Bene. Oggi, aprendo la posta, mi sono trovato un messaggio che ha tutta l'aria di essere una variante del messaggio ingannevole dell'avvocato. Vi riporto il testo, così se eventualmente lo ricevete anche voi, sapete che è un trappola e potete tranquillamente cestinarlo. Eccolo qua:
From : "Alex Baldassino" alex.baldassino.33@virgilio.it
To : andrea_sacchini@libero.it
Cc :
Date : Mon, 4 Dec 2006 16:30:35 +0100 (added by postmaster@virgilio.it)
Subject : messaggi pericolosi
> Buongiorno,
> lei e molti altri della mia rubrica mi avete inviato la mail che inoltro
> di seguito. Purtroppo ho paura che si tratti del nuovo email worm che si sta diffondendo
> negli ultimi giorni, le consiglio di eliminarlo al più presto
> per scongiurare danni peggiori ai suoi documenti!
>
>
> Io l'ho eliminato con il removal tool disponibile in questo sito:
> http://www.Best-In-SpyWare-Killer.biz
>
> Spero che possa risolvere
> saluti cordiali
>
> Alex Baldassino
Quello che segue è inceve il testo dell'ipotetica mail che avrei inavvertitamente (per colpa di un worm) inviato al bell'Alex:
> From: andrea_sacchini@libero.it
> To: 'Alex Baldassino'
> Sent: November 24, 2006 15:42
> Subject: bellissimo
>
> apri lo zip allegato è un gioco sessuale!
>
>
> eseguilo e fallo girare!!
>
> ci sentiamo
> andrea_sacchini@libero.it
>
Allora, se vi capita un'e-mail di questo tipo (il mittente e il testo del messaggio possono essere leggermente diversi, ma il senso è quello), cestinatela ed evitate assolutamente di rispondere, anche solo per dire ad Alex di non rompere le balle. Evitate inoltre di cliccare sul link contenuto al suo interno, perché dal sito a cui si viene reindirizzati non si scarica nessun tool di rimozione e non viene fatta nessuna scansione online, semplicemente si scarica il virus stesso.
Vi mostro qui di seguito alcune schermate del sito a cui si accede cliccando sul link contenuto nell'e-mail truffaldina, poi vi dico altre due cosine per chiudere (clicca per ingrandire):
Allora, da alcune indagini ho scoperto che il sito in questione è situato in territorio russo, esattamente come quelli di cui parla Attivissimo in un suo post di qualche giorno fa relativo a questa storia. Uno dei particolari più evidenti che permette di capire che si tratta di un sito truffa è rappresentato dal fatto che è composto solamente dall'home page, non esistono altre pagine. Tutti i link contenuti al suo interno, infatti, sono inattivi. Tutti tranne uno. Questo:
Cliccando su questo pulsante, però, come dicevo prima, non viene avviata nessuna scansione online, ma viene avviato lo scaricamento e l'installazione del virus. Infatti, analizzando il codice html che compone la pagina (cosa che vi risparmio) si vede chiaramente che il file collegato a questo pulsante si chiama removal_tool.exe (notate la pericolosa estensione ".exe"), il programma virale vero e proprio (se volete sapere alcuni dettagli tecnici su come agisce potete dare un'occhiata qui).
Alcune considerazioni per chiudere. Il sito-trappola, come testimoniato anche da Attivissimo nel suo post, è stato per un certo periodo difficilmente raggiungibile, e ciò probabilmente a causa dell'intenso traffico indirizzato a esso. Questo dimostra che purtroppo a questi messaggi abbocca tantissima gente. E la cosa in realtà è anche abbastanza plausibile, perché sono confezionati in modo da indurre chi li riceve ad abbassare il normale livello di prudenza in forza del tono o dell'autorevolezza del messaggio ricevuto.
Nel primo caso, infatti, un avvocato che minaccia di denunciarci se non la smettiamo di importunarlo è sicuramente un espediente psicologico che incute una certa dose di "timore reverenziale", se così si può chiamare. Il messaggio arrivato a me, invece, fa leva sul senso di colpa indotto dal fatto di essere considerati a nostra insaputa "infettatori" di pc.
Insomma, la trappola nel suo insieme è ben congegnata, e anche il sito-truffa è strutturato in modo da conquistare la fiducia di un incauto e superficiale visitatore. Se infatti date un'occhiata alla seconda immagine dall'alto, notate che all'interno sono state inseriti dei finti loghi che rappresentano dei fantomatici (quanto falsi) attestati di affidabilità e sicurezza del sito stesso.
In pratica gli ingredienti per abbindolare l'utente medio ci sono tutti. Come difendersi? Beh, c'è solo un metodo abbastanza valido: la prudenza. Non prendete mai per oro colato tutto quello che vi arriva nella casella di posta, dubitate sempre. E soprattutto non fatevi intimorire da velate minacce di fantomatici studi legali e simili. Non cliccate mai su qualunque link vi capiti a tiro, riflettete sempre, prima; e se avvertite qualcosa che vi fa suonare un campanello d'allarme o che non vi convince, ascoltatelo.
Purtroppo internet è, nel bene e nel male, lo specchio della società in cui si vive. E così come nel mondo reale c'è sempre qualcuno che cerca di mettercelo in quel posto, così è su internet.
Quindi, occhi aperti.
7 commenti:
Qualche altra info sul mio blog
http://www.wizardtale.org/wdc/rocco/2006/12/05/precisazioni-sul-nuovo-avvocato
Sicuramente la minaccia di una denuncia da parte di un avvocato è un espediente di social engineering molto potente.
Io sono stato fortunato, l'antispam di gmail ha bloccato il tutto...
> "Io sono stato fortunato, l'antispam di gmail ha bloccato il tutto..."
Mah, io in genere ho fatto sempre uso della webmail, più che altro per non stare ad impazzire ad aggiornare continuamente i vari freepop e simili.
In genere i filtri antispam dei provider sono piuttosto efficaci, ma evidentemente l'avvocato è riuscito a "intimorire" quelli di libero. ^_^
Grazie Andrea per le tue spiegazioni. Ho ricevuto una simile email, dallo "studio legale Salvatore Reinmund, Via Magenta, Ancona".
Cercando "best-in-spyware-killer" con Google e non cliccando sul link (!)nella email ho trovato il tuo blog. Di nuovo, grazie!!!! Rupert
Di niente, lieto di essere stato utile. ;-)
Grazie Andrea il tuo post. Ho appena ricevuto una simile email, dallo "studio legale Andrea Baldur, Via Magenta 43, Torino".
Cercando "best-in-spyware-killer" con Google e non cliccando sul link (!)nella email ho trovato il tuo blog. Di nuovo, grazie! -Costa
Oggi ho ricevuto una variante da "avvocato Alberto Hippo"(sic)Genova. La via è Battindarno e ricorre spesso(Genova,Firenze,Lecce)nella mail
fasulla, ma quella vera è a Bologna.
Il sito riportasto è: Spywarekillersite.com. Il mittente: alberto.hippo23@iol.it
Posta un commento