Ecco come si presenta la mail:
Mittente: Prisco Mazzi / Polizia < prima@poliziadistato.it Indirizzo e-mail protetto dal bots spam , deve abilitare Javascript per vederlo >
Oggetto: Oggetto: Polizia - Avviso 98361420
Sono capitano della polizia Prisco Mazzi. I rusultati dell'ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d'autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilita amministrativa.
Il suo numero nel nostro registro e 00098361420.
Non si puo essere errore, abbiamo confrontato l'ora dell'entrata al sito nel registro del server e l'ora del Suo collegamento al Suo provider. Come e l'unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d'autore.
Per questo per favore conservate l'archivio (avviso_98361420.zip parola d'accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l'accordo che si trova dentro.
La vostra parola d'accesso personale per l'archivio: 1605
E obbligatorio.
Grazie per la collaborazione.
All'interno dell'allegato, protetto da password per eludere inizialmente gli antivirus, è contenuto l'eseguibile UFFICIALMENTE_ACCORDO.exe
Il virus
Il file UFFICIALMENTE_ACCORDO.exe ha la funzione di Trojan Downloader: provvede, dunque, a scaricare il dialer msupdate.exe da un server russo ed avviarlo sul PC vittima. Una volta avviato, il dialer entra in azione chiamando numeri 899 e satellitari, con spiacevoli conseguenze per la propria bolletta.
Per garantire l'esecuzione del dialer all'avvio del PC, msupdate.exe provvede inoltre a creare il file C:\WINDOWS\system32\msmmi.exe, la seguente voce di registro
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"msmmi" = C:\WINDOWS\system32\msmmi.exe
oltre alla chiave:
HKEY_LOCAL_MACHINE\Software\msmmi.
--------------------------------------------------------------------------------------
Phishing
Poste Italiane - credito bloccato?
Scritto da Franco Lorenzi domenica 05 giugno 2020
Continuano incessantemente gli attacchi phishing ai danni di Poste Italiane. Come sempre, il mezzo è un messaggio di posta. Questa volta,però ci sono novità: sono stati accreditati 129 euro dall'Ufficio Postale di Brandizzo ma i dati personali non coincidono. Per ricevere l'accredito, è necessario verificare i propri dati inserendoli nuovamente. E qui c'è la truffa!
Ecco come si presenta la mail:
Ecco come si presenta il messaggio
Il contenuto particolarmente ingannevole è il riferimento all'Ufficio Postale del comune di Brandizzo(TO) con tanto di orario e importo da accreditare. Ma queste sono solo apparenze, presto si comprenderà che è una truffa. Iniziamo ad analizzare il messaggio...il link in blu sottolineato porta al seguente indirizzo:
http://kloetstra.com/setup/online/cartepr/
Questa volta non sembra essere un dominio registrato appositamente per la truffa bensì il risultato di un'intrusione nel server di kloetstra.com, azienda americana di soluzioni web.
All'interno della pagina web aperta, sarà chiesto di comunicare i propri dati username/password per l'accesso al servizio. Subito dopo, l'utente dovrà inserire il numero della carta PostePay con tanto di scadenza e codice CVV2/CVC2. Poste Italiane NON CHIEDE mai dati username/password attraverso la posta elettronica. Per concludere, la vittima sarà invitata a fornire l'intero codice dispositivo a 10 cifre del proprio conto BancoPosta. Quest'ultima richiesta, più delle altre, risulta davvero sospetta. Poste Italiane NON richiede mai il codice dispositivo in fase di login contestualmente all'inserimento di username/password ma solo per autorizzare un'operazione dispositiva. Tra l'altro, NON è mai necessaria l'immissione di tutte e 10 le cifre del cod. dispositivo bensì solo 4 scelte casualmente dal software.
Al termine dell'immissione dei dati, l'utente sarà rediretto verso il reale sito di Poste Italiane, consentendo di accedere regolarmente al conto senza destare alcun sospetto.
Si ricorda che l'UNICO indirizzo per l'accesso al conto BancoPostaOnline è:
https://bancopostaonline.poste.it/.
Per chi è già stato vittima di un attacco phishing, il consiglio è cambiare immediatamente i codici di accesso e contattare Poste Italiane attraverso l'803.160 (Opzione Servizi Internet).