Email strane da contatti

Ti stanno arrivano molte email strane da contatti abituali? Fai molta attenzione perché potrebbe trattarsi di email che contengono un virus. Leggi l’analisi!

Il tutto è iniziato perché mi è arrivata un’email da un cliente come fosse una risposta a una mia email precedente.

Però mi ha insospettito una cosa.

L’oggetto R: Errore nel bonifico era effettivamente quello che avevo scritto io ma il testo dell’email non aveva nulla a che fare con un bonifico.

In pratica io avevo scritto al cliente – tra l’altro a fine 2018 quindi non recentemente – chiedendo come andava un apparecchio che gli avevo venduto e che c’era stato un errore nell’importo del bonifico.

La risposta che – apparentemente – mi è arrivata dal cliente è questa

Ciao Andrea,
bene grazie.

Il contatto di riferimento per il tuo problema è la Dott. Eliana Gigantelli che ci legge in copia.

Saluti.

Risposta che ci può anche stare se non che in copia non c’era nessuna Eliana Gigantelli e invece l’email conteneva un link.

Il mittente inoltre non era su dominio del cliente ma uno stranissimo [email protected] su dominio del Brasile.

Questo fatto, oltre al link, all’assenza della persona in copia e al fatto che la risposta mi arrivava con due anni di ritardo, mi hanno fatto capire che c’era qualcosa che non andava.

Il link conteneva il dominio del cliente contraffatto ma si trattava di un link di phishing perché portava su un sito con un url completamente differente da quello mostrato.

Ho infatti provato a cliccarci sopra e mi si è scaricato un documento di Word con un virus che Edge si è rifiutato di scaricare.

Malware in formato .zip e password archivio

Mi è arrivata un’altra email, segno che la cosa si va diffondendo non poco, come se fosse un’aggiunta a un’email di almeno 6 mesi che mi è stata inviata.

La cosa veramente assurda è che l’email speditemi tempo addietro, e del tutto legittima, diceva

Ciao Andrea,
abbiamo intenzione di gestire direttamente domino, caselle di posta, sito. Riceverai quindi la disdetta dei canoni.
Mi occorre pero’ l’indirizzo ftp del sito, cosa che non c’è stata mai comunicata
Grazie

e questa email che mi è arrivata oggi aveva questo contenuto.

Sito

Password archivio: 7698

quindi faceva riferimento sicuramente all’email precedente e se non fossi stato attento magari ci sarei cascato.

Nell’email precedente si parlava di sito così come in quest’ultima che aveva un allegato zip con password.

Dentro nell’allegato c’era un documento di Word con un Macro virus.

Altro esempio di email è questo

Gentile Sig.re/Sig.ra,
Non é ancora arrivata. Potreste gentilmente spiegarmi perché questo accade?
Password archivio: 5057
Cordiali saluti,
Maurizio Vecchio
Inviato da iPhone

ma il testo cambia in continuazione e l’unica cosa in comune è che c’è un allegato e c’è la frase Password Archivio.

E attenzione perché pare che il mittente sia qualcuno con cui corrispondi abitualmente ma in realtà il mittente è completamente diverso e il tuo corrispondente non ha nulla a che fare con questa email.

Entrambe sono email di malware abbastanza classiche ma il sistema che usano per incentivarti ad aprire gli allegati è subdolo perché tu potresti credere che sia una risposta a una tua email – o qualcosa che fa riferimenti a una tua email – e cliccare sul link o aprire l’allegato senza pensarci un attimo.

Ed è proprio su queste disattenzioni che chi ci sta dietro punta. Presi dalla frenesia del lavoro non si fa attenzione come si dovrebbe e in un attimo ci si trova impestati di virus o, peggio, di ransomware.

Come dico sempre basterebbe perdere pochi secondi e analizzare un minimo quello che si riceve per capire che si tratta di qualcosa di losco.

Mi raccomando, attenzione sempre!

Se vuoi vedere come funziona un link contraffatto ti consiglio di leggere l’articolo che ho scritto tempo addietro.