Non aprire quella mail

Questa sezione ci sono gli annunci di sicurezza
Rispondi
Avatar utente
Martyn
Amministratore
Messaggi: 149
Iscritto il: 20/11/2013, 4:40
Contatta:

Non aprire quella mail

Messaggio da Martyn » 04/06/2016, 15:18

Fate girare questa notizia, Please!
Oggi 04/06/2016 mi sono arrivate due mail da indirizzi diversi, di un fantomatico pacco che il corriere DHL mi dovrebbe consegnare ma che è in giacenza. Mi invita a scaricare il modulo per confermare l'indirizzo e re-inviarlo al corriere.

Ovviamente NON DOVETE SCARICARE NULLA!!!, se non aspettate nessun pacco, ignorate e cancellate il messaggio. Se invece aspettate un pacco, controllate in prima battuta chi ve lo invia. Se il dominio (quello subito dopo alla @ ) non è del corriere (in questo caso DHL), avete quasi la certezza che l'allegato è un "Cavallo di Troia". Altra controprova: nessun numero di rintracciabilità!!! I corrieri nazionali permettono di rintracciare la spedizione tramite questo numero, se non c'è, ovviamente, il pacco non esiste! Per stare più tranquilli, chiamate il corriere indicato e verificate se effettivamente c'è un pacco in giacenza.

Sempre in campana!

Più dettagli: La lettera è scritta in un italiano corretto, quindi induce all'errore. Di seguito il contenuto:
"Gentile Cliente,

In data odierna non siamo riusciti a recapitarle una spedizione a causa di un errata corrige riscontrata nei dati forniti.
Onde evitare un aggravio di spese a suo carico, dovute alla giacenza in magazzino, provvederemo in via
eccezionale ad una seconda consegna. La inviatiamo, pertanto, a confermarci il suo indirizzo compilando il modulo.
Il modulo in allegato al file lettera.

Grazie della collaborazione,
DHL Italia,
Servizi Clienti"
Più Tecnico: L'allegato è zippato e nominato "modulo.zip", al suo interno c'è un file finto PDF (ha una doppia estensione), la cui vera estensione è "JavaScript" (.js). Il file è ha il nome di Modulo_100.PDF.js e risiede dentro la cartella "Modulo_100" che fa parte dell'archivio.
Il file è "criptato" (vedi foto in allegato), inizia con una variabile che è impostata a: var WDaKWSYDEjnJhtT1.

Il suggerimento è di non aprire il file (o se vi volete divertire, create prima una "Sand Box")
Allegati
Screenshot editor del file Modulo_100 allegato alla mail
Screenshot editor del file Modulo_100 allegato alla mail
screenshot-editor-20160604.png (161.03 KiB) Visto 6536 volte

Avatar utente
Martyn
Amministratore
Messaggi: 149
Iscritto il: 20/11/2013, 4:40
Contatta:

Re: Non aprire quella mail

Messaggio da Martyn » 04/06/2016, 16:13

L'utente iz0fwk mi ha fatto notare che il codice non è "criptato" ma "offuscato" (se non sapete cosa è il "codice offuscato" leggete qui: Wikipedia: Offuscamento del codice ). Grazie mille della segnalazione, attendo volentieri opinioni, commenti e suggerimenti.

Rispondi

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti