che consentirebbe, tramite investimenti sulle opzioni binarie, di guadagnare… udite udite… 13000 euro al giorno senza fare un bel niente. Di nuovo: come no! 😀

finto_ceo
Il finto inventore di Bitcoin Code

Secondo il sito, il “genio” dietro a questo metodo (talmente geniale da rivelarlo a tutti gratis) sarebbe Stefano Savarese. Mi correggo: secondo la versione italiana del sito. Infatti per la versione inglese sarebbe Steve McKay, per quella tedesca Sven Hegel e per quella svedese Stefan Holmquist.

La foto del presunto inventore è uguale, ma i nomi sono diversi. Ah, se l’immagine vi piace è possibile acquistarla su questo sito di immagini stock, ma penso che l’aveste già immaginato. Questo fatto è stato scoperto facilmente con TinEye, un motore di ricerca per immagini.

Un altro elemento che non dà alcuna fiducia è il modulo di registrazione senza HTTPS, ma quello purtroppo si trova anche su siti meno “sospetti”. L’ennesimo campanello d’allarme dovrebbe suonare notando che questo metodo “gratuito” richiede un versamento minimo di 250€ che presumibilmente non rivedrete mai più e di certo non diventeranno 13000.

Chi c’è dietro a tutto questo?

Metto subito le mani avanti: l’attribuzione di siti, messaggi e “operazioni di business” varie è una cosa molto complicata e non bisogna fidarsi troppo delle informazioni trovate. D’altro canto però non fidarsi è un atteggiamento buono e prudente.

Detto ciò, la cosa più naturale è controllare il Whois dei vari domini coinvolti, sperando di trovare qualcosa. Così ho fatto:

whois creativesellar.com

… e via dicendo per gli altri. Come temevo, tutti quanti i domini sono protetti da qualche servizio di whois privacy o comunque riportano dati inaccurati. Questo non indica per forza un problema, ma quando si parla di investimenti sarebbe consigliabile sapere con chi si ha veramente a che fare.

Volendo arrivare al dunque, mi sono registrato con un indirizzo di Mailinator e ho cercato di trovare la pagina in cui Bitcoin Code mi avrebbe chiesto dei soldi. Avendo usato la versione inglese del sito, ho ricevuto un’email di conferma inviata da un tale Alfie Hughes usando SendLane, un servizio per l’invio di email.

SendLane aggiunge il nome e l’indirizzo del mittente in fondo al messaggio, o meglio i dati che costui ha usato per crearsi un account. Nell’email che ho ricevuto era riportato:

BTC ltd
7 More London Riverside
London
United Kingdom, SE1 2RT

Peccato che questo sia l’indirizzo della sede londinese di PwC, una rispettabile multinazionale che non ha nulla a che vedere con questa truffa. Ecco l’ennesimo segno dell’inaffidabilità di Bitcoin Code (come se ce ne fosse bisogno).

Per usare l’account e depositare i soldi sono stato rimandato verso un sito esterno, cioè https://www.toroption.com. Dai, almeno questo ha l’HTTPS così ti puoi far spillare del denaro ma in sicurezza. 😉

Anche il Whois di questo dominio è occultato.

La pagina di contatto del sito racchiude un altro aspetto bizzarro: cambia le informazioni e i numeri di telefono a seconda della lingua scelta. Inoltre i dati non sono rappresentati come testo (anche se sembra che sia così) ma sono un’immagine!

La versione inglese è l’unica che riporta due indirizzi:

Main Office
Royal Capital Ltd.,
Off. 13, 97 Andranik
Zoravar St. Yerevan

Smart Choice Zone LP,
272 Bath Street Glasgow.
G2 4JR. Scotland

+44-2035192667
+37-460462823

Scopriamo quindi che l’ufficio principale sarebbe a Yerevan, in Armenia, cosa che sembra plausibile. Il secondo indirizzo è di un servizio che noleggia uffici virtuali a Glasgow, in Scozia. Anche attività rispettabili usano questi servizi, a volte.

Dei due numeri di telefono riportati, il secondo mostra come prefisso +37 (che era in uso alla Germania dell’Est un po’ di anni fa) ma in realtà è +374, che corrisponde all’Armenia.

Il primo è del Regno Unito (coerente col secondo indirizzo) e cercandolo sul web viene fuori un fermo avvertimento da parte dell’Autorità per i Servizi Finanziari e i Mercati (FSMA) del Belgio:

The Financial Services and Markets Authority (FSMA) warns the public against the activities of TorOption, a company that offers binary options without complying with Belgian financial legislation.

TorOption is not allowed to provide banking and/or investment services in or from Belgium.

Furthermore, the FSMA reminds the public that since 18 August 2016, no investment firm (authorized or not) is permitted actively to distribute, within the territory of Belgium, binary options or any other derivative instruments whose maturity is less than one hour and/or that directly or indirectly use leverage (including forex derivatives and CFDs).

The FSMA thus strongly advises against responding to any offer of financial service made by TorOption and against transferring money to any account number it might mention.

L’avvertimento completo, che vi consiglio di leggere, segnala anche un comunicato analogo della Commissione Nazionale del Mercato dei Valori (CNMV) spagnola.

In conclusione

Abbiamo visto come in data odierna migliaia di italiani abbiano ricevuto un messaggio truffaldino, che tentava di convincere le persone ad investire dei soldi con la promessa di guadagni allettanti e assolutamente irreali.

L’analisi delle informazioni disponibili con tecniche OSINT (ma soprattutto la valutazione di cosa non è disponibile) ha confermato ciò che l’intuito faceva presagire: pur non trattandosi di malware, è comunque meglio stare alla larga da Bitcoin Code, TorOption e qualsiasi altra operazione legata a tali entità.

Io non sono un esperto di investimenti, quindi di certo non vi dirò che uso fare dei vostri soldi, né voglio pubblicizzare altre alternative “più affidabili” (come invece ho visto fare ad altri siti che hanno accennato a Bitcoin Code). 🙂

Però una cosa ve la voglio dire: se volete fare investimenti, valutate attentamente l’affidabilità dei soggetti coinvolti. Non lasciatevi allettare dal miraggio di guadagni talmente facili da essere impossibili!

20 pensieri riguardo “Migliaia di italiani hanno ricevuto un SMS truffa a tema Bitcoin

  1. Ovviamente non ho abboccato ma ero curiosa di saperne di più. Veramente complimenti per ‘l’indagine’ ! Anche se ho capito poco della parte tecnica ho apprezzato l’accuratezza e la determinazione. Bravo bravissimo

    1. Grazie per i complimenti. 🙂 Per sua natura un articolo che parla di OSINT deve contenere qualche riferimento tecnico, altrimenti rischierebbe di essere “tutto fumo e niente arrosto”, 😛 però ho cercato di renderlo maggiormente accessibile linkando alcune pagine di Wikipedia e altri siti ai vari termini settoriali utilizzati. Spero che anche chi non fa questo mestiere sia riuscito a seguire. 😀 Se c’è qualche parte che ti interessa chiarire maggiormente dimmi pure.

      Tra parentesi: è arrivata una nuova ondata di SMS? Il messaggio che hai ricevuto tu aveva un link diverso?

  2. ricevuto anche io oggi. questa volta il mittente è Coindesk e il link è http://text.id/a9Vmo ma il testo del messaggio è uguale (a parte il valore di mercato dei bitcoin che oggi pare sia 6822.80 a 1.
    Grazie per le info e l’analisi

  3. Ah, ma pensa che combinazione… usano un nuovo dominio che guarda caso è stato registrato da un tizio il cui indirizzo email fa capo a un’azienda che vende servizi di bulk SMS:

    Registrant ID:01335622liic
    Registrant Name:Christopher Boyd
    Registrant Organization:TextID
    Registrant Street1:Triq Spinola
    Registrant City:Spinola Bay
    Registrant State/Province:St Julian's
    Registrant Postal Code:STJ10
    Registrant Country:MT
    Registrant Phone:+356.99466834
    Registrant Email:chris.boyd@mrmessaging.net
    

    Provo a contattare il NIC che si occupa dei domini indonesiani e vediamo se possono fare qualcosa, anche se dubito.

    1. Grazie. 🙂

      c’è niente per evitare che arrivino?

      Mah oddio è difficile da dire. Sarebbe da capire se si può fare un esposto alla polizia postale o se convenga rivolgersi agli organi di vigilanza in materia bancaria e di investimenti. Ammesso e non concesso che possano intervenire in qualche modo. Ma l’ondata che ha colpito te aveva link che abbiamo già visto o roba nuova?

  4. Io ho cliccato un banner pubblicitario del programma Duolingo che rimandava al Bitcoin code. A parte la curiosità iniziale che subito si è trasformata in perplessità e poi in sano dubbio, mi stupisce il fatto che un programma serio come Duolingo si faccia portavoce di tale truffa. Grazie per il tuo lavoro che aiuta ad avere i piedi per terra

    1. Presumibilmente Duolingo usa un network pubblicitario esterno come fanno moltissimi siti web. Non penso che abbiano un reparto dedicato alla pubblicità per selezionare ogni singolo annuncio. 🙂

  5. A me sono arrivati in 3 giorni 3 diversi SMS che continuo a cancellare. E non ci sono link per disattivarli. (e si che sono informatico…) Ho lo stesso numero di cellulare da quasi 20 anni…vorrei evitare di doverlo cambiare…

  6. ne ho ricevuto più di uno e naturalmente non ho cliccato sul link … vorrei sapere, se possibile, come fare per non ricevere più di questi messaggi …

  7. Gabriele, eh… magari ci bastasse la laurea per tutelarci da qualsiasi messaggio di spam o pericoloso. 😀 Ma poi anche se ci fosse un unsubscribe di certo non sarebbe il caso di usarlo. Confermerebbe solo che il numero è in uso.

    Antonietta, di fatto non si può. Ci vorrebbe un intervento delle autorità ma è tremendamente complicato perché questi non hanno bisogno di essere in Italia per inviare SMS pubblicitari verso i nostri numeri. Possono farlo comodamente dall’estero.

    Io ho segnalato il problema al NIC Indonesiano per quanto riguarda il dominio segnalato sopra, ma anche lì ovviamente il messaggio è stato ignorato e inoltre il dominio è comunque di una azienda terza (come era il caso di Bitly). Ora ho provato a contattare tale azienda ma dubito che accadrà qualcosa.

    Claudio, c’è comunque da dire che quando si tratta di N nazioni diverse coinvolte non è semplice intervenire. Specialmente se si tratta di bloccare messaggi pubblicitari in cui non c’è praticamente modo di agire prima che vengano mandati.

  8. io da 1 mese ogni lunedì e non solo ricevo sms con mittenti diversi che non hanno numero ma il testo è sempre uguale ” Ehi Majra, vieni e ricevi il tuo bitcoin ora: vvue.me/bgKRyKQ“tutte le volte che mi arriva un sms ho controllato il mio credito e pare che non mancano soldi. Come devo fare per bloccare l’arrivo di questi messaggi fastidiosi???

    1. Se i messaggi contengono il tuo nome, la spiegazione più probabile è che i dati siano stati volontariamente forniti all’atto della registrazione di qualche servizio. Tanto per fare un esempio, attivando la carta fedeltà in un negozio solitamente fanno dare l’autorizzazione all’uso dei dati personali.

      È revocabile ma la domanda va fatta a chi ha raccolto i dati in prima istanza.

  9. Purtroppo a mè arrivano telefonate da milano dall inghilterra e da altri posti mon ti lasciano in pace e dalla voce sono tutti africani blocco tutti i numeri ma mi sa che devo cambiare scheda

  10. Io stupido che ho cliccato per sbaglio senza VPN…
    Sono uscito subito, ho eliminato tutte le password salvate, cambiate molte e controllato se ci fossero dei malware + ho connesso tantissimi servizi di privacy e sicurezza.
    In fine ho fatto il whois al sito originale, trovato l’hoster e segnalato tramite email.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *