IL CAPITANO PRISCO MAZZI
Transcript
IL CAPITANO PRISCO MAZZI
IL CAPITANO PRISCO MAZZI "Avviso Sono capitano della polizia Prisco Mazzi. I rusultati dell'ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d'autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilita amministrativa. Il suo numero nel nostro registro e 00098361420. Non si puo essere errore, abbiamo confrontato l'ora dell'entrata al sito nel registro del server e l'ora del Suo collegamento al Suo provider. Come e l'unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d'autore. Per questo per favore conservate l'archivio (avviso_98361420.zip parola d'accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l'accordo che si trova dentro. La vostra parola d'accesso personale per l'archivio: 1605 E obbligatorio. Grazie per la collaborazione.". Colpo di scena! Lo pseudo avvocato Gianluca Gentili che tanto ci colpì per il suo innato altruismo nel volerci segnalare un sito da cui scaricare provvidenziali antivirus - ne abbiamo parlato in precedenza e potete trovare maggiori indicazioni sul blog di Infinito.it - ha ora cambiato mestiere e nome... ed è diventato il sedicente capitano della polizia Prisco Mazzi. Al di là della battuta, è evidente che siamo di fronte all'ennesimo tentativo di frode/phishing/social engineering/quello che volete purchè sia chiaro che: 1. questa e-mail va immediatamente cestinata perchè si tratta di un falso; 2. se proprio volete tenerla nel vostro archivio personale come ricordo per l'ennesimo tentativo di truffa, non aprite l'allegato, anzi buttatelo, perchè di virus si tratta. Detto questo, scendiamo nel dettaglio per alcune brevi considerazioni. Innanzitutto i vocaboli utilizzati, "desarchiviatelo" ad esempio, ci indicano che si tratta di una traduzione fatta in maniera approssimativa. In secondo luogo questa e-mail cerca di far leva su meccanismi psicologici relativi a quello che si ritiene essere un comportamento diffuso anche se illegale. Però il capitano Prisco è in fondo una brava persona e allora scrive personalmente al reo indicandogli una possibile via per sfuggire alla punizione: la promessa di non farlo più... ma promettere non basta: ecco che si richiede una piccola prova del mutato atteggiamento, aprire cioè il file zippato allegato. Osservando l'header della e-mail vediamo che: Return-Path: Received: from [59.52.6.66] ([59.52.6.66] verified) Una e-mail dal Celeste Impero... L'IP è di proprietà di China Telecom. In quanto al mittente, tal [email protected], sappiamo che questo campo è facilmente falsificabile. Per quel che riguarda l'allegato, sembra che si tratti di un ".exe" che contenga una variante del Win32/TrojanDownloader.Nurech.NAT noto anche come Trojan-Downloader.Win32.Zlob.bqy o con altri nomi che variano a seconda dell'antivirus utilizzato. Ricordiamo la regola aurea: • Mantenete aggiornato il vostro software di protezione dalle minacce informatiche; • Mantenete aggiornato il vostro Sistema Operativo Articolo di: Antonello Sacchi