Una bella mail truffa arrivata dall’università

Oggi (...o meglio, ieri, ma io ci ho fatto caso oggi) è arrivata una bella quanto inaspettatissima sorpresa di livello supermagico dall'Università...
Una fantastica e-mail truffaldina inculata, che però non capisco dove voglia davvero arrivare!!! 🤩

Appena l'ho vista ho pensato proprio WTF... non tanto perché questo fantomatico "Premio di Incentivazione" (...è una parola esistente in italiano?) o di incoraggiamento non l'ho mai sentito, e per giunta attraverso i motori di ricerca neppure mi esce fuori nulla di esattamente rilevante... 🧩
Ma, principalmente, che cosa avrei fatto per ottenere cotanta roba, io??? Ho una media assolutamente mediocre, 1/3 degli esami lasciati per strada, e al di là di ciò non ho mai fatto niente con nessuno nel contesto universitario (anche perché, a parte forse gli sport, non c'è una mazza da fare per studenti a caso, come di continuo mi lamento)... qui o si sono sbagliati, o la cosa puzza di marcio. 😐

Che roba, guardate, non ho parole...
Tuttavia... anche se sono abbastanza sicura che sia tutta una burla, ovviamente, più per curiosità che altro, non potevo fermarmi alle banali apparenze e cestinare di colpo... e quindi ho guardato per bene oltre, il tutto nei suoi dettagli più minuti... e ora arriva, ma, spoiler: è più incomprensibile di cosa immaginavo. 🙀

Guardando bene la mail, la verità sembra essere la seconda, comunque... cioè che è non so se un tentativo di phishing o cosa, perché in realtà nemmeno funziona (e mò ci arrivo...), ma in ogni caso è una roba sospetta ad un livello indescrivibile. 🤯

Da un lato, proprio la mail, al di là del contenuto, su cui io ci scherzo fino ad un certo punto, è proprio strana di forma...
Cioè... si osservi la formattazione un po' strana ed inconsistente, tra cui addirittura delle linee vuote alla fine del messaggio (che in foto lì non si vedono, ma ci sono), il titolo che è completamente spaccato con simboli a caso e addirittura "Re:" all'inizio nonostante questa non sia una risposta, un elenco puntato con un solo link e l'emoji dell'indice per indicarlo come è tipico per gli spammer (...tra cui io in alcuni miei post, lol, ehh, sono terribile) ed il fatto che nemmeno mi chiama per nome, nonostante la lettera sia indirizzata in modo diretto a me come persona singola generica... 😰

Ma poi, a parte che non è nemmeno spedita direttamente a me, bensì il destinatario è lo stesso mittente, e io sarò probabilmente in copia carbone nascosta (e anche questo non si vede in foto, ma vi assicuro)...
Chi me la spedisce, che ovviamente nella schermata ho censurato, è un indirizzo che dal sito dell'Università vedo appartenere ad una persona che boh, mai sentita... senza foto sul profilo poi (a differenza di tutti i professori), e che risulta ricercatrice... niente di meno che al Dipartimento di Scienze Umane, Filosofiche e della Formazione, dove direi che proprio non ho mai messo piede!!! ☠️

In altri casi mi chiederei ordunque come ha fatto una persona del genere ad ottenere il mio contatto, senza riuscire ad ottenere però allo stesso tempo nemmeno non dico il mio nome, ma il cognome, che è scritto in lungo nella mail universitaria... ma in questo caso ho come il sospetto che, essendo la mail molto puzzona, e quindi al 99.99% falsa, magari a questa tizia è semplicemente stata violata la casella di posta, e qualcuno ha usato il suo indirizzo istituzionale per inviare questo tipo di messaggi in massa agli studenti, penso (anche perché i docenti non hanno accesso SPID obbligato alla GMail, quindi è plausibile che qualche hacker russo sia entrato semplicemente digitando la password miaomiao57)... 😭
Ma, ovviamente, più ho guardato e più la cosa è peggiorata... quindi, attenzione alla bomba adesso...

In realtà io, tutti i dettagli sospetti che a posteriori ora ho riconosciuto, attivando il mio autismo magico per individuarli tutti (...e spero di non averne tralasciato nessuno, altrimenti sarebbe per me l'ennesima vergogna in quanto dimostrazione di problemi di skill persino nell'attuazione dei miei stessi poteri di primo livello), all'inizio non li avevo notati, perché semplicemente non ci ho pensato... 😅
Almeno, finché non ho cliccato quel bel link che sta nel messaggio, perché ovviamente volevo sapere che roba fosse questa...

E beh, non è proprio buono... il testo riporta al sito dell'università, ma l'effettivo URL del link riporta ad un sito mai visto, dal dominio bizzarro, che ha tutta l'aria di essere uno shortlink sospetto!!! 😱😱😱
E la cosa è talmente poco buona che FairEmail addirittura fa uscire un avviso in rosso... che io però in realtà nemmeno ho letto, abituata a questo popup per ogni maledetto link in questo maledetto client mail (anche se senza l'avviso, normalmente)... ma me ne sono accorta quando nella barra degli indirizzi del browser è uscito per l'appunto l'URL strano; e a quel punto sono saltata con un WTF per davvero. 😫
Ovviamente, ho provato anche a navigare all'indirizzo dell'università visibile come testo... a cui per giunta manca una lettera nella parola incoraggiamento, che cazzo di disastro... ma, sia copiato esattamente che con qualche variazione logica, riporta solo a pagine 404. 🏝️

Già questo è decisamente non normale, e si potrebbe, nonché forse si dovrebbe per sicurezza, abbandonare il tutto già a questo punto... 🤢
Ma, per fortuna, non siamo più nel 1999, e quindi il semplice cliccare link strani, avendo poi ad-blocker e tutte le $[sparkle magie] nel browser, non comporta rischi alla vita o al patrimonio... quindi comunque ho continuato, sperando di trovare una succosa pagina di phishing, e... niente: è un vicolo cieco. 😶
Tutto ciò che questo link nasconde è un redirect ad un dominio ancora più strano, per giunta russo (...!!!), su un percorso di caratteri alfanumerici a caso (che qui censuro perché boh, non sia mai sia legato alla mia specifica copia della mail), che però, oltre ad essere solo HTTP giusto per non farci mancare niente, semplicemente non è accessibile. 💥

...Ma zio pera! Peccato, perché a questo punto veramente mi rimangono solo misteri in mano... e la storiella sì, è intrigante anche solo finita a questo punto, ma se si chiude così mi ammazza il climax... che palle. 💔
Però boh... a parte che non capisco chi cavolo dovrebbe sottrarre la casella di posta universitaria ad una ricercatrice a caso per inviare mail di questo tipo agli studenti... nel senso, che tipo di campagna di attacco è mai questa... chi ha mandato i messaggi è stato per caso incapace di coordinarsi con chi doveva impostare il sito per le magagne, o che minchia è successo qui??? 😭😭😭

Comunque... detto che questo assurdo mistero della mail difficilmente verrà davvero risolto, perché dai piani alti ancora non ho sentito neanche... non dico una parola, ma una lettera, perché come al solito non lavora praticamente nessuno in questo postaccio di disperazione... 🥴
Dal gruppo della classe è uscito qualche dettaglio in più; ma niente di ricco eh, solo poca roba per chi, come me, osserva fin troppo. 👁️

A parte un post di avviso inoltrato dall'associazione studentesca, che allego qui per i posteri, perché veramente questa situazione è assurda e deve essere ricordata all'infinito... 😩
E, oltre al fatto che noto, dalle schermate delle email inoltrate da altri, che più indirizzi email sono stati violati... almeno 2, ma forse di più... 💩
C'è chi il link è riuscito ad aprirlo!!! E, visto che mi sembra impossibile che prima funzionasse e ora no, ma a casaccio, per problemi del server e non per sequestro del dominio, devo supporre che a diverse persone siano arrivati magari link diversi... ma a questo punto non posso saperlo, perché già non conosco nessuno a cui chiedere, figuriamoci qualcuno con fissazioni autistiche come le mie. 💔
E però, comunque sia, mo' mi diverto ancora di più...

Ecco allora la pagina di truffa (o, forse, una pagina), che grazie ad una singola persona nella chat ho potuto vedere; con questa schermata mezza sfatta, ma pur sempre meglio di niente... 😳
Ed è davvero qualcosa di mistico!!! Che bellezza, che gran puzza, che vibe immacolate... (Nel senso di interamente sporche senza una macchia di pulito che rovini l'esperienza!)

Era dai tempi di siti come Clash Royale Free Credit Generator o altre schifezze del genere che non vedevo questo format... in realtà, in questo caso con layout minimale, e non colorato né stile giochi, né stile ATTENZIONE MALWARE!!!, quindi ben adatto al 2026... 👌
Ma, come si dice, il lupo cambia la skin ma non il vizio, e quindi tutto sommato vediamo la solita solfa di falsa attesa per boh... in questo caso, purtroppo, non sappiamo cosa c'è oltre, ma fidatevi che l'impossibilità di sapere sta uccidendo più me che voi.

A parte che mi fa fottutamente saltare il fatto che sia in francese, perché già di per sé è ancora più meme così, e poi non capisco perché minchia fare il sito in francese volendolo indirizzare a vittime italiane, per alla fine hostarlo poi su domini russi (almeno, il mio era russo, poi questo non si vede)... 😭
Minchia, ha tutta la trafila allucinante!!! Verifica di sicurezza in corso, attendere pazientemente... Verifica dell'ambiente di navigazione... Analisi della protezione contro i robot... Validazione dei certificati di sicurezza... (?) Controllo dell'integrità del sistema... (???) E, infine, pure 2 emoji, che non fanno mai male, per aggiungere quel poco di colore e stile in più... anche se, a questo punto, mi chiedo perché non metterne anche altre. 🎈

Però, scusate... che razza di phishing è mai questo, almeno nel contesto di indirizzarlo a studenti dell'università??? In genere, queste pagine così fanno questo finto caricamento, per poi dire all'utente che è un robot o qualcosa del genere, e deve verificarsi per proseguire... inserendo in genere numeri di telefono, carte di credito, e così via; certamente non le credenziali universitarie — che, tra l'altro, comunque lo studente medio non ha proprio, visto che l'accesso per gli italiani è via SPID — ma francamente nemmeno quelle dei social media ho mai visto venir chieste su questi siti. 😵
...Questa campagna di spam è veramente stata architettata da dei morti di fame, se sospetto correttamente. 🤦

Per concludere definitivamente questo thread già lunghissimo ma lasciato mezzo così, visto che oggi sembra che quasi non riesco a parlare di cose nuove e a malapena riesco a recuperare la rumenta non notata, dato che questa storia ormai sembra abbandonata a sé e non si scoprirà nulla di nuovo di più interessante...
Il giorno dopo la cosa, avevo risolto anche il mistero dello shortlink contenuto nella mail di phishing!!! 🤯

Avevo detto che il link usato nella mail mi pareva particolarmente strano... non solo perché il dominio, bybobyy.com, sembra di per sé strano, perché sembra una parola inesistente come spesso si vede per gli accorciatori di link... ma perché, in realtà, quel sito sembra essere un normale sito personale di un tizio a caso mai sentito che vive in Indonesia e boh, ha i suoi progettini, le sue robe, come me... 🤥
Quindi, mi sono chiesta: WTF, hanno hackerato il sito apparentemente statico di un tizio a caso sul web per usarlo per fare redirect al loro server truffa che alla fine manco funzionava??? 🤨

In realtà, no... la cosa è molto più stupida: questo tizio ha un suo link shortener sul sito, a https://bybobyy.com/zap/, e quindi chiunque può usarlo per creare la propria robaccia... meglio così va, pensavo peggio. 👽
Poi, in realtà non ho idea di come sia stato trovato dai truffatori per essere abusato, visto che girando tra le pagine del sito non è ben pubblicizzato, bensì l'ho trovato menzionato e linkato in mezzo ad altra roba giusto in questo articolo del blog, come se niente fosse: https://bybobyy.com/blog/how-i-built-personal-website-and-shipped-it...
Ma, ok: ecco un utile promemoria annuale di come, se ospitate un URL shortener pubblico e anonimo sul vostro sito, prima o poi verrà abusato!!! 💔