vm2012
Eroe in grazia degli dei
Registrato: 07/04/12 13:12
Messaggi: 131
|
 Inviato: 04 Ago 2015 13:05 Oggetto: Attacco via mail |
 |
|
Ciao, volevo sottoporvi alcuni casi riscontrati in questi giorni per sapere se vi risulta questa forma di attacco.
Sto ricevendo in webmail alcuni messaggi di posta elettronica pericolosi che purtroppo mi arrivano indirettamente da miei contatti personali.
Fortuna che lo SmartScreen di Hotmail ha già bloccato.
I messaggi riportano il nome del contatto come nome utente, ma in realtà sembrerebbe arrivare da una casella (o un alias) probabilmente creata ad hoc ed evidentemente malevole.
Alcuni esempi:
R o K @ t r a d s e r v i c e . f r
c e v a n s o n @ s i n k u t w i r e l e s s . c a
b l a z e j c z y k @ e k o p l a s t - z n . p l
Non c'è nessuna attinenza tra l'indirizzo reale del contatto e quello presentato nel messaggio di posta.
Fortuna che Hotmail lo mostra chiaramente.
A conferma che la casella è stata violata c'è una porzione della rubrica del malcapitato allegata al messaggio.
A fronte di verifica, mi è stato confermato essere effettivamente quella in uso, almeno in parte.
Sembrerebbe, così a prima vista, che il malware abbia colpito la casella, ne abbia letto la rubrica, almeno in parte, ed abbia inoltrato il messaggio ai diversi indirizzi.
Ovviamente non ho usato il link in calce al messaggio.
È evidente che l’URL nel messaggio non punta ad una pagina html o ad una jsp.
Di seguito alcuni link che ho ricevuto resi innocui.
h t t p : / / b o o m e r n e t w o r k . c o . n z / t y / w e r p l i m f o b m y x s l o . q i c d y b w h d y r b e m l m r c
h t t p : / / s h r i k h a n d e c l i n i c . o r g / z n q y g h w / h s w f m v b a z n v c r g b . y g l v y u c z u m l f o u i k r d s w l s x r r t b n
h t t p : / / k a s h m i r - t o u r s - p a c k a g e s . c o m / j i f i j m h r / c n g a c n m h t l s n t h x u p e q v l m w k p y d . o h i i g f u x m z f n s x l m b m i o z r m p r j q d w w o p y w a u k l h
Utilizzando i termini per delle ricerche su google ho trovato delle corrispondenze.
Probabilmente per rendere plausibile l'effettiva esistenza dell'url e ridurre la diffidenza dell'utenza sono utilizzati dei nomi effettivamente corrispondenti a società o enti realmente esistenti o almeno presenti sul web.
Non è escluso che l'attacco possa passare anche attraverso canali differenti dalla mail.
Alcune vittime dichiarano di aver ricevuto link simili anche via Skype.
Se fosse utile potrei pubblicare delle screenshot oscurando i dati personali.
Avete qualche suggerimento per arginare gli effetti sulle caselle compromesse?
Per il momento ho consigliato quantomeno di svuotare la rubrica dopo aver eseguito il backup degli indirizzi.
Grazie in anticipo. |
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
