Qualche giorno fa ho rilasciato un'intervista ad Alground sul mobile spam.
Phishing e truffe
04 agosto 2009
10 novembre 2008
Un Trojan sfrutta la vittoria di Obama
... e la disfatta di McCain.
Il giorno dopo l'elezione di Barack Obama a 44mo presidente degli Stati Uniti, è stata registrata la diffusione di un massiccio spam che tenta di indirizzare gli utenti verso un sito istituzionale americano (in realtà un falso) contenente il discorso di Obama a commento dei risultati elettorali.
L'oggetto del messaggio di spam include una delle seguenti frasi:
A new president, a new congress ...
Barack Obama wins
Can Obama win popular vote but lose election?
Did Obama Win Yet?
Election 2008: Time lapse of U.S. counties
Election Center 2008 - Election Results
Election Night Results
Fear of a Black President
New president's
Obama win an Electoral College majority
Obama win Defined by Race
Obama win preferred in world poll
Obama win sets stage for showdown
Obama Wouldnt Be First Black President
Obama's Win Reshapes the Race
Priorities for the New President
Priorities for the New President - TIME
The new President's cabinet?
USA Election 2008 Results
Will American Voters Elect a Black President
World Welcomes Obama's Win
E facendo clic sul link si apre un sito come questo:
Per visualizzare il discorso di Obama il sito chiede all'utente di scaricare il file "Adobe_flash9.exe" che si spaccia per un viewer Adobe Flash, ma che in realtà contiene un trojan keylogger.
Il Trojan cattura quindi i tasti premuti dall'utente durante i vari log-in effettuati su Internet, e li invia a un computer corrispondente a un indirizzo IP ucraino, ovviamente con lo scopo di rubare password e altre informazioni preziose.
Pochi giorni dopo un altro spam prende di mira i delusi repubblicani, insinuando il dubbio che Obama non sia stato eletto in maniera pulita, e che arriva in mailbox con uno dei seguenti oggetti:
Barack Obama can lost presidents chair
Barack Obama can lost President's Chair
Barack Obama in Danger - McCain will fight for president post
Barack Obama president resignation - 23/7 News
From Billy Mccain
IMPEACH Barrack Obama | USA government news
McCain Lawmakers Impeach Obama
McCain Lawyers Want to Stop Obama
McCain said today: 'Impeach Obama'
McCain strike against Obama political way
McCain vs Obama - There is a higher potential for confrontation between opposing political forces
McCain want to stop Obama
Moms who voted for Obama
Obama faces impeachment
Obama Impeachment Resources: McCain Look at the Impeachment Process
Obama vs McCain 'Political Strike' May Undermine Labor Group
Scandal: Obama Resignation Letter
Scandal: Re-elections John McCain Will be a Dictator?
Scandal: Re-elections John McCain will defeat Barack Obama
Scandal: Re-elections McCain will win
Scandal: Re-elections Obama: McCain Will Close With Attacks
Scandal: Re-elections Why John McCain will keep fighting
Scandal: Re-elections Why McCain Will Win
The Impeachment of new president Obama
Video: Obama post-resignation speech
Why MccAin Want to Stop Obama From president vacancy?
WScandal: Re-elections hich John McCain will show up to debate?
Il link nel messaggio indirizza l'utente verso un sito che conterrebbe un intervento di McCain:
Anche qui la storia è la stessa: all'utente viene chiesto di scaricare un file per visualizzare correttamente il video, file che invece contiene un Trojan molto simile a quello precedente, che invia le informazioni rubate allo stesso computer in Ucraina.
Il malware si nasconde nel computer con il nome \9129837.exe, e viene lanciato ogni volta che si avvia Internet Explorer.
29 ottobre 2008
15 ottobre 2008
16 maggio 2007
Falso messaggio dalla polizia
Prima provano a metterci paura con l'avvocato, quindi con il recupero crediti, poi cercano di indurci in tentazione con una pratica di rimborso, e ora i cyber-criminali mettono in mezzo addirittura la polizia - con tanto di nome e cognome del fantomatico poliziotto - che ci intima a collaborare per una presunta infrazione al diritto d'autore scaturita dal nostro PC.
Il messaggio arriva corredato da un file .zip protetto con password (per evitare i controlli degli antivirus a livello server), che al suo interno contiene un file .exe con il Trojan Win32/TrojanDownloader.Nurech.NAT
Diffidate.
Ecco il testo completo del messaggio, che arriva con l'oggetto Avviso 00098361420 - Polizia o Polizia - Avviso 98361420 (e possibilmente altri):
Avviso
Sono capitano della polizia Prisco Mazzi. I rusultati dell'ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d'autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilita amministrativa.
Il suo numero nel nostro registro e 00098361420.
Non si puo essere errore, abbiamo confrontato l'ora dell'entrata al sito nel registro del server e l'ora del Suo collegamento al Suo provider. Come e l'unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d'autore.
Per questo per favore conservate l'archivio (avviso_98361420.zip parola d'accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l'accordo che si trova dentro.
La vostra parola d'accesso personale per l'archivio: 1605
E obbligatorio.
Grazie per la collaborazione.
15 maggio 2007
A caccia di soldi (rubati)
Di Ross Anderson ne ho già parlato diverse volte su questo blog. Recentemente si è occupato di phishing, con un documento commissionatogli dalla Federal Reserve e intitolato: Closing the Phishing Hole – Fraud, Risk and Nonbanks.
Nel documento Anderson analizza i percorsi che fanno i soldi per passare dalle mani dei legittimi proprietari a quelle dei phisher, e suggerisce di andare a colpire proprio tali vie per arginare il fenomeno delle frodi on-line.
Nel presentare il documento Anderson afferma: "It turns out that phishing is made easier by payment systems like eGold and Western Union which make the recovery of stolen funds more difficult."
Il paper è interessante da leggere, anche se il succo sta tutto in queste due frasi:
Fraudulent payments within the banking system can be pursued and recovered with a reasonable probability of success; but once stolen funds are used to buy transferable financial assets such as eGold, recovery becomes much harder. This suggests that much of the benefit that could be obtained from regulating nonbanks more closely can be got by greater transparency about counterparty risks.
Non deve stupire quindi se pochi giorni fa un grand jury statunitense ha accusato fra gli altri e-Gold di essere un mezzo per il riciclaggio di denaro sporco.
30 novembre 2006
Attenzione al messaggio dell'avvocato
In questi giorni potreste aver ricevuto un messaggio simile a questo:
Gentile utente [indirizzo della vittima],
sono l'avvocato Gianluca Gentili proprietario dell'omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo di posta [indirizzo della vittima] messaggi dal contenuto esplicito.
La rimando a tal proposito a visionare l'ultimo arrivato, che riporto in coda a questo messaggio.
Non sono un esperto in materia, tuttavia il sistemista del nostro studio sostiene che questi invii da parte sua sono forse involontari e causati da un worm informatico. Dice inoltre che è possibile rimuovere questo worm con il disinstallatore scaricabile dall'indirizzo [sito-trappola]
Io non ho nè le competenze nè il tempo per verificare l'esattezza di questa supposizione, purtroppo mi trovo costretto a DIFFIDARLA dal continuare questi invii non sollecitati alla mia posta di lavoro. Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò a denunciarla senza ulteriore avviso.
Sospenda questi invii o, se si tratta di un virus worm, ripulisca il suo computer al più presto perchè probabilmente non sono l'unico che sta ricevendo questa immondizia da lei.
Le ricordo che i reparti di polizia informatica hanno i mezzi per risalire alla vera identità del proprietario di un indirizzo email, per quanto registrato con dati di fantasia o internazionale. Per cui non creda di poter continuare a infestare la mia casella email con queste promozioni.
in attesa di un suo sollecito riscontro, saluti cordiali
Studio Legale
Gentili e associati
Via Carlo Magno 12
Genova
Se vi è arrivato, prima di affannarvi a scaricare il presunto "antivirus" leggete l'analisi di Paolo Attivissimo sul suo blog.
E se siete rimasti infetti, Future Time (l'azienda per cui lavoro) ha rilasciato un cleaner gratuito.
14 ottobre 2006
Phishing contro Banca Mediolanum
Ieri è partito un massiccio phishing contro i clienti di Banca Mediolanum. Il link contenuto all'interno dell'e-mail porta l'utente a siti ospitati da computer localizzati prevalentemente in Cina e in Sudamerica (per il momento ho rintracciato macchine in diverse città della Cina, in Colombia e in Brasile). Ovviamente non è escluso che questi PC siano a loro volta inconsapevoli componenti di una botnet. I domini usati sono diversi, ma sempre sotto il ccTLD .hk (Hong Kong).
La pagina di phishing è piuttosto scarna rispetto al sito reale della banca, e presenta un form di inserimento dati classico. Questo dovrebbe mettere in allarme i clienti più attenti, poiché già da tempo Banca Mediolanum adotta un login di tipo grafico - dove per entrare è necessario cliccare su una tastiera numerica virtuale.
I messaggi e-mail, identici nel testo, presentano subject di volta in volta diversi, fra cui:
- Banca Mediolanum: Disposizioni [Fri, 13 Oct 2006 06:20:44 -0800]
- Banca Mediolanum: solennemente
- Banca Mediolanum: DISPOSIZIONI [Fri, 13 Oct 2006 12:22:00 -0500]
- solennemente [Fri, 13 Oct 2006 19:17:02 +0200]
- Banca Mediolanum: PREMURA [Fri, 13 Oct 2006 17:48:45 -0100]
- informazioni [Fri, 13 Oct 2006 07:41:53 -0400]
Il messaggio - contenuto in realtà all'interno di un'immagine Gif - è scritto in italiano corretto, anche se da un paio di forzature linguistiche ci si può accorgere che si tratta della traduzione di un testo probabilmente inglese.
08 settembre 2006
Bank of Ireland risarcisce le vittime del phishing
Uno dei rarissimi casi - se non proprio l'unico - in cui una banca decide di rimborsare le vittime del phishing.
La Bank of Ireland ha recentemente dichiarato di aver rimborsato alcuni suoi clienti che erano caduti vittima di un phishing, come riporta Punto Informatico, creando un precedente importante e aprendo quindi un vaso di Pandora che potrebbe essere molto difficile chiudere.
Da sempre le banche si battono, a livello mediatico, politico e ovviamente giudiziario, per non essere ritenute responsabili in caso di phishing. Gli avvisi e i fogli informativi che ci spediscono, che ci mostrano sui loro siti o che ci allegano agli estratti conto hanno il duplice scopo di 1) informare la clientela che esiste un fenomeno chiamato 'phishing', 2) dimostrare in un eventuale processo che loro hanno fatto tutto il possibile per avvisarci, con l'obiettivo di rispedire al mittente qualsiasi richiesta di rimborso.
Ecco perché la mossa della Bank of Ireland avrà fatto alzare ben più di un sopracciglio negli altri istituti bancari.
In un suo comunicato la banca irlandese quasi si scusa con i colleghi per aver rimborsato i suoi clienti, assicurando che si è trattato di un caso eccezionale:
Customers that have been refunded by the Bank recently were done so, having reviewed their cases and on the exceptional basis that "Phishing" was not widely known or understood by customers and was a relatively new phenomenon in internet banking in Ireland.
However, the Bank wishes to reiterate its policy that it does not refund customers that are the victims of 'phishing' attacks.
05 luglio 2006
Phishing contro Banca Intesa
A distanza di un anno dai grandi phishing italiani si può affermare che lo stile non è cambiato. Stesso italiano sgrammaticato, stessi link fasulli che qualsiasi buon programma di posta riesce a smascherare, stesse scuse poco plausibili per spingere gli utenti nella rete.
Per la cronaca, il link reale punta a un IP spagnolo.
