mercoledì 20 febbraio 2008

L'e-mail "Sei indagato", con mittente Mauro Biffi, è un trojan

Un lettore, Marco M. (che ringrazio), mi ha segnalato di aver ricevuto questa mattina un'e-mail con questo testo:
Sei indagato. Cerca di nascondere subito tutto, e fai veloce!!! Il tuo nome è comparso questa mattina sul sito del Caff di Roma. Controlla tu stesso sei nella lista di gennaio e indica un indirizzo internet cui collegarsi per una personale verifica. Nel post scriptum si legge 'in ogni caso io non esisto, mi raccomando, non fare mail il mio nome!!!?
Avendo ricevuto solo una segnalazione, lì per lì non ci ho dato molto peso. Poi ho notate che qualcuno cominciava a parlarne e che su Google cominciavano ad apparire i primi risultati, e quindi ho messo da parte la mia filosofica calma e ho fatto qualche piccola indagine.

Il mittente del messaggio (ovviamente falso) è un certo Mauro Biffi, e cliccando sul link presente all'interno si viene reindirizzati a un sito chiamato

http://www.mail-certificata.com/caff/

che, da una rapida ricerca whois, risulta hostato su un server dell'Illinois. Ecco come si presenta:




Il sito che vedete e i vari loghi rappresentati al suo interno sono completamente falsi, e cliccando sul link "Click here to view list" si scarica un eseguibile chiamato pdf-01-2008.exe (notate l'astuzia nel nominare il file facendolo iniziare con un rassicurante "pdf"):




Una rapida analisi online consente di smascherare il tentativo di infezione: si tratta infatti di un trojan (report qui). Da notare che (almeno al momento in cui scrivo) non tutte le aziende produttrici di antivirus hanno rilasciato le definizioni aggiornate per questo file, tanto è vero che ad esempio kapersky e alcuni altri non lo riconoscono come infetto (come potete vedere nel report che ho linkato).

Quindi, se state utilizzando un sistema operativo Windows, evitate assolutamente di scaricare il file: l'antivirus che avete installato potrebbe essere tra quelli che ancora non fiutano il pericolo.

Sul metodo di infezione niente di nuovo da dire. Il meccanismo è di quelli già visti altre volte in precedenza e fa leva sulla paura generata dal fatto di essere stati beccati in flagrante a combinare qualcosa di poco lecito. Il testo non specifica nulla al riguardo, ma l'ignaro utente potrebbe di primo acchito pensare di essere stato identificato e inserito in un elenco di nomi di persone beccate ad esempio a scaricare materiale illecito da qualche circuito p2p.

E proprio questa incertezza è la molla che spinge (e purtroppo spingerà) molti utenti a scaricare incuriosito questa fantomatica lista per sapere di cosa si è accusati.

Il ritornello è sempre quello, questa volta, come nelle precedenti, come in quelle future: non date retta a niente di quello che vi piove nella casella di posta, tanto meno se si tratta di messaggi portatori di una qualche forma, più o meno velata, di intimidazione o minaccia. Il concetto è semplice: tutti i messaggi che vi arrivano sono delle bufale fino a prova contraria.

Lo so, a volte può risultare difficile capire se si è di fronte a un tentativo di raggiro, ma in genere è sufficiente una breve googlata per togliersi ogni dubbio.

5 commenti:

  1. Segnalo anche questo articolo su l'ansa.it

    RispondiElimina
  2. Sì, ormai è di dominio pubblico. La "bomba" è scoppiata.

    RispondiElimina
  3. non so se c'entra, ma ho letto sul gazzettino online edizione di padova di giovedi'7 febbraio 2008 che entro fine mese mi deve arrivare per posta ordinaria una busta dell'agenzia delle entrate, meno male che sono venuto a saperlo per tempo, senno' quando arrivava mi veniva un coccolone prima ancora di aprirla!

    RispondiElimina
  4. Attualmente non riesco a raggiungere il sito, quando ci sono andato era stato defacciato ma nel codice html c'era un activeX che tentava di far scaricare un file chiamato login.exe

    ovviamente firefox se ne sbatte dei controlli activeX

    RispondiElimina
  5. > Attualmente non riesco a raggiungere il sito

    E' vero, non è più raggiungibile.

    > nel codice html c'era un activeX che tentava di far scaricare un file chiamato login.exe

    Esatto, infatti anche la scansione online indica che il file che viene scaricato nel pc si chiama in realtà login.exe.

    RispondiElimina

Il post sentenza

La sbornia post sentenza OpenArms ha dato la stura a dichiarazioni giubilanti che a tratti sembrano leggermente fuori dalla realtà. Cominci...