3 post random:
- 1
- 2
- 3
Index/diario
Lo spam della settimana
'You've received a greeting card from a Neighbour!': anatomia di una mail che veicola malware
Ho appena ricevuto questo spam che porta ad una pagina che tenta di installare automaticamente un malware (per la precisione un trojan).
Inutile dire che la tecnica è vecchia come il web, ma sempre insidiosa. Chi di noi non ha mai ricevuto una cartolina virtuale da un amico?
Approfitto quindi per disporre un breve prontuario del buon senso da usare in questi casi, ossia quando si riceve una mail del genere.
L’oggetto è You've received a greeting card from a Neighbour!, mentre il testo è il seguente:Hi. Neighbour has sent you a greeting card.
See your card as often as you wish during the next 15 days.
SEEING YOUR CARD
If your email software creates links to Web pages, click on your
card's direct www address below while you are connected to the Internet:
http://72.187.250.194/?c61301cba46921636c804814655dc21c8371 non andateci! (n.d.R.)
Or copy and paste it into your browser's “Location” box (where Internet
addresses go).
We hope you enjoy your awesome card.
Wishing you the best,
Webmaster,
PostcardsFrom.Com
Già da una veloce analisi al testo, si capisce che c’? qualcosa che non torna:
Quindi, riassumendo, notiamo che:
- Indirizzo del mittente che non centra nulla col nome del sito visualizzato
- Uso dell’indirizzo IP, anzichè del più comune nome dominio come http://postcardfrom.com/... oppure http://media.postcardfrom.com/...
- Generalmente in questi servizi viene inserito l’indirizzo e-mail di chi ti invia la cartolina (e/o il suo nick name) proprio per tutelare da malware di questo tipo il destinatario
- Se ci si prende la briga di andare su Postcardfrom.com (nella firma), si scoprirà che non offre il servizio di invio cartoline virtuali, ma è solo un sito per collezionisti del settore (è stato inserito dallo spammatore per rendere più credibile la mail, ovviamente all’insaputa dei gestori del sito stesso).
A questo punto non ci resta che scoprire a che domain name corrisponde l’indirizzo numerico 72.187.250.194.
È presto detto, facendo un reverse lookup otteniamo la seguente risposta:
Quindi l’indirizzo http://72.187.250.194 corrisponde a 194-250.187-72.tampabay.res.rr.com.
Andando su Google e inserendo come ricerca tampabay.res.rr.co.m + malware otteniamo la conferma di quanto sospettavamo.
- Postato da: Lorenzo
- In: Lo spam della settimana
- Vai ai commenti
Aggiungi un commento
temi
- Tutti
- 10 cose... [5]
- Advertising verosimile [6]
- Campanilismi estremi [3]
- CD verosimili [15]
- Consigli spirituali [4]
- Diagrammi verosimili [5]
- Enigmistica verosimile [8]
- Esperimenti CSS [8]
- I tic verbali di Libero.it [8]
- Il Novello del lunedì [36]
- Italiano 1839 - 2009 [14]
- Libri verosimili [12]
- Lo spam della settimana [6]
- Prodotti verosimili [11]
- Retroweb Italia [6]
- Ritagli di web [19]
- Solo in Italia... [7]
- Varie (ed eventuali) [32]
- Web (design e altro) [13]
- Web verosimile [11]
archivio
le meno cercate
- Quello che gli utenti non cercano maggiormente: