Questa email di Facebook è reale o è phishing?

6

Ho ricevuto questa email da quello che è presumibilmente Facebook oggi. Ecco uno screenshot:

NonsapevodiaverecreditiocreditiesistitisuFacebookeapparentementeho$2,30.Sembralegittimoaprimavista,l'indirizzoemailassomigliaatuttelealtreemaildiFacebookcheottengo,mahoalcuneragionipercrederechequestosiafalsoeuntentativodiphishing.

  1. Tuttiilinksullapagina,chenonhoancoracliccato,quandosipassailmousesopraesiottieneun'anteprimadelcollegamentoinbassoangolosinistro,nonsonoURLreali,solodirectory,penso.IlIlcollegamentodell'intestazionediFacebookpuntaasetting?tab=payments.LarecensioneiltuolinksaldoèlastessacosaIllinkalcentroappègiusto%codice%.Forseuntentativodiphishingfallitooilteamemailincasinato,nonqualcosacheFacebookavrebbefatto.

  2. Lostileemaildell'intestazioneelosfondononsembranullacomelee-maillegittimechericevodaFacebook.Pervederecosaintendo,daiun'occhiataaquestaemailchehoricevutounpaiodigiornifa.

Come puoi vedere, la barra blu in alto è una barra blu piena, a differenza della barra sfumata sulla prima email. Lo sfondo è bianco non grigio come il primo. E non è a tutta larghezza come il primo. Gli stili sono simili ma il primo sembra un po 'più vecchio di quello che ho avuto un paio di giorni fa, che ha un aspetto più piatto.

Questa email è legittima o è una sorta di tentativo di phishing fallito?

Modifica: ecco il codice sorgente:

Delivered-To: [email protected]
Received: by 10.64.208.67 with SMTP id mc3csp215958iec;
        Mon, 28 Jul 2014 11:18:02 -0700 (PDT)
X-Received: by 10.68.191.194 with SMTP id ha2mr5567506pbc.143.1406571481784;
        Mon, 28 Jul 2014 11:18:01 -0700 (PDT)
Return-Path: <[email protected]>
Received: from mx-out.facebook.com (outmail021.prn2.facebook.com. [66.220.144.148])
        by mx.google.com with ESMTPS id bg5si3360342pdb.468.2014.07.28.11.18.01
        for <[email protected]>
        (version=TLSv1 cipher=ECDHE-RSA-RC4-SHA bits=128/128);
        Mon, 28 Jul 2014 11:18:01 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 66.220.144.148 as permitted sender) client-ip=66.220.144.148;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 66.220.144.148 as permitted sender) [email protected];
       dkim=pass [email protected];
       dmarc=pass (p=REJECT dis=NONE) header.from=facebookmail.com
Received: from facebook.com (f2hk/PLxoaEIT/fBlhT+zd5nnjzhUaEeZHCH61uLXXqwZpYsw2Ru1XBNzDHLgndM 10.103.99.61)
 by facebook.com with Thrift id 8297627c168311e4a87a0002c992c8ec-5c5fb400;
 Mon, 28 Jul 2014 11:18:01 -0700
X-Facebook: from 10.83.48.31 ([MTI3LjAuMC4x]) 
    by async.facebook.com with HTTP (ZuckMail);
Date: Mon, 28 Jul 2014 11:18:01 -0700
Return-Path: [email protected]
To: Milo Gosnell <[email protected]>
From: "Facebook" <[email protected]>
Reply-to: noreply <[email protected]>
Subject: You have $2.30 in your Facebook account
Message-ID: <[email protected]>
X-Priority: 3
X-Mailer: ZuckMail [version 1.00]
Errors-To: [email protected]
X-Facebook-Notify: payment_credits_to_lc_balance; mailid=a409107G5af3188d358eG0G28eG21014dad
X-FACEBOOK-PRIORITY: 0
X-Auto-Response-Suppress: All
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="b1_e97806d65a32ea0f70f0cadf5f5df3e6"
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=facebookmail.com;
    s=s1024-2013-q3; t=1406571481;
    bh=be0apt2xjA3K0VqNAhrb4AJp1qqCmG/w36+vycpp3b0=;
    h=Date:To:From:Subject:MIME-Version:Content-Type;
    b=gvByiMKxQpl/GjtzE2LzNHOd+5W8bsyhfNbUTzr8H6s3HbLYShCJnW1nSWtJCzdpd
     srNFP6R7b7QkCsANFCq0wTLxHqnA0JsEyq6ys9ZviAX3SAAUxm8Gve1+KCpHWPYifX
     Eqa2Jjzo13vN73niZb3KQGxwMFKZOWbM+GTxhV5w=


--b1_e97806d65a32ea0f70f0cadf5f5df3e6
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable


Hi Milo,

Facebook has changed from credits to local currency. You have $2.30 in =
your account. You can review your balance or use this money on apps or =
games in the App Center.

Thanks,

The Facebook Payments Team



=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
This message was sent to [email protected]. If you don't want to receive =
these emails from Facebook in the future, please follow the link below to =
unsubscribe.
https://www.facebook.com/o.php?k=3DAS3FhR4P3qzdS6JW&u=3D100000135460238&mi=
d=3Da409107G5af3188d358eG0G28eG21014dad
Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA =
94303


--b1_e97806d65a32ea0f70f0cadf5f5df3e6
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional =
//EN"><html><head><title>Facebook</title><meta http-equiv=3D"Content-Type" =
content=3D"text/html; charset=3Dutf-8" =
/><style>body{background:#e0e1e5;font-family:'Helvetica =
Neue',Helvetica,'Lucida Grande',tahoma,verdana,arial,sans-serif;font-weigh=
t:300}a{color:#333;text-decoration:none;white-space:nowrap =
!important}#email_table{width:100% !important}#email_content{padding:0 =
!important}#profile_pic =
img{border:0}*[class].usercard{background:#fff}@media all and =
(max-device-width: 720px){a{white-space:pre-wrap =
!important}table[bgcolor=3D"#e9eaed"]{background:transparent =
!important}*[id]#body_container{border-bottom:1px solid #e5e5e5 =
!important}table[width=3D"610"],*[id]#body_container,*[id]#cta_container{t=
able-layout:fixed}*[id]#cta_outer{border:none !important}*[id]#header_prof=
ile>table>tbody>tr>td:not(:nth-child(4)){display:none =
!important}*[id]#profile_name{display:none}*[id]#profile_pic{-moz-border-r=
adius:3px !important;-webkit-border-radius:3px =
!important;border-radius:3px !important;border-width:0 =
!important;overflow:hidden}*[id]#header_title{width:auto =
!important}*[id]#header_profile{width:24px}*[class].bio{display:none =
!important}*[id]#main_content{width:100%}*[class].content>div =
a{display:block;overflow:hidden;text-overflow:ellipsis;white-space:nowrap =
!important;width:160px}*[class].ext{padding-right:20px}*[class].image =
a{display:block;margin-left:20px}*[class].cta_btn,*[class].scnd_btn{displa=
y:block}*[id]#email_cta>tbody>tr>td[width=3D"100%"]{display:none}}@media =
all and (device-width: 720px){table[width=3D"610"],*[id]#body_container,*[=
id]#footer_container{width:340px}*[id]#email_filler td{height:12px =
!important}*[class].usercard{width:300px !important}}@media all and =
(max-device-width: =
480px){*[id]#cta_container>table>tbody>tr>td[height=3D"15"]{display:none =
!important}}@media all and (device-width: 320px){table[width=3D"610"],*[id=
]#body_container,*[id]#cta_container{min-width:400px;width:auto}center{pad=
ding:0 10px}*[class].content>div a{width:182px}}</style></head><body =
style=3D"margin:0;padding:0;" dir=3D"ltr"><table cellspacing=3D"0" =
cellpadding=3D"0" id=3D"email_table" =
style=3D"border-collapse:collapse;width:98%;" border=3D"0"><tr><td =
id=3D"email_content" style=3D"font-family:&#039;lucida =
grande&#039;,tahoma,verdana,arial,sans-serif;font-size:12px;padding:0px;ba=
ckground:#e0e1e5;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" border=3D"0" =
style=3D"border-collapse:collapse;width:100%;"><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding:0;border-left:none;border-right:none;border-top:none;border=
-bottom:none;"><table cellspacing=3D"0" cellpadding=3D"0" width=3D"100%" =
style=3D"border-collapse:collapse;"><tr><td =
style=3D"padding:0;width:100%;"><span style=3D"color:#FFFFFF;display:none =
!important;font-size:1px;">Hi Milo, Facebook has changed from credits to =
local currency. You have $2.30 in your account. You can review your =
balance or use this money on apps or games in the App Center . Thanks, The =
Facebook Payments Team</span></td></tr><tr><td =
style=3D"padding:0;width:100%;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" bgcolor=3D"#435E9C" style=3D"border-collapse:collapse;width=
:100%;background:#435E9C;background-image:-webkit-linear-gradient(top, =
#5c77b5, #435e9c);border-color:#0A1F4F;border-style:solid;border-width:0px =
0px 1px 0px;box-shadow:0 1px 1px rgba(0, 0, 0, 0.25);height:47px;" =
id=3D"header"><tr><td style=3D""><center><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"610" height=3D"44" =
style=3D"border-collapse:collapse;"><tr><td align=3D"left" =
id=3D"header_title" style=3D"width:100%;line-height:47px;"><table =
cellspacing=3D"0" cellpadding=3D"0" =
style=3D"border-collapse:collapse;"><td style=3D""><a =
href=3D"/settings?tab=3Dpayments" style=3D"color:#FFFFFF;text-decoration:n=
one;font-weight:bold;font-family:lucida grande,tahoma,verdana,arial,sans-s=
erif;vertical-align:baseline;font-size:20px;letter-spacing:-0.03em;text-al=
ign:left;text-shadow:0 1px 0 rgba(0, 0, 0, 0.24);"> facebook </a></td><td =
width=3D"10" style=3D"width:10px;"></td><td style=3D""><font =
color=3D"white" size=3D"3"><a =
style=3D"color:#ffffff;text-decoration:none;font-family:Helvetica =
Neue,Helvetica,Lucida Grande,tahoma,verdana,arial,sans-serif;font-size:16p=
x;font-weight:bold;text-shadow:0 -1px rgba(34, 59, 115, =
0.85);vertical-align:middle;" href=3D"/settings?tab=3Dpayments"></a></font=
></td></table></td></tr></table></center></td></tr></table></td></tr><tr><=
td style=3D"padding:0;width:100%;"><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"100%" bgcolor=3D"#e0e1e5" id=3D"table_color" =
style=3D"border-collapse:collapse;"><td style=3D""><table =
cellspacing=3D"0" cellpadding=3D"0" width=3D"100%" id=3D"email_filler" =
style=3D"border-collapse:collapse;"><td height=3D"19" =
style=3D"">&nbsp;</td></table><center><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"610" =
style=3D"border-collapse:collapse;"><tr><td align=3D"left" =
id=3D"body_container" style=3D"background-color:#ffffff;border-color:#c1c2=
c4;border-style:solid;display:block;border-width:1px;border-radius:5px;-we=
bkit-border-radius:5px;-moz-border-radius:5px;box-shadow:0 1px 1px rgba(0, =
0, 0, 0.10);overflow:hidden;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" style=3D"border-collapse:collapse;"><td =
style=3D"padding:15px;"><table cellspacing=3D"0" cellpadding=3D"0" =
style=3D"border-collapse:collapse;width:100%;"><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding-bottom:10px;">Hi Milo,</td></tr><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding-top:10px;padding-bottom:10px;">Facebook has changed from =
credits to local currency. You have $2.30 in your account. You can <a =
href=3D"/settings?tab=3Dpayments" =
style=3D"color:#3b5998;text-decoration:none;">review your balance</a> or =
use this money on apps or games in the <a href=3D"/appcenter" =
style=3D"color:#3b5998;text-decoration:none;">App =
Center</a>.</td></tr><tr><td style=3D"font-size:11px;font-family:LucidaGra=
nde,tahoma,verdana,arial,sans-serif;padding-top:10px;">Thanks,<br />The =
Facebook Payments Team</td></tr></table></td></table></td></tr></table></c=
enter></td></table></td></tr><tr><td =
style=3D"padding:0;width:100%;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" style=3D"border-collapse:collapse;" =
id=3D"footer_table"><tr><td style=3D""><center><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"610" =
style=3D"border-collapse:collapse;"><tr><td style=3D""><table =
cellspacing=3D"0" cellpadding=3D"0" width=3D"610" border=3D"0" =
id=3D"footer" style=3D"border-collapse:collapse;"><tr><td =
style=3D"font-size:12px;font-family:Helvetica Neue,Helvetica,Lucida =
Grande,tahoma,verdana,arial,sans-serif;padding:18px 0;border-left:none;bor=
der-right:none;border-top:none;border-bottom:none;color:#6a7180;font-weigh=
t:300;line-height:16px;text-align:center;border:none;">This message was =
sent to <a href=3D"mailto:myEmail&#064;gmail.com" =
style=3D"color:#6a7180;text-decoration:none;font-family:Helvetica =
Neue,Helvetica,Lucida Grande,tahoma,verdana,arial,sans-serif;font-weight:b=
old;">myEmail&#064;gmail.com</a>. If you don&#039;t want to receive these =
emails from Facebook in the future, please <a href=3D"https://www.facebook=
.com/o.php?k=3DAS3FhR4P3qzdS6JW&amp;u=3D100000135460238&amp;mid=3Da409107G=
5af3188d358eG0G28eG21014dad" =
style=3D"color:#6a7180;text-decoration:none;font-family:Helvetica =
Neue,Helvetica,Lucida =
Grande,tahoma,verdana,arial,sans-serif;font-weight:bold;">unsubscribe</a>. =
Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA =
94303</td></tr></table></td></tr></table></center></td></tr></table></td><=
/tr></table></td></tr></table><span style=3D"width:100%;"><img =
src=3D"https://www.facebook.com/email_open_log_pic.php?mid=3Da409107G5af31=
88d358eG0G28eG21014dad" style=3D"border:0;width:1px;height:1px;" =
/></span></td></tr></table></body></html>



--b1_e97806d65a32ea0f70f0cadf5f5df3e6--
    
posta Milo 28.07.2014 - 22:17
fonte

1 risposta

7

Non lo metterei oltre Facebook a "rovinare".

Dalle intestazioni, sembra che i server di Google abbiano visto la richiesta come proveniente dall'indirizzo IP 66.220.144.148, che è effettivamente parte del dominio facebookmail.com . Il server Google ha verificato la firma DKIM sull'email, relativamente alla chiave pubblica trovata nel DNS come record TXT per s1024-2013-q3._domainkey.facebookmail.com : questa è una chiave RSA a 1024 bit e, al momento, la firma corrisponde ancora. RSA a 1024 bit sono ancora oltre la fattibilità tecnologica (il record attuale di interruzione è 768 bit), a meno che non si investa un significativo numero di milioni di dollari nella costruzione di una macchina dedicata, ma sarebbe improbabile che tale investimento sarebbe fatto per l'hacking in Account Facebook.

Pertanto sembra plausibile che l'email sia effettivamente uscita dalle macchine associate al dominio facebookmail.com . È documentato che questo dominio appartiene davvero a Facebook e lo usano davvero per inviare notifiche agli utenti. Ad esempio, questo l'articolo afferma che:

Confusingly, Facebook notifications come from the facebookmail.com domain and include a suspicious-looking sender's name. The long, complicated URL might also look suspicious, but this notification is a legit one from Facebook.

Sono totalmente d'accordo con il "confuso".

Ora, che l'email proviene da Facebook non significa che sia legit; significa semplicemente che se l'email è falsa, l'utente malintenzionato ha compromesso alcune macchine all'interno della rete interna di Facebook e ha inviato l'e-mail da quella macchina.

Come noti, l'email è strana; non sembra "una normale notifica di Facebook; inoltre, i collegamenti cliccabili nell'e-mail sono interrotti (poiché sono collegamenti relativi, senza un protocollo o una parte server, non ti invieranno da nessuna parte se fai clic su di essi - se leggi l'e-mail da una Webmail, loro potrebbe inviarti su qualche pagina su quel server Webmail , qui Gmail.com ...).

La mia valutazione generale è che l'email non è un attacco, ma un errore tecnico da parte di persone di Facebook, che stavano testando alcune notifiche di prototipi per qualcosa relativo a Facebook Game Payments , e ha attivato il sistema per l'account sbagliato (il tuo, in questo caso).

Ad ogni modo, per tutte le email , la regola usuale deve essere mantenuta: DO. NON. CLICK.

Se l'e-mail è legittima, puoi accedere al sito pertinente e vedere di persona. Non è necessario seguire un link cliccabile dall'email stessa. La semplice regola di non fare clic sui link e-mail ti manterrà al sicuro dai tentativi di phishing.

    
risposta data 29.07.2014 - 15:34
fonte

Leggi altre domande sui tag