Da: “Il Team di G.mail” <mytuim@gmail.com> Data: 09/set/2014 10:32 Oggetto: Invio certificazione
Caro Membro,
Dopo una serie di tentativi illegali sul vostro conto in diversa localizzazioni, vi preghiamo di farvi identificare; Consulta questo documento.
Tutto rifiuto di cooperazione tradurrà la soppressione sistematica del vostro account dopo 48 Ore con la ricevuta di ritorno e senza risposta di questo presente messaggio.
Mi è arrivata una email senza testo da tale gerald_pinci@hotmail.com che conteneva solo una immagine che vi riporto.
Le risorse per questo tentativo di phishing (ma molto probabilmente un attacco virale) sono ospitati sul cloud Amazon Web Services (http://s3-sa-east-1.amazonaws.com/masj844/).
L’immagine è un file con nome docitalia.jpg, ed il fatto che non si chiami docitaly.jpg o altro indica che chi l’ha confezionata potrebbe essere italiano.
L’immagine è collegata tramite un link ad un file Documento.exe.
Il trucco è sempre quello sfruttare l’ignoranza e la curiosità delle persone a pensare: “che è sto coso?” cliccano aprono il file eseguibile (Documento.exe) e si infettano.
Come al solito cestinate queste email, contrassegnatele come spam oppure phishing attraverso il vostro gestore di email.
per i tecnici/smanettoni ecco gli header dell’email:
Delivered-To: macorte@gmail.com Received: by 10.49.132.167 with SMTP id ov7csp354qeb; Wed, 8 May 2013 21:06:28 -0700 (PDT) X-Received: by 10.14.99.198 with SMTP id x46mr24204411eef.38.1368072388330; Wed, 08 May 2013 21:06:28 -0700 (PDT) Return-Path: <www-data@vsobr.com> Received: from mxavas1.aruba.it (mxavas1.aruba.it. [62.149.157.11]) by mx.google.com with SMTP id j43si1872111eeo.51.2013.05.08.21.06.27 for <macorte@gmail.com>; Wed, 08 May 2013 21:06:28 -0700 (PDT) Received-SPF: fail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) client-ip=62.149.157.11; Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of www-data@vsobr.com does not designate 62.149.157.11 as permitted sender) smtp.mail=www-data@vsobr.com Received: (qmail 12424 invoked by uid 89); 9 May 2013 04:06:27 -0000 Delivered-To: marco@acor3.it Received: (qmail 12420 invoked by uid 89); 9 May 2013 04:06:27 -0000 Received: from unknown (HELO mxcmd01.ad.aruba.it) (10.10.10.65) by mxavas1.ad.aruba.it with SMTP; 9 May 2013 04:06:27 -0000 Received: from vsobr.com ([137.117.199.55]) by mxcmd01.ad.aruba.it with bizsmtp id Zg6T1l00d1CCVdD01g6T1V; Thu, 09 May 2013 06:06:27 +0200 Received: by vsobr.com (Postfix, from userid 33) id C1A2020F5A; Thu, 9 May 2013 04:06:28 +0000 (UTC) To: marco@acor3.it Subject: Nel documento allegato. X-PHP-Originating-Script: 0:index.php MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1 From: Importante <gerald_pinci@hotmail.com> Message-Id: <20130509040628.C1A2020F5A@vsobr.com> Date: Thu, 9 May 2013 04:06:28 +0000 (UTC) X-Spam-Rating: mxavas1.ad.aruba.it 1.6.2 0/1000/N