Risorse antispam

Archived Posts from this Category

Virustotal

Scritto da il 27 Apr 2023 | Archiviato in: Difese

Su questo sito ci prendiamo gioco dello spam ma sappiamo che è un problema serio. Sappiamo che, quando sui mass media parlano di attacchi hacker a famiglie o aziende, in realtà si riferiscono a mail che utenti maldestri o frettolosi hanno aperto, scatenando involontariamente una tempesta di guai. Sto parlando di ramsonware, nella maggior parte dei casi non si tratta di un vero e proprio attacco, qualcuno ha cliccato quello che non avrebbe dovuto cliccare.

In molti casi può venire in aiuto Virustotal, un sito che permette di esaminare un url o un file. Quindi prima di cliccare, prima di aprire un allegato ricevuto, se non siete del tutto sicuri fatelo controllare a Virustotal, ci vogliono due minuti e si posso evitare guai belli grossi,

PS: prima che qualche tecnico mi scriva con un articolo tecnico in una mano e un grosso bastone nell’altra, lasciatemi dire che so anche io che Virustotal non è infallibile ma è comunque molto, moltissimo meglio che niente.

IPQualityscore

Scritto da il 30 Mar 2023 | Archiviato in: Informazioni

Dopo tanto spam presentiamo oggi una risorsa antispam, nulla di incredibilmente sofisticato, veloce e semplice da usare.

Avete ricevuto una mail che contiene un link e non sapete se fidarvi o no, prima di cliccarci sopra vorreste il parere di un esperto. Ecco, qui entra in gioco il servizio di oggi: invece di aprire il link incollatelo nella casella di ipqualityscore e in pochi secondi avrete un parere di massima, giusto per capire se fidarsi a controllare quel link oppure archiviarlo nella casella dello spam.

https://www.ipqualityscore.com/

Le mail antispam

Scritto da il 20 Set 2013 | Archiviato in: Informazioni

Il sottotitolo di questo post potrebbe essere: come rendersi ridicoli due volte con una sola mail e c’è chi ci riesce benissimo. Alla redazione di un noto giornale online viene inviato un comunicato stampa ovvero una mail con un contenuto fatto apposta per essere diffuso. Il sito pubblica informazioni sulla cultura e sull’arte in Italia e il mittente è un teatro che invia i dettagli del prossimo spettacolo (per la cronaca è una rappresentazione del Macbeth).

Questa mail non è spam, la direzione del teatro invia alla redazione del sito informazioni interessanti chiedendo che vengano pubblicate e infatti la mail si apre con una frase piuttosto classica ovvero:

Con preghiera di diffusione.

In allegato fotografia e comunicato stampa, compresa tutta la stagione lirica, il teatro vuole che le pubblichiamo sul sito e la cosa appare inequivocabile, no?

E invece no perchè in calce alla mail c’è una “firma” che è un classico ovvero:

Il presente messaggio ed i suoi allegati sono destinati esclusivamente ai destinatari. Qualsiasi suo utilizzo, comunicazione o diffusione non autorizzata e’ proibita. Se il messaggio é stato ricevuto per errore, si invita a darne immediata comunicazione al mittente e a cancellare le informazioni erroneamente acquisite (Rif. D.Lgs. 196/2003). Grazie.
Personal Data Protection – This email is intended for the above named person and may be confidential and/or legally privileged. If this has come to you in error you must take no action based on it, nor must you copy or show it to anyone; please inform the sender immediately.
E così la direzione del teatro si rende ridicola non una ma due volte, la prima perchè chiede di diffondere un contenuto per poi dire che il messaggio è riservato e che non deve essere in alcun modo diffuso e la seconda è perchè l’intimidazione contenuta nella firma è semplicemente ridicola.
Vediamo se ho capito bene: tu mi hai inviato per sbaglio un messaggio e io devo cancellarlo e dartene comunicazione? In altre parole devo essere io a rimediare alla cazzata che hai fatto tu? Siccomeno…

Attacco “non convenzionale” agli spammer?

Scritto da il 10 Set 2011 | Archiviato in: Informazioni

Le soluzioni informatiche si stanno rivelando inefficaci, tutti i tentativi di combattere lo spam con metodi informatici ha fallito, ha controindicazioni ed è comunque probabile che non riesca ad eliminare il problema alla radice.

Uno studio effettuato da due università americane sembra suggerire un metodo particolarmente astuto: lo spam esiste perchè è redditizio, anche se poco efficiente. Lo spammer tipico impiega qualche milione di messaggi per raggranellare poche centinaia di dollari, dal momento che di messaggi spam ne genera miliardi lo spammer riesce a guadagnare tanto. Lo studio evidenzia che le ditte pubblicizzate con lo spam si appoggiano a un numero estremamente limitato di banche per le loro vendite. E si si bloccassero alla radice, impedendo alle banche di accettare pagamenti online fatti da siti spammer? Il fiume di spazzatura si arginerebbe rapidamente perchè, ripetiamolo ancora una volta, lo spam esiste solo e soltanto perchè è redditizio, quando non lo sarà più smetterà di esistere.

Una fattura decisamente salata…

Scritto da il 14 Ago 2011 | Archiviato in: Report, Virus e Trojan

Ricevo una mail con oggetto decisamente poco simpatico: "Fattura". Per varie vicende sono rimasto solo in ufficio questo ferragosto, così mi ritrovo a dover controllare parecchi indirizzi email e scopro che sono arrivate decine di mail con oggetto più o meno simile: Fattura 799986, Fattura, Factura, Invoice nr…

Ok, è chiaramente spam ma mi ha incuriosito. Diamo un’occhiata ai mittenti: CFX Group, Invoice, billing… il server di partenza sembra essere sempre lo stesso: 85.94.214.178 che corrisponde a un server di seeweb situato in centro Italia.

Vediamo cosa vogliono di bello: il corpo della mail è più o meno sempre lo stesso:

Gentile utente, vvvx@dominio.it.
La fattura deve essere pagato fino alla prossima settimana.
Dettagli possono essere trovati all’indirizzo:
http://www.scilipoti.altervista.org/information/Invoice.zip?IndexInformaCode730083

Cambia l’indirizzo da cliccare di seguito un altro paio di varianti:
http://creazioniclaudia.com/includes/information/Invoice.zip?IndexInformaCode687036257618418
http://kreso.it/information/Invoice.zip?CompanyNameutente@dominio.it
http://imperialfoggia.it/conto/Pagamento.zip?id=31474321901563659

Vediamo velocemente i 4 ip dei siti linkati: 78.46.45.86 (germania) 85.94.207.72 (Italia) 67.215.65.132 (Italia) 46.28.2.35 (Europa Occidentale)

Non sono nemmeno andato a controllare i legittimi proprietari dei domini linkati, ammesso e non concesso che siano rintracciabili sono sicuramente inconsapevoli di quello che sta succedendo e probabilmente verranno avvertiti dal loro provider nelle prossime ore. In altre parole, quasi sicuramente il loro sito è stato craccato per far far scaricare il file che analizzeremo a breve ai boccaloni alle vittime.

Cominciamo a tradurre: si tratta di spam che invita a visitare un sito con indirizzo moooooolto sospetto. Nei 4 casi che ho esaminato la mail è partita dallo stesso server, italiano. Lo spam invita a cliccare su siti diversi, ospitati su server diversi, parecchio lontano da loro, anche fisicamente.

Che succede cliccando sul link? Si viene invitati a scaricare un allegato, qui confesso di essere rimasto un po’ deluso perchè mi aspettavo qualcosa di meglio. Il nome del file è fattura.doc_____________________________________________.exe

Chiaro il trucchetto no? La vera estensione del file è .exe ma ormai nemmeno l’ultimo dei rimbambiti sotto l’effetto del solleone e di qualche birra di troppo aprire senza pensarci un file con estensione .exe (o almeno lo spero). Quindi hanno usato questo trucchetto di nascondere visivamente la vera estensione del file (.exe) e usando come nome dei file fattura.doc seguita da un consistente numero di caratteri di sottolineatura. In altre parole un utente distratto ha l’impressione di trovarsi di fronte a un documento di word e si sente relativamente tranquillo. L’impressione di falsa tranquillità è irrobustita anche dal fatto che il file viene presentato in windows con l’icona dei documenti di word ma non voglio annoiarvi oltre, è solo un trucco. Riassumiamo: sembra un documento word, in realtà è un eseguibile.

Ormai ho scoperto il trucco, giusto per scrupolo passo il file ad avast per scoprire che razza di bestia han cercato di propinarmi e …. ORRORE!!! Avast non rileva minacce!!!!

A questo punto sfodero l’artiglieria pesante e approfitto per segnalare una risorsa preziosa: faccio analizzare il file a VirusTotal, è un tool gratuito che analizza il file che inviate da esaminare con numerosi antivirus, praticamente tutti quelli più diffusi e qui vi incollo il report:

 

Antivirus Version Last Update Result
AhnLab-V3 2011.08.14.00 2011.08.14
AntiVir 7.11.13.37 2011.08.12
Antiy-AVL 2.0.3.7 2011.08.14
Avast 4.8.1351.0 2011.08.14
Avast5 5.0.677.0 2011.08.14
AVG 10.0.0.1190 2011.08.14
BitDefender 7.2 2011.08.14
CAT-QuickHeal 11.00 2011.08.13
ClamAV 0.97.0.0 2011.08.14
Commtouch 5.3.2.6 2011.08.14
Comodo 9747 2011.08.14 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.08.14 Trojan.PWS.Panda.550
Emsisoft 5.1.0.8 2011.08.14
eSafe 7.0.17.0 2011.08.14
eTrust-Vet 36.1.8499 2011.08.12
F-Prot 4.6.2.117 2011.08.14
F-Secure 9.0.16440.0 2011.08.14
Fortinet 4.2.257.0 2011.08.14
GData 22 2011.08.14
Ikarus T3.1.1.107.0 2011.08.14
Jiangmin 13.0.900 2011.08.14
K7AntiVirus 9.109.5010 2011.08.12
Kaspersky 9.0.0.837 2011.08.14 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.08.14 Artemis!01205E059002
McAfee-GW-Edition 2010.1D 2011.08.14 Artemis!01205E059002
Microsoft 1.7104 2011.08.14 PWS:Win32/Zbot
NOD32 6377 2011.08.14 a variant of Win32/Kryptik.RPK
Norman 6.07.10 2011.08.14
nProtect 2011-08-14.01 2011.08.14
Panda 10.0.3.5 2011.08.14
PCTools 8.0.0.5 2011.08.14
Prevx 3.0 2011.08.14
Rising 23.70.04.03 2011.08.12
Sophos 4.67.0 2011.08.14 Mal/Zbot-CX
SUPERAntiSpyware 4.40.0.1006 2011.08.13
Symantec 20111.2.0.82 2011.08.14 Suspicious.Cloud
TheHacker 6.7.0.1.276 2011.08.13
TrendMicro 9.500.0.1008 2011.08.14
TrendMicro-HouseCall 9.500.0.1008 2011.08.14
VBA32 3.12.16.4 2011.08.13
VIPRE 10162 2011.08.14 Virtool.Win32.Obfuscator.da!g (v)
ViRobot 2011.8.13.4621 2011.08.14
VirusBuster 14.0.168.0 2011.08.14


Vogliamo guardare con attenzione: solo dieci antivirus su un totale di quarantatre hanno riconosciuto il malware. 10/43, il 23%.

Eccoci arrivati alle due conclusioni fondamentali:

  1. Non tutto è come sembra. Un file che sembra un documento word non è detto che sia veramente un documento word, così come un file che sembra la foto di bonazza pettoruta non è detto che lo sia.
  2. Il preservativo non sostituisce il giubbetto antiproiettile. Fuor di metafora, la miglior protezione per il vostro computer è il vostro cervello, usatelo. Avere un buon antivirus aggiornato è una cosa ottima ma questo non autorizza a scliccazzare a destra e sinistra senza ragionare.

Se siete curiosi di sapere come mai io scliccazzo senza troppi timori la risposta è semplice: io uso linux 🙂

Lo spammer torna sempre sul luogo del delitto…

Scritto da il 08 Ago 2011 | Archiviato in: Informazioni

Non ha saputo resistere alla tentazione, Spamford Wallace ci è ricascato e si è connesso a facebook durante un volo in aereo tra Las Vegas e New York. In passato era passato al "disonore" delle cronache per la sua condanna esemplare: 700 milioni di dollari e il divieto di collegarsi ai social network per aver inviato diversi milioni di messaggi spazzatura agli utenti facebook.

Ci è ricascato, è stato colto con le mani nel sacco e ora rischia addirittura 40 anni di carcere.

Pagina successiva »