Categoria: Phishing

Your account has been hacked! You need to unlock.

Dopo Alto Pericolo! , continua la saga dei messaggi di truffa ai danni degli account e-mail italiani; questa volta il messaggio, in inglese, asserisce di avere compromesso il nostro router (sfruttando una vulnerabilità); da tale trojan si sarebbe intrufolato nel PC, prendendone il controllo, ed accorgendosi delle “frequentazioni” di siti per adulti.

Poi avrebbe fatto screenshots, e bla bla bla… ; per avere il suo silenzio, occorre versare 670$ “I think is a very, very small amount for my silence”, ovviamente in BitCoin.

Conclude con “Do not hold evil! I just do my job. Have a nice day!”

Attenzione: nei casi che ho analizzato, gli account non sono stati compromessi; si tratta di una tecnica che consente di inviare un messaggio e-mail forgiando il mittente in modo da far sembrare che il messaggio sia stato inviato dal vostro server di posta.
Tutti i messaggi provenivano da un indirizzo IP sudafricano.

Ovviamente la certezza si ottiene analizzando gli headers del messaggio oppure i log del mail-server che ha ricevuto il messaggio.
Se volete avere la sicurezza che il vostro account non sia stato compromesso, contattatemi per le attività di security assessment del vostro device; di norma esse possono essere condotte anche tramite supporto remoto.

Non pagate assolutamente in quanto dareste spago ad altri criminali per tuffarsi nel “business”; il portafoglio del precedente messaggio “Alto Pericolo” ha incassato quasi 5 bitcoin (circa 16.600 euro), mentre quello del messaggio recente totalizza adesso 5 versamenti di soggetti che hanno abboccato.

Alto pericolo! Il tuo account è stato attaccato

Continuano le insidiose campagne di phishing-scam-truffa da parte di delinquenti che simulano di avere “pieno accesso al tuo accont” e-mail inviando una e-mail forgiata ad-hoc per sembrare proveniente dallo stesso account (dichiarato come compromesso).

Nel testo del messaggio indicano che “hanno infettato il pc con un malware presente in un sito per adulti”, che “hanno registrato un video tramite la webcam” e che lo “invieranno a tutti i contatti” qualora non si paghino 210 euro in bitcoin entro 48 ore.

ATTENZIONE – NON PAGATE ASSOLUTAMENTE!
Nei casi che abbiamo analizzato, non vi era stata alcuna compromissione, ma solo una falsa attestazione; in ogni caso, non vi è alcuna certezza che il malvivente manterrebbe quanto promesso.

Qualora il messaggio scam abbia interessato accounts aziendali, è necessario far verificare – con assoluta certezza – che l’evento non sia effettivamente accaduto, in quanto si tratterebbe di data breach.

Se volete avere la certezza che il vostro account non sia stato compromesso, contattatemi per le attività di security assessment del vostro device; di norma esse possono essere condotte anche tramite supporto remoto.

In ogni caso è sempre buona norma sostituire la password degli account e-mail interessati; vedasi l’articolo Collection #1.

Aggiornamento: circola anche una altra versione del tentativo di truffa, dal titolo “Questo è il mio ultimo avvertimento“, e sulla falsariga del precedente ha “un video imbarazzante che spedirò a tutti i tuoi amici”, e chiede 2.000 euro in bitcoin (con tanto di esatta conversione bitcoin-euro).

Il primo scam-truffa proveniva dalla Ucraina, è stato segnalato alla funzione abuse dell’internet provider ed attualmente il mailserver (compromesso) è stato messo offline.

Il secondo mailserver utilizzato è negli Stati Uniti, appare in uso a soggetti cinesi; è stato segnalato ed attendiamo provvedimenti dal cloud provider – update anche il secondo mailserver è down!

Aggiornamento giorno 2: questo post sta avendo un enorme traffico, e stò ricevendo molte richieste di informazioni alle quali non potrò dare seguito; chi lo ritiene si rivolga alla Polizia Postale.
Purtroppo alcuni sono caduti nella truffa, da quanto si evince dal saldo del wallet bitcoin del primo messaggio (0.98328264 BTC alle ore 22:50 del 15 gennaio – il secondo wallet è fortunatamente ancora a zero).

Aggiornamento giorno 3: ancora ulteriori pagamenti sul primo wallet; 2.22784895 BTC alle ore 22.00. Da non credere!

Aggiornamento giorno 4: continua lo spam con il messaggio “Alto pericolo!”, adesso proveniente da un indirizzo IP della Turchia; continuano ad abboccare le persone che ricevono lo scam-truffa (sino ad oggi il wallet ha ricevuto 40 transazioni).

Aggiornamento giorno 8: dai dati, sembra che il picco sia passato; riporto una analisi degli accessi aggregati al sito:

come si può vedere, il massimo delle ricerche è stato il 15 gennaio, giorno successivo al manifestarsi della attività di spam – scam.

Ad oggi, il conto bitcoin indicato nel primo messaggio ha totalizzato 67 transazioni, per un valore totale di circa 4,5 bitcoin, equivalenti a circa 14.100 euro.

Phishing “Avviso AV”

Informo di una nuova e particolarmente subdola campagna di phishing.

Arriva un messaggio che appare inviato dal proprio indirizzo di posta; il truffatore vi spiega che “ha violato il tuo account” ed “ha pieno accesso al tuo dispositivo; in effetti ho inserito un malware nel sito web di adulti che hai visitato ….”.
Quindi afferma che “ho compromesso il tuo browser e registrato un video durante questo accesso”, e che lo invierà ai tuoi contatti se non riceverà $450 tramite bitcoin, “un prezzo equo per il nostro segreto”.

Attenzione: mantenete la calma e non pagate assolutamente nulla!

Per tranquillità, denunciate l’accaduto alla Polizia Postale, controllate la sicurezza dei vostri dispositivi e cambiate la password di accesso all’account e-mail; sono piuttosto sicuro che il truffatore non ha compromesso nulla; ha solo inviato una e-mail forgiata per apparire proveniente dal vostro account.

Nei messaggi che ho analizzato, viene usato un italiano abbastanza buono; l’indirizzo IP sorgente fa capo ad un provider del Vietnam; come al solito, il problema deriva dalla non più accettabile insicurezza del protocollo smtp.

Sarebbe ora di metterci sopra le mani? (Ovviamente intendo nel protocollo smtp).

Aggiornamento1: la Polizia Postale avverte della campagna di phishing in una apposita pagina.

Aggiornamento2: sembra che diversi soggetti abbiano pagato la somma richiesta; ma informarsi o rivolgersi a qualcuno esperto prima di farsi prendere dal panico no, vero?