Stamattina un messaggio e-mail ha oltrepassato i filtri antispam dell’azienda in cui lavoro. Il messaggio è in perfetto italiano, ed è inviato proprio a me. E’ un sedicente professionista che opera da tanti anni nel campo della sicurezza ed afferma di essere in grado di monitorare l’attività in rete di un singolo individuo. Si rivolge a me per via di alcuni documenti il cui contenuto potrebbe interessarmi, riguardando persone a me vicine che potrebbero danneggiarmi.
Naturalmente offre i propri servizi qualora decidessi che i documenti citati contenessero effettivamente qualcosa di importante.
Nel messaggio vi è un solo link, e l’aspetto generale è professionale e sobrio. Niente immagini sgargianti, niente trucchi tipici dei messaggi spam (parole spezzate con spazi o trattini, vocali sostituite con numeri, errori ortografici).
Stavo per cliccare sul link, poi mi sono ricordato appena in tempo di essere con Windows. Vero è che uso un account non amministrativo, e che ho applicato le misure descritte nel mio libro, ma perché rischiare?
Dal computer a fianco, con Linux, punto il browser sul sito e mi appare una pagina abbastanza scarna, con uno stemma che fa tanto “agenzia governativa per la sicurezza”. Qui sotto lo screenshot.
Avvertenza per i più temerari
Il sito mostrato potrebbe contenere codice malevolo in grado di attaccare browser e computer vulnerabili, quindi, anche se non credo occorra specificarlo, non è proprio il caso di visitarlo.
La pagina ha un solo link attivo, ben visibile, “DOWNLOAD”. Punta ad un file eseguibile dal nome “Indagini.exe”. Passato all’antivirus, aggiornato a ieri, non viene additato come pericoloso. Aggiornando l’antivirus il file viene finalmente riconosciuto come la variante numero settecento e rotti di uno dei tanti trojan in circolazione.
Facciamo il punto della situazione:
- Il messaggio passa indisturbato la linea di difesa costituita dai filtri antispam aziendali.
- Passa indenne il filtro antivirus e la blacklist degli allegati vietati. Basti pensare che al momento se devo mandare un sito web dimostravo che contenga file Javascript, mi viene cestinato dagli stessi filtri.
- Arrivato indisturbato nella mia casella di posta, l’ho potuto aprire ed ho navigato verso il sito indicato nel messaggio senza essere bloccato dal filtro per la navigazione web, che mi impedisce di visitare siti notoriamente pieni di trappole o poco giustificabili con la normale attività lavorativa (chi ha detto Porntube?), indirizzandomi su una pagina di avvertimento.
- Ultimo, non meno importante, l’antivirus aggiornato a ieri non rileva nulla. No, non pensate di essere al sicuro col vostro mega antitutto pluripremiato: secondo il sito Virustotal ben due terzi degli antivirus non si accorgono che il file contiene codice malevolo, ed i più famigerati e premiati falliscono tanto quanto quelli “di serie B”.
Cosa ci insegna tutto ciò?
Molto, se sappiamo capire cosa sia realmente successo. Nel mio particolare caso, probabilmente, il malware non avrebbe potuto fare grandi danni, scontrandosi con i privilegi limitati dell’account in uso, non amministrativo, sempre ammettendo di aver scaricato ed aperto l’eseguibile. In azienda, fra l’altro, è in vigore una politica di gestione dei diritti utente che tende a limitare al massimo la concessione di account amministrativi. Ma quante aziende e, soprattutto, quanti privati ne sono a conoscenza?
Nell’infrastruttura di sicurezza della mia azienda non manca nulla: filtri antispam e antivirus sulla posta, filtri per la navigazione web, antivirus, firewall. Eppure nessuno di questi si è dimostrato efficace. Chi ha confezionato il messaggio ed il relativo sito web sa come eludere questi Cerberi digitali, e lo sa fare molto bene.
Due sole cose si sono frapposte fra il malware ed il completo successo: i diritti limitati del mio account normalmente utilizzato nel lavoro quotidiano, e l’aver riconosciuto il messaggio per quello che era, ossia una trappola.
L’utente medio lavora tranquillamente come amministratore del computer, ha una scarsa sensibilità a questo tipo di trappole ed ha una fiducia illimitata in questi automagici dispositivi di sicurezza.
Come pensate reagirà all’ennesima infezione, sempre che se ne accorga?
#1 da Sde il 25 February 2008
Cita
Tra le prime considerazioni che ci sono da fare è sempre quella valida, che quasi nessuno segue, di non accettare caramelle dagli sconosciuti: quindi mai premere sui link ad ogni costo!
Prendiamo anche in esame il nome del dominio “nudoblog”, già questo ci dovrebbe far ulteriormente riflettere. Un serio professionista metterebbe mai il proprio nome su un sito che abbia un nome equivoco?
Se ancora non siamo convinti, proviamo a fare una ricerca sul “nome”
del sedicente professionista su un qualche motore di ricerca, P.IVA etc.: nulla di nulla.
Potremmo fare una ricerca sul dominio e sul proprietario (vedi sotto), e se ancora tutto questo non bastasse, allora clicchiamo sui link perchè… vogliamo cascarci per forza!!!
Ma a parte questo, forse il creatore del sito in questione, ti potrebbe
aver scelto per metterti alla prova, o mettere alla prova la sicurezza informatica della tua postazione, leggendo sul tuo blog la reazione alla
sua esca… quale indirizzo e-mail ha usato per scriverti? Quello aziendale o quelli privati o che pubblichi sul blog?
Comunque facendo una ricerca sul dominio, come si può vedere è un dominio registrato solo il 12 febbraio scorso, e messo in “blacklist” il 18 febbraio, come si potrà accertare facendo un’ulteriore ricerca.
Ecco il dettaglio:
Whois:
Checking server [whois.crsnic.net]
Checking server [whois.enom.com]
Results:
… omissis…
Registration Service Provided By: NameCheap.com
Contact: support@NameCheap.com
Visit: http://www.namecheap.com/
Domain name: nudoblog.com
Registrant Contact:
WhoisGuard
WhoisGuard Protected
…omissis…
8939 S. Sepulveda Blvd. #110 – 732
Westchester, CA 90045
…. omissis…
Creation date: 12 Feb 2008 22:59:17
Expiration date: 12 Feb 2009 22:59:17
#2 da mario il 27 February 2008
Cita
fantastico …certo che siete proprio bravi!!
Che occhio, che esperienza!!!