pagine fraudolente

In modo abbastanza prevedibile è tornato il phishing contro i clienti Carrefour. I criminali hanno bissato l’offerta (fraudolenta) di una carta prepagata Carrefour del valor di 500,00 Euro al costo di soli 100,00 Euro.

Le pagine fraudolente venivano visualizzate all’url http://carrefourfast.com, venendo in realtà tratte attraverso un frame dall’url

pagine fraudolente

 

http://www.comcarrefourpress.com/Carrefour/index.html, come mostrato dal codice html visibile nell’immagine sottostante.

codice html

Cliccando sul pulsante “Registrati ora” si veniva portati a successive pagine nelle quali venivano richiesti i dati anagrafici e della carta di credito.

Mentre dominio carrefourfast.com risultava creato nella giornata di ieri 29 Luglio 2013 ed in hosting su un server straniero,

whois carrefourfast.com

il dominio comcarrefourpress.com risultava essere stato registrato il 26 Luglio presso Register.it, attuale manteiner.

whois comcarrefourpress.com

 

Carrefour SpA è stata notiziata del tentativo di frode in atto e nel primo pomeriggio odierno le pagine sul server italiano non erano più presenti, sebbene il dominio risulti ancora attivo.

Le modalità attuative e diversi refusi presenti nel codice sembrerebbero indicare che gli autori siano i medesimi della frode individuata l’8 Luglio scorso e che si tratti della medesima organizzazione criminale che in passato aveva già colpito anche Agip/Eni.

Il fatto che i criminali abbiano ripetuto l’attacco potrebbe indicare che qualche risultano l’hanno tratto. Il gruppo Carrefour è presente in

screenshot da http://www.carrefouritalia.it/gruppo/azienda/rete_di_vendita.html

(immagine tratta da http://www.carrefouritalia.it/gruppo/azienda/rete_di_vendita.html)

quasi tutte le regioni italiane con ipermercati, market ed express, con una particolare concentrazione nel nord ovest e nel Lazio. La probabilità che i messaggi di posta ingannevoli giungano nelle mailbox di effettivi clienti del gruppo non è quindi irrisoria.

Pagina fraudolenta Europol

Continua il tentativo dei criminali di spillare soldi agli utenti più ingenui della rete attraverso la falsa intimazione da parte di organi di polizia a pagare una sanzione a seguito di presunte attività criminali perpetrate attraverso l’uso del proprio pc.

Pagine web con i loghi di Europol ed FBI

Pagina fraudolenta Europol 

 

 

pagina fraudolenta fbi

 

indicano che tutta l’attività del pc viene registrata e che tutti i file sono stati criptati a seguito di possibili azioni illecite svolte al computer:


 

ATTENTION!
All your files are encrypted to prevent their distribution and use.
Due to violations of the law, your browser has been blocked
because of at least one of the reasons below.

  1. You have been subjected to violation of Copyright and Related Rights Law and illegally using or distributing copyrighted contents such as Video, Music or\and Software (files were found in your browser’s temporary files and your documents), thus conflicting with Article 1, Section 8, Clause 8 of the Criminal Code of the Great Britain.
    Article 1, Section 8, Cause 8 of the Criminal Code states a fine or two hundred minimal wages or a deprivation of liberty of two to eight years.
  2. You have been viewing or distributing prohibited Pornographic contents: Child Porno photos and such, were found in browser’s temporary files and your documents.
    Thus, you are violating article 202 of the Criminal Code of the Great Britain. Article 202 of the Criminal Code states a deprivation of liberty of four to twelve years.
  3. Illegal access has been initiated from your PC without your knowledge or consent, your PC may be infected with malware, thus you are violating the law of Neglectful Use of your Personal Computer. Article 210 of the Criminal Code declares a fine of up to £50,000 and/or deprivation of liberty of four to nine years.
    Pursuant to the amendment of the Criminal Code of the Great Britain of May 28, 2011, this law infringement (if it is a first time offence) may be considered as conditional in case you pay the fine.

 

Naturalmente gli autori della frode propongono una possibile soluzione anche a fronte di reati tanto gravi come la detenzione di materiale pedo pornografico citata al punto 2


 

To unlock your computer and to avoid other legal consequences, you are obliged to pay a release fee of £200. Payable through Ukash (you must purchase the Ukash card and enter the code). You can buy the card at any store or gas station, payzone or epay terminal location.

Find the nearest epay or payzone location.
Go to any location with a PayPoint or Payzone terminal.
Ask for Ukash: 200.00GBP

Please note: Fines can only be paid within 12 hours. As soon as 12 hours expire, the possibility to pay the fine is lost forever. All your PC data will be detained and criminal’s procedure will be initiated against you if the fine will not be paid!


 

Basta pagare 200 sterline attraverso il circuito di moneta elettronica Ukash!

Per semplificare la vita a chi teme di essere un reo i veri criminali forniscono le indicazioni per l’acquisto di carte Ukash

acquistare ukash

inserito un qualsiasi codice numerico di 19 cifre, tale è la lunghezza dei codici Ukash si ottiene la promessa dello sblocco/dissequestro del computer in 12 ore!

il pc verrà sbloccato

 

All’apertura delle pagine sopra mostrate la barra del browser mostrerà la dicitura “YOUR BROWSER HAS BEEN LOCKED” e i più ingenui potrebbero spaventarsi nel momento incui cercando di chiudere la pagina otterranno un minaccioso pop-up

pop-up minaccioso

indicante l’avvio di un procedimento nel caso non si ottemperi al pagamento secondo le modalità descritte.

 

Gli url rilevati da D3Lab

hxxp://europol.europe.eu.id6575465334-3999456674.k8381.com/
hxxp://fbi.gov.id657546456-3999456674.k8381.com/ 

fanno riferimento a pagine gestite presumibilmente attraverso rewrite e htaccess, apparentemente inserite in un sito web di  

sito web incontri

incontri compromesso. Apparentemente htaccess interviene rilevando le stringe europol e fbi.gov ad inizio url, infatti gli url

hxxp://europol.k8381.com/
hxxp://fbi.gov.k8381.com/ 

conducono alle medesime pagine viste sopra.

Il sito k8381.com sembra in realtà essere un comodo contenitore per i file costituenti la struttura della frode, la registrazione del dominio risale infatti a solo 8 giorni fa

   Domain Name: K8381.COM    Registrar: EVOPLUS LTD    Whois Server: whois.evonames.com    Referral URL: http://www.evonames.com    Name Server: NS1.TOPDNS.ME    Name Server: NS2.TOPDNS.ME    Name Server: NS3.TOPDNS.ME    Status: ok    Updated Date: 10-jul-2013    Creation Date: 08-jul-2013    Expiration Date: 08-jul-2014

i motori di ricerca non danno nessuna informazione, WayBackMachine riporta screenshot solo per lo scorso 14 Luglio

WayBAckMachine

e ogni tentativo di registrarsi non sortisce alcun effetto.

Sebbene questo tipo di frode possa apparire dozzinale si ha testimonianza diretta di persone ne sono state vittima.

mail fraudolenta

Spesso le cronache riportano notizie di frodi digitali, in particolare relativamente alla clonazione di bancomat e carte di credito, evidenziando il coinvolgimento in tali attività criminose di cittadini rumeni.

Sfortunatamente non si tratta di un luogo comune, di considerazioni fomentate da focolai xenofobi.

L’analisi degli attacchi di phishing consente non di rado di determinare come diverse attività finalizzate all’implementazione della struttura di attacco vengano portate da indirizzi IP rumeni, in altri casi (come più volte riportato da Edgar’s Internet Tools ed in passato su DenisFrati.it) l’analisi dei kit di phishing, l’insieme delle pagine costituenti i siti clone, rivela nel codice la presenza di numero commenti in lingua rumena.

Tale coinvolgimento è evidenziato anche dall’odierno tentativo di frode a danno degli utenti Vodafone.
La mail fraudolenta che centinaia di utenti del web avranno trovato stamane nelle proprie caselle di posta, transitata per un server di 

 mail fraudolenta

 

posta indonesiano, riprende l’attuale offerta ampiamente pubblicizzata in televisione per la promozione Vodafone Summer Smart500 e presenta le seguenti caratteristiche:

Mittente visualizzato: “Vodafone” <[email protected]>

Oggetto: Smart 500 ti costa la metà.

Testo del messaggio (codificato in base64):

———————————————————————————————————–

GENTILE CLIENTE,
SUMMER PROMO 500
Vodafone fino al Giovedi 11 luglio 2013  ti premia con il doppio della ricarica  in più sulle ricariche effettuate online.
In più Vodafone ti regala 2500 minuti gratis per parlare verso tutti i numeri Vodafone e internet illimitato.

Scegli il metodo che preferisci e ricarica:

www.vodafone.it

Grazie per avere scelto Vodafone per i tuoi acquisti. Scopri l’Area di Assistenza: potrai trovare guide,
 video, manuali e strumenti per utilizzare al meglio tutti i servizi Vodafone.


Servizio Clienti Vodafone

Questo è una mail inviata automaticamente. Ti chiediamo di non rispondere a questo indirizzo.

———————————————————————————————————–

 

Il link proposto nella mail conduce a pagine web fraudolente posizionate in un dominio .eu, registrato ad hoc a nome di un cittadino

 

pagina fraudolenta

 

italiano nella giornata di ieri, su un server condiviso con altri  481 domini.

Registered July 9, 2013
Expiry Date July 31, 2014
Last update July 9, 2013, 3:00 pm

su un server condiviso con altri  481 domini.

L’attività di analisi ha permesso di recuperare il kit del criminale dalla cui analisi emerge

1- la nidificazione di pagine di phishing

struttura kit

per Lottomatica e Poste Italiane a cui l’utente viene inviato in base alla tipologia di carta di credito inserita per l’acquisto della presunta offerta, come mostrato dalle immagini sottostanti.

pagina fraudolenta Lottomatica

 

pagina fraudolenta Poste Italiane

 

2- presenza di commenti al codice dei file php

codice php

 

che il traduttore di Google determina essere in lingua rumeno.

traduttore di google

 

L’esame dei file php indica che le credenziali carpite alle vittime vengono via mail ad uno specifico indirizzo mail,

 

destinatario credenziali

 

già rilevato nei giorni scorsi in relazione ad altri tentativi di frode a danno di utenti Vodafone e Poste Pay.

Quanto sopra descritto, così come quanto riportato nei blog sopra citati, sembra indicare un forte orientamento per le organizzazioni criminali rumene verso il mondo digitale.

enti colpiti da phishing 1° semestre 2013

Il primo semestre 2013 si conclude confermando il phishing quale minaccia sempre attuale!

enti colpiti da phishing 1° semestre 2013

Nei primi sei mesi dell’anno D3Lab ha rilevato 1247 differenti url fraudolente di attacco. In più di un caso tali url sono state riutilizzate più volte consecutivamente, anche a distanza di diversi mesi.

Incredibilmente alcuni file fraudolenti, in particolare i file php inoculati in host remoti ed usati dai criminali per la gestione delle credenziali inserite nei file htm/html allegati alle mail di attacco, sopravvivono per settimane, addirittura mesi.
L’utente non visualizzando il file remoto non ne segnala l’esistenza ed una carente analisi dell’attacco non porta alla sua eliminazione.

Il confronto degli attacchi portati ai vari enti nei semestri 2012 e nel semestre appena conclusosi conferma Poste Italiane quale ente maggiormente attenzionato dai criminali, sempre interessati alla “conquista” dei dati degli account Poste Pay, mentre Carta Si, che lo scorso anno si era ritagliata il secondo posto nell’interesse delle organizzazioni criminali, può vantare una forte contrazione di attacchi in questi primi sei mesi.

confronto enti colpiti dal phishing 1° e 2° semestre 2012, 1° semestre 2013 

Anche Banca Popolare dell’Emilia Romagna ed Unicredit hanno avuto un sostanzioso calo nei tentativi di frode ai loro clienti, al contrario di Lottomatica, la cui card si è rivelata ancora un obbiettivo di deciso interesse per le organizzazioni malavitose, nonostante il calo del secondo semestre 2012.

Il cyber crime ha confermato il proprio interesse per PayPal, probabilmente l’ente più colpito a livello mondiale (monitorato da D3Lab solo relativamente ai tentativi di frode in lingua italiana), così come per Intesa San Paolo, Eni/Agip, Vodafone e Wind.

Il semestre appena conclusosi ha mostrato un forte interesse dei criminali per le società non bancarie, eroganti servizi per i quali sono plausibili offerte attraverso le quali le organizzazioni criminali mirano ai codici di carta di credito degli utenti.

Delle nuove new entry meritevoli di citazione solo Deutsche Bank è ..appunto una banca, mentre per quanto riguarda Venere.com/Expedia, Eurobet e TIM i criminali mirano alle carte di credito, chiedendo direttamente le credenziali o tentando di conquistare l’accesso agli account da cui recuperare tali dati.

Analizzando le modalità di attacco, sia su base quadrimestrale

modalità di attacco confronto quadrimestri

che semestrale

modalità di attacco confronto semestri

si assiste ad un incremento degli attacchi con link diretto a sfavore di quelli con redirect, in decisa flessione, e con form. Per questi ultimi è quasi scomparso l’uso di allegati mht, precedentemente rappresentanti una minoranza.
La forte riduzione di questi ultimi e in parte da imputarsi al crollo dei tentativi di frode a Carta Si, avendo rappresentato nell’anno passato la metodica maggiormente usata nei tentativi di frode agli utenti di tale card.

Dal punto di vista operativo si sono rilevati alcuni aspetti di particolare interesse:

1- l’aumento di dominio creati ad hoc, talvolta con l’acquisto dei certificati ssl al fine di rendere maggiormente ingannevole la frode;

2- l’utilizzo di svariate metodiche al fine di ovviare ai meccanismi di black listing attraverso complessi meccanismi con innumerevoli redirect gestiti da script,

redirect innumerevoli e consecutivi

con la creazione di path finali aventi nomi univoci,

 

creazione patch/directory con nomi univoci

o con l’uso di file htaccess che consentono di avere diversi path/url di attacco puntanti alla medesima struttura.

 

htaccess

 

3- l’inserimento di phishing nidificati a cui l’utente approda in base al gestore della carta di credito da lui posseduta e di cui ha inserito incautamente i dati.

D3Lab coglie l’occasione per sfatare due luoghi comuni:

  • il phishing miete molte vittime, basta leggere i file nei quali i criminali scrivono talvolta le credenziali catturate, per rendersene conto;
  • non è affatto vero che tutto avviene dall’estero, che non vi sia il coinvolgimento di soggetti italiani. I cyber criminali per fare cash out necessitano anche di operatori in Italia, sono loro necessari per attivare conti e account e studiare la struttura da colpire. Ma non solo, il monitoraggio costante consente di rilevare l’utilizzo di server, domini creati ad hoc, indirizzi ip e caselle di posta elettronica con domini .IT o comunque residenti su territorio nazionale, sui quali forze di polizia e magistratura hanno giurisdizione.

Il contrasto e l’azione investigativa sono possibili e D3Lab è sempre disponibile, sia verso le aziende, sia verso le forze dell’ordine e della magistratura.

mail fraudolenta

In questo momento di crisi economica le famiglie sono sempre più attente alle offerte nel tentativo di risparmiare anche sulle spese di tutti i giorni. I criminali ne sono consci e, come si è rilevato in passato con le false offerte Tim, Vodafone, Wind e Agip, con molta fantasia e facilità propongono false offerte miranti a catturare i dati delle carte di credito degli utenti più ingenui.

Nella giornata di ieri, domenica 7 Giugno 2013, è stato rilevato un tentativo di frode ad opera dei medesimi autori delle recenti frodi Agip/Eni, facente uso di marchi e loghi Carrefour.

mail fraudolenta

 

Il messaggio di posta elettronica fraudolento, partito da un server britannico,  presenta le seguenti caratteristiche:

Mittente visualizzato:  “Leggi come ottenere 500 Euro da Carrefour” <[email protected]>

Oggetto: Carrefour ti restituisce 500 euro di Buono Spesa

Testo del messaggio:

————————————————————————————————————————————————–

 

Con il DECRETO-LEGGE 8 aprile 2013, n. 35
in cui il Consiglio dei Ministri anticipa i pagamenti alle P.A. e aiuti per le famiglie,

Carrefour Spa ti consente di acquistare la carta Prepagata SpesAmica del valore di 500 Euro al prezzo di 100 Euro

(80% rimborsato dal Ministero dello Sviluppo Economico).

segui le indicazioni su :

Carrefour Italia Spa

 

_________________________________________________________________________

con sede legale in Milano, via Caldera 21, capitale sociale Euro 12.000.000,00 i.v., codice fiscale, partita IVA e numero di iscrizione del Registro Imprese di Milano 08652300156 

————————————————————————————————————————————————–

Il link proposto porta i visitatori a visualizzare la pagina all’url hxxp://carrefour.cable-modem.org, spazio web di un dominio registrato

pagina fraudolenta

prosso No-IP.com. Il sorgente evidenzia come in realtà il codice delle pagine sia visualizzato attraverso un frame, il cui reale sorgente

sorgente pagina

è all’indirizzo evidenziato in rosso nell’immagine soprastante. Il dominio 1nove1.net risulta essere stato registrato il 4 Luglio scorso.

Cliccando sul pulsante “Registrati” al fine di accedere all’offerta, si visualizzano pagine la cui struttura abbiamo imparato a conoscere esaminando i tentativi di frode più recenti a danno della compagnie di telefonia mobile e di Agip/Eni, in cui vengono chiesti dati anagrafici e delle carte di credito

pagina fraudolenta

 

pagina fraudolenta

Le pagine web successive, aventi funzioni di verifica, contengono phishing “nidificati” con richieste di ulteriori dati relativi agli account od ai gestori delle carte i cui dati sono stati inseriti.

falsa verifica carta si

 

falsa verifica poste pay

E’ interessante notare, come ben evidenziato nell’analisi pubblicata su Edgar’s Internet Toos, i molti fattori che accomunano questo attacco con quelli alle compagnie telefoniche e ad Agip/Eni: layout pagine, link relativi, css, domini, ecc… Addirittura il criminale non si è nemmeno preso la briga di ricreare i path interni delle directory, mantenendo, come evidenziato nell’immagine sottostante, quelli relativi ai siti clone usati per le frodi con loghi e marchi Agip/Eni.

dettaglio dell'url 

 

La comunanza di fattori tra i diversi attacchi, così stretta da potersi definire quale modus operandi e firma, permette di correlare molteplici tentativi di frode ad un unico soggetto criminale, presumibilmente non costituito da un singolo individuo. A fronte di una organizzazione a delinquere tanto attiva e spudorata siamo certi le forze dell’ordine sapranno mettere in campo le idonee strutture e risorse. D3Lab rinnova la propria disponibilità a dare ausilio all’attività investigativa.

 

Il cambiamento degli scenari politici in Afghanistan ha a tempo portato la coalizione ISAF a modificare il proprio impegno a favore delle popolazioni e del governo locale. All’iniziale supporto alla formazione della polizia afghana con i police advisor team si è affiancato il supporto alla formazione delle forze armate afghane con i MAT (Military Advisor Team).

D3Lab è stata chiamata a partecipare alla formazione del personale militare italiano inviato in Afghanistan presentando nuovamente, presso le aule del Centro Addestramento Alpino dell’Esercito di Aosta, le lezioni relative al repertamento degli indizi digitali che possono essere rinvenuti in teatro di operazioni.

Onorati del compito assegnatoci!

Falsa mail Eurobet

Eurobet è un sito di scommesse on-line, con dominio .it registrato dalla Eurobet UK Limited sin dal 2000.

L’utente del sito crea presso lo stesso un proprio conto/portafoglio sul quale caricare il credito per effettuare le scommesse e successivamente riscuoterlo. I criminali, che attraverso una mail in cui segnalano problemi di sicurezza relativi all’account mirano a

Falsa mail Eurobet

 

carpire le credenziali di accesso all’account, potrebbero abusare dell’account “conquistato” per svuotare il conto virtuale dal credito accumulato dal legittimo giocatore, o per scommettere con soldi di provenienza illecita, ricaricando il conto da carte di credito i cui dati sono stati carpiti con altri attacchi di phishing.

 

falsa pagina Eurobet

 

La falsa pagina web è finalizzata alla sola cattura di username e password dell’account. Una volta inseriti i dati e premuto il pulsante di invio si approda su una seconda pagina che conferma il corretto svolgimento dell’operazione di verifica. Ogni link presente in quest’ultima pagina conduce al vero sito di scommesse.

 

falsa pagina Eurobet

Cyber Defence Symposium

D3Lab ha avuto il piacere di essere chiamata a partecipare all’edizione 2013 del Cyber Defence Symposium organizzato dalla Scuola Telecomunicazioni delle Forze Armate.

L’evento svoltosi nella splendida cornice di Sestri Levante nelle giornate del 16 e 17 Maggio ha visto la partecipazione di numerosi ospiti, con interventi volti a proporre soluzioni commerciali ed interventi divulgativi/formativi di altissimo livello, con relatori di grande professionalità e competenza quali Giuseppe Dezzani, Paolo Dal Checco e Mattia Epifani per la digital forensics, la dottoressa Francesca Bosco, ricercatrice dell’UNICRI in ambito crime e cyber crime, il dott. Stefano Mele profondo conoscitore degli scenari e strategie internazionali legati alla cyber war, nonché rappresentanti delle forze armate, dagli ufficiali di collegamento presso i comandi internazionali NATO a Talin, dedicati proprio ad affrontare le problematiche cyber dei presenti e futuri conflitti, ai quadri responsabili degli assetti TLC, che consci delle problematiche nascenti stanno sviluppando in proprio soluzioni ed assetti con i quali affrontarle, come i reparti dell’Aeronautica Militare.

Non sono mancati gli interventi relativi a tematiche legali e normative, come quello del Dr. Giuseppe Corasaniti della Procura Generale presso la Corte di Cassazione.

D3Lab ha partecipato trattando con approccio pratico le tematiche della digital forensics sul campo di battaglia e della cyber war.

 

Il Cyber Defence Symposium organizzato dalla Scuola Telecomunicazioni delle Forze Armate è un evento importante, che è bene si continui a ripetere in futuro, rappresentando la presa di coscienza da parte della Difesa della problematica da tempo esistente legate alle minacce presenti in rete.

Cyber Defence Symposium

mail fraudolenta

Dopo Vodafone e Wind anche Telecom Italia Mobile finisce nel mirino dei phisher, interessanti non agli account TIM, ma alle carte di credito degli utenti del gestore di telefonia mobile.

 

mail fraudolenta

 

Il messaggio di posta fraudolento presenta le seguenti caratteristiche:

Oggetto: Telecom Italia Mobile offre!

Mittente apparente: Telecom Italia

Corpo del messaggio:

Gentile cliente,

Telecom Italia Mobile offre il 100% di bonus sul ricaricare il vostro
telefono cellulare in linea.

Ricaricare ora!

© Telecom Italia 2013 – P.IVA 00488410010.

Il codice html con cui il messaggio è composto nasconde sotto le parole “Ricaricare ora!” il collegamento ipertestuale alla pagina web fraudolenta.

Sono arrivate molte copie del messaggio fraudolento evidenziano l’invio dello stesso da molti account diversi:

[email protected] [email protected] [email protected] [email protected] [email protected]

evidenziando in tutti i casi l’invio dal medesimo indirizzo ip francese 94.143.115.XXX

La pagina clone, in hosting su un server con indirizzo ip tedesco, richiede di scegliere il taglio della ricarica, il numero di telefonia

 

pagina web fraudolenta 

 

mobile ed i dati della carta di credito, che vengono validati in base ai circuiti di appartenenza, Visa o Mastercard. Inseriti i dati e premuto il pulsante di conferma si giunge sulla seconda pagina nella quale viene chiesto il secure code.

 

pagina fraudolenta

 

la vittima viene quindi riportata alla home page del sito TIM reale.

Interessante notare che sulla home page del server usato dai criminali è stata inserita una finta pagina di SourceForge

 

finta pagina sourceforge

 

che è possibile confrontare con la sottostante pagina reale del progetto mpg123 su SourceForge.

 

Pagina reale SourceForge

 

cover

Il 20 Febbraio scorso D3Lab ha festeggiato il primo anno di completa operatività!

Si è trattato di un anno intenso che ha visto l’azienda crescere, trovare nuovi consensi e clienti, migliorare i propri servizi. L’impegnativa attività è stata condensata nelle 17 pagine del Rapporto D3Lab 2012, un documento in cui si analizza quanto fatto e rilevato nel 2012 e nel primo bimestre 2013, con particolare riguardo e dettaglio al phishing.

 

cover

Il documento, pensato per società ed aziende interessate ai servizi proposti da D3Lab e per il law enforcement nazionale, non è disponibile in download ma ne deve essere fatta richiesta via mail aziendale scrivendo a [email protected]

 

Indice contenuti

indice

 

Pagina 6

pagina 6

 

pagina 8

pagina 8

 

pagina 10

pagina 10