Quest'oggi ho ricevuto una mail molto simile a quella che trovate riportata qui: https://www.bleepingcomputer.com/news/s ... ult-sites/ e che spiega trattasi di scam, cioe' una mail estorsiva monetaria, per l'esattezza in bitcoin.
Ebbene, aggiungero' giusto qualche indicazione alla pagina dedicata su www.bleepingcomputer.com, cosi' da soffermarmi su quelle che sono, a mio avviso, tecniche di pregio nel testo della mail che fanno un buon uso dell'ingegneria sociale per indurre la vittima ad effettuare il pagamento; Aggiungero' anche qualche info tecnica per iniziare a farsi un'idea dell'infondatezza del contenuto della mail, cosi' da ritenerla cestinabile immediatamente.
Attenzione:
Come ho gia' spiegato all'inizio, la mail giuntami e' simile, non uguale; La differenza sta nel fatto che non v'e' traccia di alcuna password indicata relativamente ad uno o piu' account riconducibili alla mia persona.
Nel caso trovaste corrispondenza nelle vostre, seguite cio che suggerisce www.bleepingcomputer.com, magari facendo uso di google traduci se trovate difficolta' a comprendere il testo.
Cominciamo:
Pubblico integralmente l'intestazione della mail, modificando solo alcune informazioni che possono ledere la mia privacy, ma senza cambiare la sostanza:
Codice: Seleziona tutto
Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from xxx.xxx.xxx ([xxx.xxx.xxx.xxx])
by MN-01-2018.xxx.xxx with LMTP
id WGJ4LGkAAA0Vb2/Q
(envelope-from <[email protected]>)
for <[email protected]>; Wed, 00 Jan 2019 00:46:49 +0100
Received: from localhost (localhost [127.0.0.1])
by xxx.xxx.xx (Postfix) with ESMTP id 6D20D1392
for <[email protected]>; Wed, 00 Jan 2019 00:46:49 +0100 (CET)
X-Virus-Scanned: xxx-xxxxx at xxx.xxx
X-Spam-Flag: YES
X-Spam-Score: 17.467
X-Spam-Level: *****************
X-Spam-Status: Yes, .....
Received: from xxx.xxx.xxx ([127.0.0.1])
by localhost (xxx.xxx.xxx [127.0.0.1]) (xxx.xxx, port 1234)
with LMTP id 7RwOKnh4u for <[email protected]>;
Wed, 00 Jan 2019 00:46:48 +0100 (CET)
Received: from mail.glch.ru (mx.glch.ru [195.110.63.246])
by xxx.xxx.xxx (Postfix) with ESMTP id 55020D1390
for <[email protected]>; Wed, 00 Jan 2019 00:46:48 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
by mail.glch.ru (Postfix) with ESMTP id 21DD0D83
for <[email protected]>; Wed, 00 Jan 2019 09:46:47 +0400 (MSK)
X-Virus-Scanned: amavisd-new at fondchizhova.ru
Received: from Detective81646 (unknown [117.1.234.241])
by mail.glch.ru (Postfix) with ESMTPSA id 5FDF0D84
for <[email protected]>; Wed, 00 Jan 2019 09:46:43 +0400 (MSK)
Content-Type: multipart/alternative; boundary="6VUQgL50dDq6dkz"
MIME-Version: 1.0
Date: Wed, 00 Jan 2019 10:45:44 -0000
From: [email protected]
To: [email protected]
Subject: This account has been hacked! Change your password right now!
Message-Id: <[email protected]>
--6VUQgL50dDq6dkz
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
Nel testo della mail che trattero' dettagliatamente piu' avanti, si fa' esplicito riferimento al fatto che il presunto hacker abbia utilizzato il mio stesso account per spedirmela: Niente di piu' falso, poiche' il server dal quale e' partita la mail, ha un dominio .ru e l'IP indicato non coincide con quello del mio account sul server di posta del mio Provider. Questo e' gia' un indizio per cominciare a storcere il naso, ma andiamo avanti.
Senza dilungarmi sulla spiegazione di tutto l'header, mi limito a riportare che la mail e' partita da un server presumibilmente russo (si puo' comunque verificare la nazionalita' dell' IP) e' giunta al server di posta del mio Provider che ha poi proceduto a scansionarla ed immetterla nella mia casella.
Fin qui tutto normale, poiche' sembrerebbe priva di malware allegato o link a siti poco raccomandabili e/o compromessi.
Il testo del corpo della mail, pero', non e' in chiaro, bensi' codificato in base64.
Si sceglie questo tipo di codifica non tanto perche' non interpretabile da eventuali antimalware locali o sul server di posta, quanto perche' non si riesce a leggerla; L'intento e' proprio quello di rendere comprensibile la mail solo all'interno del client che esegue codice insidioso.
Quando non si e' convinti della bonta' di una mail, e' meglio non aprirla mai nel proprio client di posta, mentre e' consigliabile vederne il contenuto testuale che, in questo caso, non e' comprensibile salvo decodifica.
Pertanto basta cercare un decodificatore base64 in internet, copiare il testo della mail codificata ed incollarlo nell'apposito riquadro messo a disposizione dal form del sito scelto, per ottenere il testo della mail in chiaro.
Adesso veniamo al sodo:
Perche' ho tirato in ballo l'ingegneria sociale ed ho intitolato il post "mail ben congegnata" ?
Beh, in primo luogo il titolo indica che il mio account e' stato hackerato, quindi dovrebbe spingermi ad essere curioso e procedere all'apertura.
In secondo luogo, indica una tipologia di interesse che tutti conosciamo in internet, soffermandosi con grande enfasi sul fatto che ha compromesso proprio quel sito con un malware le cui potenzialita' d'infezione sono effettivamente possibili nei termini da lui descritti. (Server RDP non patchato ed attivo, keylogger e webcam attivabili a comando)
In terzo luogo, aumenta maggiormente il livello di enfasi, inculcando una sorta di dubbio con l'affermazione che e' da tempo che ha adoperato la compromissione.
Chiaramente, cio che da ad intendere e' che piu' tempo passa e piu' informazioni puo' aver acquisito.
Ecco che da qui in poi inizia il timore che abbia ragione, ma non e' mica finita li !
Si passa, dunque, alla minaccia di pubblicizzare i video visionati corredati da foto prelevate da webcam mentre si era davanti al monitor.
Infine l'ultimo atto, ossia paga perche' non potresti farci nulla, visto che se anche rimuovessi il malware, tutto il contenuto sarebbe gia' stato salvato altrove su un server in mano all' "hacker".
Decisamente un'ottimo stratagemma psicologico, non trovate ?
Ebbene si, l'ingegneria sociale e' proprio quella tecnica che fa presa sulle debolezze umane la dove la macchina fallisce nell'azione di turlupinare il suo obiettivo.
A volte fa piu' male un semplice testo che un programma malevolo.
ps: Il presunto hacker si e' poi scusato molto ironicamente con la seguente frase "Nno avercela con me, d'altronde ognuno fa il suo lavoro",
Dimenticavo...ho cestinato la mail e son tranquillo
l'antivirus migliore?Quello tra la tastiera e la sedia 