phishing: una email con immagine allegata che scarica un eseguibile (exe)

Le nuove frontiere del phishing.

Mi è arrivata una email senza testo da tale gerald_pinci@hotmail.com che conteneva solo una immagine che vi riporto.

Le risorse per questo tentativo di phishing (ma molto probabilmente un attacco virale) sono  ospitati sul cloud Amazon Web Services (http://s3-sa-east-1.amazonaws.com/masj844/).

L’immagine è un file con nome docitalia.jpg, ed il fatto che non si chiami docitaly.jpg o altro indica che chi l’ha confezionata potrebbe essere italiano.

L’immagine è collegata tramite un link ad un file Documento.exe.

Il trucco è sempre quello sfruttare l’ignoranza e la curiosità delle persone a pensare: “che è sto coso?” cliccano aprono il file eseguibile (Documento.exe) e si infettano.

Come al solito cestinate queste email, contrassegnatele come spam oppure phishing attraverso il vostro gestore di email.

per i tecnici/smanettoni ecco gli header dell’email:

Delivered-To: macorte@gmail.com
Received: by 10.49.132.167 with SMTP id ov7csp354qeb;
Wed, 8 May 2013 21:06:28 -0700 (PDT)
X-Received: by 10.14.99.198 with SMTP id x46mr24204411eef.38.1368072388330;
Wed, 08 May 2013 21:06:28 -0700 (PDT)
Return-Path: <www-data@vsobr.com>
Received: from mxavas1.aruba.it (mxavas1.aruba.it. [62.149.157.11])
by mx.google.com with SMTP id j43si1872111eeo.51.2013.05.08.21.06.27
for <macorte@gmail.com>;
Wed, 08 May 2013 21:06:28 -0700 (PDT)
Received-SPF: fail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) client-ip=62.149.157.11;
Authentication-Results: mx.google.com;
spf=hardfail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) smtp.mail=www-data@vsobr.com
Received: (qmail 12424 invoked by uid 89); 9 May 2013 04:06:27 -0000
Delivered-To: marco@acor3.it
Received: (qmail 12420 invoked by uid 89); 9 May 2013 04:06:27 -0000
Received: from unknown (HELO mxcmd01.ad.aruba.it) (10.10.10.65)
by mxavas1.ad.aruba.it with SMTP; 9 May 2013 04:06:27 -0000
Received: from vsobr.com ([137.117.199.55])
by mxcmd01.ad.aruba.it with bizsmtp
id Zg6T1l00d1CCVdD01g6T1V; Thu, 09 May 2013 06:06:27 +0200
Received: by vsobr.com (Postfix, from userid 33)
id C1A2020F5A; Thu, 9 May 2013 04:06:28 +0000 (UTC)
To: marco@acor3.it
Subject: Nel documento allegato.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Importante <gerald_pinci@hotmail.com>
Message-Id: <20130509040628.C1A2020F5A@vsobr.com>
Date: Thu, 9 May 2013 04:06:28 +0000 (UTC)
X-Spam-Rating: mxavas1.ad.aruba.it 1.6.2 0/1000/N

spam: Situazione finanziaria

Ho ricevuto questa email, che camuffo opportunamente per non dare altra pubblicità allo spammer Italiano:

Alla c.a. della Direzione

Come avrete compreso, in futuro le aziende dovranno
contare sempre di più sulle proprie risorse finanziarie.
Ci occupiamo di pianificazione e controllo dell’attività
aziendale con lo scopo di migliorare la situazione
finanziaria delle PMI.

Sul sito www.sito-fuffa.it troverete materiale
gratuito disponibile e l’elenco dei servizi.


ACCONSENTO
Per essere contattati dovete acconsentire.

<NomeSitoFuffa> – Milano – www.sito-fuffa.it

come al solito questo spam è arrivato una una mia casella email di posta .it usata come honeypot

Errori ortografici sul sito acor3.it ??? ci pensa Angela Tinelli

Ho ricevuto questa insolita ed inaspettata email da Angela Tinelli (perlomeno è così che si firma) che mi propone, previo pagamento di soli 30 euro, di segnalare e correggere gli errori ortografici del mio sito.

Buongiorno,

Ho trovato alcuni errori ortografici sul vostro sito acor3.it

Spero che non vi dispiaccia se ve li segnalo:

Errore ortografico:iq
In questa pagina:acor3.it/
Errore ortografico:putroppo
In questa pagina:acor3.it/index.php/2006/07/10/campioni-del-mondo/
Clicca qui per vedere gli errori!

Gli errori ortografici possono influenzare negativamente l’opinione dei visitatori riguardo al vostro sito (e alla vostra azienda).

Normalmente correggo i siti di piccole dimensioni per 20-30 euro, ma poiché il sito acor3.it sembra un po’ più lungo, se lo desidera posso farle un preventivo specifico.

Mi permetto di presentarmi: sono Angela Tinelli, ho 22 anni e sto studiando all’Università degli Studi di Firenze. Per finanziare i miei studi faccio il controllo ortografico dei contenuti web.

Sono certa che sarà un buon affare per entrambi!

I vostri visitatori non troveranno più errori ortografici sul vostro sito e per me un piccolo introito sarebbe utile per gli studi. Naturalmente vi mando anche una fattura fiscale e dovrete saldare il conto solo dopo il lavoro eseguito!

Se volete conoscere tutti gli errori ortografici presenti sul vostro sito, compilate il modulo on line oppure rispondete direttamente a questa e-mail!

Cordiali saluti

Angela Tinelli
Correttore ortografico dei contenuti web
www.angela.blogcorrector.com

 

A prima lettura ho pensato: “guarda qui che bella idea!!!”

poi ho cliccato sul report degli errori e ho “fiutato” un modus operandi da sistema pseudo automatizzato e mi è venuto qualche dubbio…

il report degli errori è ospitato su

http://show-the-mistake.com/sample_errors/it/http://acor3.it/

andando sulla root del dominio (show-the-mistake.com) vedo solo:

analizziamo un po’ la mail…

il suo sito è www.angela.blogcorrector.com ma la foto di Angela si trova depositata su un sito ungherese: http://listamester.hu/store/1120/angela.jpg

diciamo che non credo più (o perlomeno ci credo poco) che Angela sia una studentessa fiorentina che cerchi di sbarcare il lunario.

E’ altamente probabile che sia qualcuno che, fornendo un profilo fake, propone un servizio alla “prendi i soldi e scappa”.

come lei anche:

  • http://elena.blogcorrector.com/ Elena da Bucarest
  • http://eszter.blogcorrector.com/ Eszter da Hungary

Ps. poi gli errori che ha trovato erano nei commenti !!!! non erano errori farina del mio sacco 😀

come vendere l’aria fritta e darsi un tono

mi è appena arrivata una email (ovviamente non richiesta) all’indirizzo email della mia band: i  Dr.Gore

Suona anche Tu nel Regno Unito

La domanda è semplice: vuoi suonare anche Tu nel Regno Unito?

In vista dei recenti live-show organizzati all’estero vi proponiamo la possibilità di cedervi una parte del nostro database che comprende centinaia di clubs/locali attivi in tutto il Regno Unito.
Nessuna Agenzia vi darà la possibilità di accedere alla propria banca dati, ed è giunto il momento che Tu proponga il tuo progetto musicale direttamente ai locali, senza alcun intermediario.
Ti sembra impossibile? Affatto: è più facile ed economico suonare in UK con un volo RyanAir che suonare in Italia utilizzando un mezzo noleggiato.

In questo modo, con un contributo modesto da 50 eur avrai le “armi” giuste per cominciare la Tua totale autogestione. Oltre al database sono presenti una serie di -istruzioni guida- utilizzate dalle Agenzie Musicali per una comunicazione efficace realizzata dagli addetti del settore + un comunicato di esempio.

Non perdere altro tempo, contattaci subito per avere tutte le informazioni, grazie.

Cordiali Saluti

PINCOPALLO live music promotion

disclaimer e privacy

Qualora Tu non sia interessato ti preghiamo di accettare le nostre scuse se la presente informativa non è di Tuo interesse. Rispettiamo la Tutela alla Privacy: D.L. 196/2003 e seguenti modificazioni, le e-mail nei nostri elenchi provengono da richieste di iscrizione, elenchi pubblici oppure perchè pubblicate su siti internet con la finalità di entrare in contatto con realtà come la nostra. Questo messaggio è a scopo informativo e non rientra in un’attività commerciale. Qualora Tu intenda essere rimosso dal nostro indirizzario è sufficiente comunicarlo via email, grazie.  

Ovviamente non darò seguito a questa email e neanche mi va di spendere 50 euro per avere una database di locali che chiunque su Facebook è in grado di recuperare con un minimo di impegno.

Diciamo che quest’agenzia (che non cito esplicitamente e ne linko per decenza) usa il classico metodo dello spamming con un disclaimer copiato e incollato per darsi (come al solito) una parvenza di correttezza/legalità.

Facciamogli le pulci:

  • le e-mail nei nostri elenchi provengono da richieste di iscrizione, (falso)
  • elenchi pubblici (dovreste indicare quali)
  • Questo messaggio è a scopo informativo e non rientra in un’attività commerciale. (falso, mi volete vendere un database a 50 euro)
  • Qualora Tu intenda essere rimosso dal nostro indirizzario è sufficiente comunicarlo via email, grazie (no, non lo farò e anzi vi aggiungo nei filtri anti-spam di Google)

 

tutte le news che volete finiranno nello spam waste

Sedicenti promotori sappiate che:

ogni email non richiesta finirà inesorabilmente nel circuito antispam di gmail.

image

capito http://allnewz.it/  ?????

*********************************************************************
* Please note that the following result could be a subgroup of      *
* the data contained in the database.                               *
*                                                                   *
* Additional information can be visualized at:                      *
* http://www.nic.it/cgi-bin/Whois/whois.cgi                         *
*********************************************************************
Domain:             allnewz.it
Status:             ok
Created:            2011-07-14 08:53:58
Last Update:        2011-09-29 04:48:38
Expire Date:        2012-07-14
Registrant
Name:             vito santimone
Organization:     vito santimone
ContactID:        SUPER-52681
Admin Contact
Name:             vito santimone
Organization:     vito santimone
ContactID:        SUPER-52681
Technical Contacts
Name:             Domenico De Monte
Organization:     SUPERNOVA S.R.L.
ContactID:        DDM658
Registrar
Organization:     Supernova s.r.l.
Name:             SUPERNOVA-REG
Web:              http://www.netsons.com
Nameservers
anna.ns.cloudflare.com
carl.ns.cloudflare.com

http://www.dnsqueries.com/it/whois.php