lunedì 26 dicembre 2011

“Click here to see the attached photos” Spam da probabile account mail compromesso.(26 dicembre)

Ricevuta una lunga sequenza di mails da parte di un indirizzo mail presente tra quelli della mia lista di contatti

Si tratta di alcune mails che con differente 'oggetto' e che sono inviate su diversi miei account ma tutte dalla medesima persona.

Il testo presente nell'oggetto sembra essere creato apposta per incuriosire chi riceve la mail

'VERY GOOD'
'SEE THIS'
'INCREDIBLE'

e per di piu', essendo il mittente persona nota, le premesse per cadere nel tranello della fake mail ci sono tutte.

Ecco invece alcuni dettagli del contenuto, molto semplice, delle diverse e-mails ricevute

ed anche

e

Si tratta di un semplice link “Click here to see the attached photos “ che se cliccato punta a differenti sub-domini (a seconda della mail) creati qualche giorno fa.

e

Notate come sia presente nel link il nostro indirizzo mail.

che parrebbe essere utilizzato anche per personalizzare la pagina cui si viene linkati

Il redirect presente punta a questa pagina dal background sfocato

utile a creare lo sfondo per questo form di fake login a Windows Live

In pratica si chiede, a fronte del nostro indirizzo mail mail visualizzato in automatico, di loggarsi con la propria password, attuando cosi l'acquisizione dei nostri dati di accesso.
Il fatto che come pagina iniziale venga proprio richiesta la password di login sarebbe un sistema per incrementare da parte degli spammers la lista di ulteriori accounts compromessi da usare in futuro per l'invio delle fake mail.

Il dominio che ospita il fake login e' stato creato il 24 dicembre.

Una volta effettuato il login vengono presentate diverse pagine di concorsi a premi, personalizzate nella lingua del destinatario della mail (vedi screenshot)

e
e

e


Potrebbe quindi trattarsi di uno spam orientato a proporre pagine di dubbia affidabilita', concorsi , ecc... attraverso mail inviate da account compromessi.

Tra l'altro la pagina di login fasullo si riferisce proprio ad account Microsoft Live che e' poi lo stesso usato realmente dalla persona a cui e' stata probabilmente carpita la password di login.

Chiaramente chi venisse a conoscenza di questo problema, relativamente all'invio di mail in automatico da parte del proprio account mail, dovra' tempestivamente cambiare password di accesso al proprio account mail (sperando che nel frattempo non ci abbiano gia' 'pensato gli spammers, cosa che vedrebbe l'account mail non piu' amministrabile) ed anche, per sicurezza, altre password di accesso a servizi online usati, che potrebbero comunque essere state esposte a seguito dell'account colpito.
Inoltre sara' opportuno, effettuare una completa scansione antivirus del PC, al fine di evidenziare eventuali softwares coinvolti nella compromissione dell'account, anche se, come ben sappiamo, non e' detto che il software AV possa rilevare completamente tutte le possibili varianti di malware a cui si e' esposti ogni giorno navigando in rete, proprio per il fatto che la connessione Internet permette attacchi che, in tempo reale, propongono varianti sempre nuove e mutevoli di malware.

Qui trovate un post di fine novembre pubblicato da blog che si e' occupato di un caso simile.

Edgar

Nessun commento: