Uno sta navigando con diverse schede del browser aperte, e passa da una all’altra, e poi torna su quella di Gmail, e vede che Gmail gli chiede di inserire nuovamente nome utente e password – a volte capita, no? Peccato che quella NON SIA LA VERA SCHEDA DI GMAIL!!!
Impressionante! Provare per credere. E può essere fatto non solo per Gmail, ma per la tua banca, per le poste, ecc.
Tabnabbing: A New Type of Phishing Attack « Aza on Design.
A New Type of Phishing Attack from Aza Raskin on Vimeo.
Da un po’ di tempo non segnalo nuove ondate di phishing o tranelli di altro tipo in arrivo per email. Penso che ci sia già in abbondanza chi lo fa, e anche che chi usa normalmente email ed Internet non si faccia più fregare da roba come questa.
Purtroppo però questa gente ne inventa continuamente di nuove e – si sa – nei grandi numeri, una piccola percentuale può essere presa alla sprovvista.
Se quindi ricevete un messaggio di questo tipo, non aprite niente dal sito indicato, che propone un unico file da scaricare il quale – guardacaso! – è un trojan-downloader.
Date: Wed, 11 Jun 2008 11:23:45 +0300
From: VirusBurner <indirizzofasullo>
Reply-To: welcome@virusburner.org
To: <mioindirizzoemail>
Subject: Richiesta di collaborazione su Azione legale
Gentile Utente,
Con la presente per informarLa che in data Giugno 08, 2008 come risulta dai nostri sistemi di controllo informatico, sono state inviate dal Suo indirizzo di posta svariate email a sfondo sessuale verso aziende e privati.
Alcuni dei nostri clienti lamentano il continuo invio da parte Sua di email a sfondo erotico sessuale da diversi giorni e hanno espresso l’intenzione di sporgere denunzia vergo le autorità qualora questo invio indiscriminato non cessasse immediatamente.
Onde evitare spiacevoli eventualità di caratte legale le consigliamo caldamente di scaricare Email Security Lab Plugin in via del tutto gratuita. ( DOWNLOAD ANTIVIRUS [www.virusburner.org] )
Certi di avere fatto cosa gradita nell’avvertirla di questo spiacevole accadimento e certi della sua buona fede la esortiamo a scaricare immediatamente quanto suggerito in modo da cancellare dal Suo personal Computer il virus che le infetta l’email.
Cordialmente
Giacomo Belladonna
Coordinamento legale
Virus Burner
www.virusburner.org
Pare che abbia colpito un bel po’ di caselle email questo messaggio minatorio a nome di un tale Prisco Mazzi, capitano della Polizia di Stato.
In un italiano un po’ maccheronico, come spesso succede nei messaggi di phishing (tranelli), dopo avere accusato il destinatario di aver scaricato illegalmente dei file mp3, intima di aprire un “accordo” contenuto inun archivio zippato per non incorrere nella pena.
Ecco il testo del messaggio:
Date: Wed, 16 May 2007 17:47:17 +0900
From: Polizia Prisco Mazzi <prisco_mazzi@poliziadistato.it>
To: <mio indirizzo email>
Subject: Polizia – Avviso 98361420
—————————————-Avviso
Sono capitano della polizia Prisco Mazzi. I rusultati dell’ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d’autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilita amministrativa.Il suo numero nel nostro registro e 00098361420.
Non si puo essere errore, abbiamo confrontato l’ora dell’entrata al sito nel registro del server e l’ora del Suo collegamento al Suo provider. Come e l’unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d’autore.
Per questo per favore conservate l’archivio (avviso_98361420.zip parola d’accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l’accordo che si trova dentro.
La vostra parola d’accesso personale per l’archivio: 1605
E obbligatorio.
Grazie per la collaborazione.
In un’altra variante l’oggetto è “Polizia – Avviso 00098361420”.
Questa volta si cerca di incutere timore nei destinatari, dei quali forse una buona parte qualche file mp3 l’ha effettivamente scaricato (vero?). Ma quando mai la polizia propone – per email, poi – di non punire i colpevoli scoperti semplicemente facendogli leggere un accordo?
I messaggi paiono inviati tramite dei server coreani, e l’allegato in formato zip protetto da password contiene il file UFFICIALMENTE_ACCORDO.exe.
Ecco il risultato della scansione del file fatta con su virustotal.com:
| Antivirus | Version | Update | Result |
| AhnLab-V3 | 2007.5.16.1 | 05.16.2007 | no virus found |
| AntiVir | 7.4.0.15 | 05.16.2007 | TR/Dldr.Clagger |
| Authentium | 4.93.8 | 05.15.2007 | W32/Downloader2.AHW |
| Avast | 4.7.997.0 | 05.15.2007 | Win32:Nurech-AF |
| AVG | 7.5.0.467 | 05.15.2007 | Downloader.Zlob.JIN |
| BitDefender | 7.2 | 05.16.2007 | Trojan.Downloader.Agent.BEJ |
| CAT-QuickHeal | 9.00 | 05.15.2007 | no virus found |
| ClamAV | devel-20070416 | 05.16.2007 | Trojan.Downloader-6805 |
| DrWeb | 4.33 | 05.16.2007 | Trojan.DownLoader.19841 |
| eSafe | 7.0.15.0 | 05.15.2007 | suspicious Trojan/Worm |
| eTrust-Vet | 30.7.3634 | 05.15.2007 | Win32/Chepvil!generic |
| Ewido | 4.0 | 05.15.2007 | Downloader.Zlob.bqy |
| FileAdvisor | 1 | 05.16.2007 | no virus found |
| Fortinet | 2.85.0.0 | 05.16.2007 | no virus found |
| F-Prot | 4.3.2.48 | 05.15.2007 | W32/Downloader2.AHW |
| F-Secure | 6.70.13030.0 | 05.16.2007 | Trojan-Downloader.Win32.Zlob.bqy |
| Ikarus | T3.1.1.7 | 05.16.2007 | Trojan-Downloader.Win32.Nurech.az |
| Kaspersky | 4.0.2.24 | 05.16.2007 | Trojan-Downloader.Win32.Zlob.bqy |
| McAfee | 5031 | 05.15.2007 | no virus found |
| Microsoft | 1.2503 | 05.16.2007 | TrojanDownloader:Win32/Agent.XC |
| NOD32v2 | 2269 | 05.16.2007 | a variant of Win32/TrojanDownloader.Nurech.NAT |
| Norman | 5.80.02 | 05.15.2007 | W32/Zlob.AHMS |
| Panda | 9.0.0.4 | 05.15.2007 | Suspicious file |
| Prevx1 | V2 | 05.16.2007 | Trojan.Downloader |
| Sophos | 4.17.0 | 05.11.2007 | Mal/Clagger-D |
| Sunbelt | 2.2.907.0 | 05.12.2007 | no virus found |
| Symantec | 10 | 05.16.2007 | Downloader |
| TheHacker | 6.1.6.115 | 05.15.2007 | Trojan/Downloader.Zlob.bqy |
| VBA32 | 3.12.0 | 05.15.2007 | Trojan-Downloader.Win32.Zlob.bqy |
| VirusBuster | 4.3.7:9 | 05.15.2007 | Trojan.DL.Zlob.BZP |
| Webwasher-Gateway | 6.0.1 | 05.16.2007 | Trojan.Dldr.Clagger |
Chi usa Windows deve fare attenzione quindi a NON ESEGUIRE il file contenuto nell’archivio zip allegato! MacOS, Linux, e altri sistemi operativi diversi da Windows invece non hanno nulla da temere, come quasi sempre.
Chi lo avesse sprovvedutamente lanciato dovrà affidarsi ad un buon antivirus (almeno uno di quelli che, dalla tabella precedente, ha individuato il trojan) o ad un esperto.
AGGIORNAMENTO: Pare che questo sia uno degli spam di phishing più diffuso degli ultimi tempi, tanto che sia il il Corriere della sera che la Repubblica ne hanno scritto sui loro siti, oltre a molti blogger.