Menu

Osservatorio Astrofisico di Arcetri

Alcuni esempi di messaggi "pericolosi"

Luca Fini
Settembre 2005

I messaggi mostrati negli esempi seguenti sono stati effettivamente ricevuti ed è stato accertato che si tratta di messaggi contraffatti.

Nota: Negli esempi vengono mostrati messaggi utilizzando browser di posta elettronica diversi, in particolare pine, messenger di Netscape ed una interfaccia Webmail: si tenga presente però che altri programmi di posta possono presentare in modo diverso le varie parti.


Esempio 1: Semplice messaggio con virus (browser pine)

Date: Fri, 29 Jun 2001 12:37:30 +0200 (MET DST)
From: Giovanni <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>
Subject: Ciao
Parts/Attachments:
1 Shown 0 lines Text (charset: ISO-8859-1)
2 OK 67 KB Image
----------------------------------------


Ti invio il documento che hai richiesto

[ Part 2, Image/GIF 89KB. ]
[ Not Shown. Use the "V" command to view or save this part. ]


Questo è un messaggio assai insidioso: l'originale conteneva un virus, ma l'indirizzo di provenienza è assai convincente. L'esame dell'header non aiuta ad indentificarlo, perchè è stato inviato da un programma installato come virus su un PC della LAN di provenienza (ct.astro.it) ed utilizzando il server di posta legittimo.

L'unico indizio consiste nel fatto che il messaggio contiene un allegato dichiarato di tipo GIF (ovvero un'immagine). Tuttavia un successivo tentativo di salvare il file mostra che il file effettivamente creato si chiama: ACTMOVIE.EXE, ovvero si tratta di un file eseguibile.

Esempio 2: Semplice messaggio con virus (browser Netscape)

Nel messaggio qui sopra è facile identificare il virus nell'allegato con estensione .bat. Si noti, però, che il nome del file allegato tenta di trarre in inganno in quanto termina per .doc.bat: ad un esame superficiale potrebbe essere scambiato per un documento. Si noti anche che alcuni browser potrebbero essere configurati in modo da non mostrare il nome del file, ma solo un'icona corrispondente, nel qual caso l'identificazione potrebbe essere ancora meno evidente. Inoltre anche il testo è sotto forma di allegato; ciò significa che anche solo per leggere il testo occorre aprire un allegato, il che aumenta le probabilità che il virus venga mandato in esecuzione per errore.

Anche in questo caso vale la regola generale di conoscere bene le caratteristiche del browser utilizzato in modo da evitare azioni fatte inavvertitamente.

Esempio 3: Falso avviso con virus

Date: Tue, 12 Mar 2002 17:23:36 +0000
From: Microsoft Corporation Security Center <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>
To: Microsoft Customer <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>
Subject: Internet Security Update

Microsoft Customer,

      this is the latest version of security update, the
"8 Mar 2002 Cumulative Patch" update which eliminates all
known security vulnerabilities affecting Internet Explorer and
MS Outlook/Express as well as six new vulnerabilities, and is
discussed in Microsoft Security Bulletin MS02-005. Install now to
protect your computer from these vulnerabilities, the most serious of which
could allow an attacker to run code on your computer.


Description of several well-know vulnerabilities:

- "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" vulnerability.
If a malicious user sends an affected HTML e-mail or hosts an affected
e-mail on a Web site, and a user opens the e-mail or visits the Web site,
Internet Explorer automatically runs the executable on the user's computer.

- A vulnerability that could allow an unauthorized user to learn the location
of cached content on your computer. This could enable the unauthorized
user to launch compiled HTML Help (.chm) files that contain shortcuts to
executables, thereby enabling the unauthorized user to run the executables
on your computer.

- A new variant of the "Frame Domain Verification" vulnerability could enable a
malicious Web site operator to open two browser windows, one in the Web site's
domain and the other on your local file system, and to pass information from
your computer to the Web site.

- CLSID extension vulnerability. Attachments which end with a CLSID file extension
do not show the actual full extension of the file when saved and viewed with
Windows Explorer. This allows dangerous file types to look as though they are simple,
harmless files - such as JPG or WAV files - that do not need to be blocked.


System requirements:
Versions of Windows no earlier than Windows 95.

This update applies to:
Versions of Internet Explorer no earlier than 4.01
Versions of MS Outlook no earlier than 8.00
Versions of MS Outlook Express no earlier than 4.01

How to install:
Run attached file q216309.exe

How to use:
You don't need to do anything after installing this item.


For more information about these issues, read Microsoft Security Bulletin MS02-005, or visit link below. http://www.microsoft.com/windows/ie/downloads/critical/default.asp
If you have some questions about this article contact us at Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Thank you for using Microsoft products.
With friendly greetings, MS Internet Security Center.
----------------------------------------
----------------------------------------
Microsoft is registered trademark of Microsoft Corporation.
Windows and Outlook are trademarks of Microsoft Corporation

Questo messaggio è un esempio di "falso avviso" fatto molto bene. Il testo è ripreso direttamente dalla documentazione originale Microsoft e fa riferimento a documenti realmente esistenti e disponibili in rete. Le vulnerabilità citate sono state effettivamente divulgate da Microsoft, che fornisce anche le patch relative.

Quindi dove sta l'inganno? È molto semplice: la cura proposta consiste nell'eseguire il programma inviato come allegato; l'allegato naturalmente è il virus stesso. Nessuna ditta seria proporrebbe questo metodo per applicare le patch, dato che si presta ovviamente a diffondere virus in modo incontrollato. Le proc edure per applicare le vere patch prevedono sempre che l'utente si colleghi al sito ufficiale per scaricare i programmi necessari.

Esempio 4: Falsa informazione

Date: Fri, 12 Oct 2001 10:45:13 +0200
From: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
To: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Subject: Grazie e virus


Ho ricevuto (da fonte sicura) questo messaggio, vale la pena controllare.

> Subject: Allarme virus
> >
> > IL VIRUS "fnbk" è stato trovato su dischi rigidi ma non è stato
> > attivo fino ad oggi. E' programmato per divenire attivo. Non viene
> > rilevato dai comuni antivirus McAfee o Norton per il suo ritardo di
> > attivazione. Nessuno sa da quanto tempo sia nel sistema. Forse da
> > mesi. Quando diverrà attivo sopprimerà tutti i files e le
> > cartelle del disco fisso. SI PROPAGA PER EMAIL e si infiltra nel
> > disco c:/windows/command
> >
> > PER TROVARLO E SOPPRIMERLO SEGUIRE LE ISTRUZIONI SEGUENTI:
> >
> > cliccare AVVIO
> > scegliere TROVA
> > scegliere FILE O CARTELLE
> > andare a "CERCARE IN" e selezionare "Disco fisso C"
> > sulla linea del nome scrivere: SULFNBK.EXE
> > Se il programma viene trovato cliccatelo ma NON APRITELO!!!!!!!
> > Nel menu Modifica cliccare "seleziona tutto"
> > Nel menu File cliccare "elimina"
> > chiudere la finestra "risultato della ricerca"
> > VUOTARE IL CESTINO
> >
> > Ora siete al sicuro, ma la cattiva notizia è che se avete trovato tale
> > file nel computer, avrete certo contaminato coloro ai quali avete inviato
> > e.mails da molti mesi.

Il messaggio originale era stato inviato al destinatario da un corrispondente abituale, che a sua volta lo aveva ricevuto da altri, con lo scopo di fare una cortesia avvertendo di un pericolo imminente. Si noti che, in perfetta buona fede, il mittente garantisce dell'affidabilità della fonte originale del messaggio.

In realtà il file SULFNBK.EXE è un file di sistema di Windows e quindi si trova su tutti i PC. Cancellandolo si disabilita il meccanismo per associare i nomi brevi dei files ai nomi lunghi. Non è un malfunzionamento grave, ma comunque il sistema poi non funziona più correttamente.

Esempio 5: Tentativo di carpire informazioni


Questo esempio merita un'analisi approfondita. Si tratta apparentemente della richiesta della banca FINECO di provvedere al rinnovo delle chiavi di accesso, per motivi di sicurezza. In realtà la banca non ha niente a che fare con questo messaggio: è un espediente per carpire informazioni che consentirebbero a malintenzionati di accedere al conto corrente di un utente della banca.

Vediamo in dettaglio la struttura del messaggio.

  • Header:
    Received: from britneyclub.com ([221.160.102.138])
        by hercules.arcetri.astro.it (8.13.4/8.13.4) with SMTP id
        j85DSYdb011291 for <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>; Mon, 5 Sep 2005 15:28:52 +0200 (CEST)
    Received: from fineco.it (smtpin1.fineco.it [193.193.183.158])
        by britneyclub.com (Postfix) with ESMTP id C8700A20AD
        for <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>; Mon, 05 Sep 2005 06:30:34 -0700
    From: FINECO <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>
    To: Lfini <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>
    Subject: FINECO
    Date: Mon, 05 Sep 2005 06:30:34 -0700
    Message-ID: <100101c5b21d$b5757d0a$Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>

    Come sappiamo la prima parte dell'header è inserita dal nostro server locale, quindi possiamo fidarci delle informazioni che contiene. Questa ci dice che il messaggio è stato ricevuto dall'indirizzo IP: 221.160.102.138; una semplice ricerca ci mostra che questo indirizzo risulta allocato a Korea Telecom; già questo sarebbe un indizio sufficiente a farci sospettare un imbroglio: è assai improbabile che la banca Fineco si appoggi ad un provider coreano!.

    Vorrei sottolineare, però che la seconda parte "Received" risulta ben contraffatta: un'analoga ricerca mostra che il numero IP 193.193.183.158 corrisponde effettivamente ad un server di posta elettronica della Banca Fineco. 

  • Testo del messaggio: Questo risulta evidentemente contraffatto: l'italiano è molto approssimativo (ci si domanda come mai, a fianco di tanto sforzo per rendere credibile l'header del messaggio che solo gli esperti solitamente guardano, non abbiano cercato qualcuno in grado di preparare un testo più corretto). Si noti però che il logo è proprio quello giusto (è comunque assai facile procurarselo sul sito web ufficiale).

  • Il link da utilizzare: Il testo richiede di accedere al sito indicato (www.finecobanca.net) per procedere alla variazione dei dati di riconoscimento. Anche questo dovrebbe mettere in sospetto, dato che il sito ufficiale della banca Fineco è www.fineco.it, ma un destinatario distratto potrebbe non notare la differenza!

Esempio 6: divertente

Concludo con un esempio di caso estremo, divertente, ma che nella sostanza non è diverso da altri messaggi che, per essere scritti in linguaggio tecnico assai convincente, sono stati presi decisamente sul serio:

Date: Fri, 29 Jun 2001 12:37:30 +0200 (MET DST)
From: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
To: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Subject: virus albanese

In questo momento voi avete ricevuto il "virus albanese". Siccome noi
nella Albania non ha esperienza di software e programmazione, questo virus
albanese funziona su principio di fiducia e cooperazione. Allora, noi
prega voi adesso cancella tutti i file di vostro ard disc e spedisce
questo e-mail a tutti amici di vostra rubrica.

Grazie per fiducia e cooperazione.