AcquaDiRose e CiSiamoDiBrutto stesso malintenzionato

Ad una seconda e più attenta verifica, ho notato la coincidenza del Server che ospita il sito del tentativo di frode _AcquaDiRose_ con quello di _CiSiamoDiBrutto_

Anche i file eseguibili scaricati sono identificati nello stesso modo da VIRUSTOTAL.
Dietro a questi due tentativi di frode informatica c'è dietro insomma la stessa "mano".

Dialer

Un'altro tentativo di "frode informatica" è in circolazione.

In questo caso il malintenzionato intende istallare, con la vostra complicità, un DIALER, facendovi rischiare bollette TELECOM veramente salate.

Ecco il messaggio:

Gentile cliente (Vostra_email), in seguito ai controlli effettuati sui nostri sistemi Le comunico la sua posizione amministrativa alla data odierna:

fattura 7W07944778 del 4 bim. 2006
residuo da saldare euro 497,63
totale da pagare euro 497,63

Potete effettuare il pagamento tramite conto corrente postale con apposita modulistica reperibile a questo indirizzo oppure tramite bonifico bancario alle coordinate bancarie indicate con il seguente indirizzo.
In entrambi i casi Vi preghiamo di compilare la causale indicandoin numero della fattura. A pagamento effettuato Vi chiediamo gentilmente di inoltrare la documentazione al seguente numero di fax..

Nel ricordarVi che il mancato pagamento prevede come da contratto la sospensione del servizio e l'avvio di tutte le pratiche legali per la riscossione del credito da parte degli entri preposti in ottemperanza all'art. 57 del contratto da Lei stupulato di seguto allegato

-- contratto --

Buona giornata

Nel messaggio sono presenti link che, se utilizzati, effettuano il download di file eseguibili mascherati tramite l'icona di Word.
Fate sempre attenzione all'ultima parte dell'estensione del file! In questo caso .exe identifica un files eseguibile per la piattaforma PC.

Cliccando sul numero della fattura viene mostrato la seguente pagina WEB, ospitata su un server cinese:

Se cliccate sul link proposto per ingrandire l'immagine della fattura, viene effettuato il solito download di file eseguibile.

Il nome del dominio utilizzato dal malintenzionato (_cisiamodibrutto_), non mi sembra troppo azzeccato, e forse rende identificabile il falso più facilmente.

La toolbar di netcraft ha regolarmente identificato il sito come ad Alto Rischio, inoltre sottomettendo i file "downloadati" a VIRUSTOTAL si ottiene questo risultato:

Come si può notare non tutti gli antivirus sul mercato, riconoscono questo programma come malevolo.

Tenere sempre aggiornato il vostro AntiVirus è importante, ma ancora di più è mantenere l'attenzione alta, e non cliccare mai sui link proposti da mail inaspettate.

VULNERABILITA' PowerPoint

Microsoft ha pubblicato un advisory di sicurezza per una "falla" presente su PowerPoint!

Si tratta di una VULNERABILITA' ANCORA NON RIMOSSA dagli aggiornamenti disponibili su MicrosoftUpdate.

Tutti noi riceviamo, da amici e conoscenti, file di tipo PowerPoint contenenti presentazioni simpatiche e scherzose.
Purtroppo anche questo tipo di file può essere pericoloso per i nostri Personal Computer.

In attesa del rilascio della patch, Microsoft ha consigliato ai propri utenti di aprire solo file PowerPoint (.ppt) provenienti da fonti affidabili o, in alternativa, aprire i file sospetti con PowerPoint Viewer 2003, che non è afflitto dalla vulnerabilità.

Per arginare temporaneamente il fenomeno, ho deciso di bloccare il file di tipo PowerPoint (.PPS, .PPT, .POT), destinati alle caselle eMMeBOX - NoBadMail.

Questo in attesa che i produttori dei programmi AntiVirus aggiornino i loro "engine" per la rilevazione di questa VULNERABILITA'.

Potete comunque seguire le indicazioni ricevute nella notifica di [allegato pericoloso rimosso], per ricevere regolarmente il file posto in "quarantena".

Attenzione all' AcquaDiRose

Stanno circolando mail , senza allegati pericolosi, che utilizzano tecniche di "social enginering" per convincerci a "cliccare" su un link particolare.

Questo è un messaggio tipo:

Subject: Dimmi che non

C'è da augurarsi che non sia tu, anche se si fa fatica a crederci... Anche perchè chi può aver pubblicato documenti del genere ?
Controlla e rispondimi per piacere
http://www.acquadirose___Link_Omesso___

ciao

La forma italiana, al contrario di tante mail di tipo fraudolento, è corretta.
Anche il mittente sembra a prima vista attendibile.
Se incuriositi dalla cosa si "clicca sul link proposto", si arriva alla pagina seguente:



Sembra, a prima vista, un sito Web contenente alcuni documenti Word (innocui?), ma se si clicca su uno di questi compare una anomala finestrella che indica di cliccare su "Esegui".

Se si preme su OK, inizia lo scaricamento del file scelto, che invece di un'innocuo file di Word (.DOC) si rileva un eseguibile (programma) per Windows.

EVITATE di ESEGUIRE questo programma.

Ho sottomesso il file ricevuto al servizio VirusTotal che permette di verificarlo con una lista abbastanza completa di AntiVirus, e questo è il risultato:


Al momento non sono molti i programmi AntiVirus che rilevano questo programma fraudolento.

Da notare che Netcraft ha correttamente individuato AcquadiRose come un sito ad Alto Rischio.

La Toolbar di NetCraft è disponibile, gratuitamente, sia per FireFox che per MS internet Explorer.
Fate riferimento al sito di NetCraft per le modalità di istallazione.

Più phishing meno Virus

Dal grafico dei contenuti pericolosi individuati sui server eMMeBOX, ho notato che stiamo ricevendo molti tentativi di Phishing mentre i Virus sono quasi completamente a "riposo".
Anche il filtro "SaneSecurity", aggiunto ieri, sta facendo il proprio dovere.

SaneSecurity - Phishing & Scam detection

Ho appena ultimato la configurazione di Clamav per l'utilizzo di "SaneSecurity Phishing & Scam signature".
Un' ulteriore sicurezza per le vostre caselle :-)

Fate riferimento a questa pagina per approfondire cos'è il fenomeno del phishing e a questa per quello dello scam.

Documenti

Ho creato sulla "destra del blog" una sezione documenti.

Vi trovate, oltre alle "norme di utilizzo" , anche le "modalità di adesione" e una utile "guida per la configurazione di Outlook Express".

Il formato PDF è stato scelto perchè, di norma, esiste un "visualizzatore" per tutti gli ambienti operativi (PC, MAC, Palmari etc).
Se ancora non lo avete installato, potete effettuare il download seguendo le indicazioni che trovate sul sito di adobe

A breve renderemo disponibili nella stessa sezione, una guida alle funzionalità base della WebMail.

Attivazione servizi definitivi

E' finita finalmente la fase di consolidamento dei Servizi eMMeBOX.net

Ora, con il recente inserimento di nuove strutture Hardware (più prestazioni) e Software, siamo in grado di fornire un servizio completo e affidabile, che comprende i controlli NoVIRUS, NoSPAM e NoFraud contro i tentativi di frode (phishing).

Su questo BLOG potrai trovare le segnalazione e le statistiche di servizio pubblicate mensilmente.

Se sei soddisfatto del nostro lavoro, ti chiediamo di leggere i documenti che presto riceverai nella tua casella, e di rinnovarci la tua fiducia tramite il pagamento di un minimo contributo annuale.

Già da subito ti anticipiamo che verseremo ogni anno il 50% dei contributi ricevuti, al netto dei costi di gestione, all' UNICEF.


Se per qualche motivo non desiderassi ulteriormente la nostra collaborazione, non devi fare nulla; semplicemente tutte le caselle di posta o i servizi che non verranno adeguatamente sottoscritti entro il 1 dicembre 2006, verranno eliminati.

Affettuosi saluti

il Team eMMeBOX.net

prossima attivazione servizi definitivi

Vi preannuncio che a breve verrà formalizzata l'attivazione dei servizi definitivi.

Presto riceverete nelle vostre caselle tutte le indicazioni necessarie.

intanto vi anticipo che gli "engine di rilevazione" stanno facendo il loro dovere :-); vedi grafici sotto relativi agli ultimi 30 giorni:

Vir&Fraud Rilevati

Rapporto Mail - Spam - VIR&Fraud

Potenziamento dei sistemi

Tutti i sistemi di rilevamento sono stati aggiornati.
Attualmente le e-mail vengono filtrate da 5 Engine AntiVirus tra cui l'ottimo Clamav e l'infallibile Kaspersky.