PDA

Visualizza versione completa : attacchi malware a mezzo sito poste italiane


renzo1165
15-02-2008, 17.24.04
ciao a tutti,
continuo a ricevere massaggi fraudolenti da parte di chi simula comunicazioni importanti, vincite,...attribuite a poste italiane. Tutti questi messaggi richiedono, al solito, di accedere al link sottostante...oggi, invece, ne ho ricevuto uno più subdolo in cui mi si chiede di leggere una comunicazione contenuta in un allegato word. Questo allegato è di soli 27 kb, il controllo con windows defender e avg antivirus non dà segnali di pericolo, ma, dando per scontata la natura fraudolenta dello stesso in quanto poste italiane non dovrebbe (?) inviare comunicazioni al di fuori dell'apposita area del sito, vorrei chiedervi:
-se accedo a windows XP home come utente limitato, ed apro il file con il blocco note, evito ogni genere di problemi da parte di un probabile contenuto virale?
-potreste, eventualmente, indicarmi un prodotto meno permissivo di quelli citati (meglio se open source o free) che avete avuto modo di testare in una situazione analoga?
grazie e buona serata
renzo

crazy.cat
15-02-2008, 17.28.12
Puoi caricare l'allegato sul sito www.virustotal.com per farlo analizzare da loro e vedi di cosa si tratta.
(poi faccelo sapere)

renzo1165
15-02-2008, 17.37.40
ciao crazycat,
è un buon suggerimento, ma se, ipotesi pochissimo probabile, in casi come questo dovesse trattarsi di una reale comunicazione importante, non si rischierebbe di divulgare dati sensibili? Prima di seguire il tuo consiglio vorrei cercare una strada diciamo "personale" :)
grazie
renzo

crazy.cat
15-02-2008, 17.44.25
Il file è un .doc o cosa?

Se vuoi provarlo sul tuo pc, installati sandboxie o returnil virtual system (cercali nelle news di wintricks o su google se vuoi i link) li installi, attivi il sistema virtuale e a quel punto puoi aprire e provare qualsiasi file, virus compresi, tanto non fanno danni al sistema operativo reale.

Giorgius
16-02-2008, 14.37.40
Se utilizzi Outlook Express o superiore, usa "Spamfighter" per eliminare la monnezza che arriva via mail. ;)

imothep
16-02-2008, 17.06.20
ciao a tutti,
continuo a ricevere massaggi fraudolenti da parte di chi simula comunicazioni importanti, vincite,...attribuite a poste italiane. Tutti questi messaggi richiedono, al solito, di accedere al link sottostante...oggi, invece, ne ho ricevuto uno più subdolo in cui mi si chiede di leggere una comunicazione contenuta in un allegato word. Questo allegato è di soli 27 kb, il controllo con windows defender e avg antivirus non dà segnali di pericolo, ma, dando per scontata la natura fraudolenta dello stesso in quanto poste italiane non dovrebbe (?) inviare comunicazioni al di fuori dell'apposita area del sito, vorrei chiedervi:
-se accedo a windows XP home come utente limitato, ed apro il file con il blocco note, evito ogni genere di problemi da parte di un probabile contenuto virale?
-potreste, eventualmente, indicarmi un prodotto meno permissivo di quelli citati (meglio se open source o free) che avete avuto modo di testare in una situazione analoga?
grazie e buona serata
renzo
Ti do un consiglio in merito ad una esperienza simile i dubbi li ho tolti direttamente mediante numero verde delle poste italiane c'e' una sezione dedicata a tale problema, se il mess non arriva nella casella di poste italiane dove sei regolarmente iscritto con user e pass lasciala perdere, poste italiane non invia mai messaggi su altri indirizzi di posta, e siccome me ne arrivavano parecchi nella casella di posta di libero io provai a rispondere al messaggio dicendo di aver informato le autorita' competenti. D a allora non ne ho piu' ricevuto.

renzo1165
17-02-2008, 13.00.47
grazie a tutti per le risposte :)
Come client di posta uso Pegasus dotato di un buon gestore per spam e simili che in questo caso è stato però ingannato dall'indirizzo che è proprio quello delle poste.
So che poste italiane non invia messaggi verso altri indirizzi ma come è possibile che qualcuno possa disporre di un indirizzo uguale a quello ufficiale?
Per risolvere il dubbio penso di seguire questa procedura:
-provare diversi programmi antimalware sperando di trovarne uno che veda la "trappola"
-seguire il consiglio di crazy.cat e virtualizzare con sandbox così da aprire il piccolo *.doc e vedere cosa contiene
ciao e buona domenica da
renzo

renzo1165
18-02-2008, 17.13.27
ciao,
vorrei condividere con voi la soluzione del mio problema, sperando possa essere utile a qualcuno.
Poichè nessuno strumento di individuazione del malware ha segnalato problemi, ho deciso di aprire il file.
-ho installato sandboxie (grazie crazy.cat ;) )
-sono entrato come utente senza previlegi di amministratore
-ho aperto il blocco note in sandboxie
-ho aperto il file *.doc con il blocco note
...
il file è realmente di poste italiane che, questa volta, ha inviato la mail su di un indirizzo esterno contrariamente a quanto mi aspettavo.
Infine, rassicurato, ho aperto il file anche con openoffice senza alcun problema.
grazie a tutti
renzo

pepe65
18-02-2008, 23.41.51
Tanto per restare in tema mail ricevuta questa mattina.menzionano addirittura il Codice di procedura penale :act: :lol:



Gentile Cliente,

Nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Posteitaliane e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale.

L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P art.415 del 2001 relativo alla legge contro il riciclaggio e la trasparenza dei dati forniti in autocertificazione.

Per ovviare al problema e' necessaria la verifica e l'aggiornamento dei dati relativi all'anagrafica dell'Intestatario del servizio.
Effettuare l'aggiornamento dei dati cliccando sul seguente link:

https://bancopostaonline.poste.it/bpol/cartepre/formslogin.asp


Cordiali Saluti.


--------------------------------------------------------------------------------


No virus found in this incoming message.
Checked by AVG Free Edition.
Version: 7.5.516 / Virus Database: 269.20.7/1283 - Release Date: 16/02/2008 14.16

renzo1165
21-02-2008, 11.36.12
pepe65, ne ho già ricevute due uguali alla tua, l'ultima con mittente info@poste. Credo di aver capito il trucco, aspetterei conferme dagli esperti.
Non è certo possibile scegliersi un username <info@poste.it> in quanto già assegnato, ma penso sia invece possibile il seguente,
<mionome> <info@poste.it>
con il quale simulare quello ufficiale,
<info@poste.it> <info@poste.it>
E' così? :)
grazie da
renzo

crazy.cat
21-02-2008, 12.04.50
Credo che con un qualsiasi programma di mail bomber puoi simulare qualsiasi indirizzo email anche se già occupato e spedire email false a quante persone vuoi.