Il periodo non è certo dei migliori.
La mail con oggetto “Richiedi la carta benzine con lo socnto di 400 euro” presenta diversi elementi interessanti.
In primo luogo, è evidente la componente di social engineering: logo del Ministero dello Sviluppo Economico, Partita IVA dello Sviluppo Economico nel footer della mail (come sapete è un’informazione obbligatoria e si trova facilmente sul vero sito del Ministero), riferimento ad un nuovo DECRETO LEGGE.
Inoltre, si fa meschinamente leva sulla possibilità di acquistare una carta carburante a prezzi incredibilmente vantaggiosi:
“Agip gruppo Eni ti consente di acquistare la carta carburante di 500 Euro al prezzo di 100 Euro (80% rimborsato dal Ministero dello Sviluppo Economico).”
In secondo luogo, aldilà della credibilità o meno dell’iniziativa, spunta la componente di phishing: il link suggerito per approfondire le informazioni sembrerebbe quello del Ministero dello Sviluppo Economico ma punta all’indirizzo sviluppoeconomico.myvnc.com.
Il dominio myvnc.com è un dominio gestito da servizi di dns dinamico (no-ip.com).
Per gli addetti ai lavori, raggiungendo tramite sandbox (anubis) quell’indirizzo, ecco qualche dettaglio in più (tralascio le svariate chiavi del registry lette E modificate).
DNS Queries:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
Name: [ ministerodellosviluppoeconomico.myvnc.com ], Query Type: [ DNS_TYPE_A ],
Query Result: [ 8.23.224.90 ], Successful: [ YES ], Protocol: [ udp ]
Name: [ www.grutuitapostecom.com ], Query Type: [ DNS_TYPE_A ],
Query Result: [ 66.147.241.45 ], Successful: [ YES ], Protocol: [ udp ]
HTTP Conversations:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
From ANUBIS:1029 to 8.23.224.90:80 - [ ministerodellosviluppoeconomico.myvnc.com ]
Request: [ GET / ], Response: [ 200 "Found" ]
From ANUBIS:1030 to 66.147.241.45:80 - [ www.grutuitapostecom.com ]
Request: [ GET /Agip/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL22.php ], Response: [ 200 "OK" ]
Request: [ GET /Agip/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL2_files/offerta.css ], Response: [ 404 "Not Found" ]
In ultima analisi e considerazione, a giudicare da qualche errore riscontrato, il meccanismo non sembra (ancora) del tutto a punto ma, attenzione, quella risorsa .php esiste e viene correttamente raggiunta dal client.
Da come è scritta e dalle risorse chiamate in causa sembrerebbe di matrice italiana.
In ogni caso, non dimenticate le regole d’oro:
1) non cliccate sui link che vi giungono via mail ma verificate prima qual è la reale destinazione degli stessi.
2) aggiornate sempre i vostri sistemi (sia il sistema operativo che le componenti off-the-shelf come java e prodotti adobe integrati con il browser – plugin flash, acrobat, etc).
3) se avete raggiunto quel link effettuate una scansione totale del vostro dispositivo con un tool antivirus/antimalware aggiornato.
****************** UPDATE 1/6/13 ***************************
Ne stanno girando altre versioni con il testo leggermente più curato e credibile.
Stessa struttura, stesso ddns proviver (No-IP.com) questa volta con servebeer.com (ministeroeconomico.servebeer.com).
Questa volta non si appoggia a grutuitapostecom.com ma a un sito gratuito su altervista (mnsit.altervista.org).
One thought on “[Phishing] Attenzione alla nuova mail (apparentemente) a firma ENI & Ministero dello sviluppo economico #phishing #security”