Il Disinformatico

Un blog di Paolo Attivissimo, giornalista informatico e cacciatore di bufale.
Questo blog è tutelato dal diritto d'autore, ma se ne citate la fonte potete ripubblicarlo liberamente. Le donazioni di focaccia sono comunque gradite.

	in tutto il Web in questo blog e nei suoi archivi

Homer Simpson come trappola virale      15.7.08      Permalink     4 commenti

Siete fan dei Simpson? Occhio ai messaggi che arrivano da Homer

La fantasia e la creatività degli aggressori informatici non conosce limiti. Arriva da Spywareguide.com la segnalazione che sta circolando un virus, denominato Kimya, che si spaccia per una puntata inedita dei Simpsons e arriva dall'indirizzo di e-mail usato da Homer Simpson in una puntata di qualche tempo fa: chunkylover53@aol.com.

L'indirizzo esisteva realmente ed era stato attivato dall'autore e produttore dei Simpsons Matt Selman; chi lo contattava riceveva una risposta personale da Selman, con grande gioia dei fan; ma l'esperimento, realizzato nel 2003, è stato sommerso da migliaia di mail, per cui Selman ha dovuto rinunciare a rispondere a tutti (info tratta da una guida molto interessante, al limite dell'ossessivo, ai riferimenti a Internet nei Simpson, disponibile qui). Nel frattempo, però, molti utenti del sistema di messaggistica AIM (AOL Instant Messenger) di Aol.com, molto popolare negli Stati Uniti, avevano incluso l'indirizzo fra i propri contatti.

L'indirizzo chunkylover53@aol.com è rimasto dormiente per un bel po', fino a quando è ricomparso pochi giorni fa fra gli utenti attivi nella messaggistica di AOL. Compariva un messaggio che comunicava l'assenza dell'utente ma includeva anche un invito a scaricare da un apposito link una "nuova puntata esclusiva dei Simpson, disponibile solo su Internet, che viene rilaciata soltanto ai fan su Internet".

Il link porta a un file di circa 150 kilobyte, di nome kimya.exe, che non è affatto una puntata inedita ma un virus che dopo una serie di messaggi d'errore svuota lo schermo, rendendo necessario un riavvio (il virus agisce soltanto su Windows). Il computer infettato entra a far parte di una botnet turca e resta in attesa di ordini dal suo nuovo proprietario virale.

La morale è sempre la stessa: non cliccate mai sui link che vi arrivano da sconosciuti via mail o nei messaggi istantanei, specialmente se promettono qualcosa di allettante, munitevi di un antivirus e tenetelo aggiornato. Ma non delegate tutto all'antivirus: la prima linea di difesa del vostro computer siete voi.

Etichette: social engineering, virus

Permalink    Pubblicazione iniziale: 15.7.08    4 commenti     Backlink a questo articolo

Attenti alla truffa del risarcimento per privacy violata      11.6.08      Permalink     53 commenti

Nuova carognata degli untori informatici

Questo articolo vi arriva grazie alle gentili donazioni di "pierbelli_rebo" e "info".

Fate molta attenzione alla nuova tattica di ingegneria sociale che fa leva sulla voglia di rivalsa dei cittadini verso le istituzioni: sta circolando un e-mail che si spaccia per un avviso di un fantomatico studio legale romano e annuncia un risarcimento di 1000 euro per l'errata pubblicazione online delle dichiarazioni dei redditi. Ecco il testo:

Da: Studio Legale No Profit [mailto:g.dimatteo@fratellidimatteo.com]
Inviato: martedì 10 giugno 2008 23.56
A: [omissis]
Oggetto: Studio Legale - Rimborsi per i Cittadini Italiani

ROMA li 10/06/2008


Alla cortese attenzione dei Cittadini Italiani,

Dopo la decisione del Garante per la Privacy sulla vicenda dell’elenco dei contribuenti pubblicato sul sito dell’Agenzia delle Entrate, abbiamo il piacere di informarvi che abbiamo vinto la battaglia.

Alla luce del provvedimento del Garante, milioni di Cittadini Italiani i cui dati sensibili sono stati violati, possono finalmente ottenere il risarcimento dei danni subiti.

Per tale motivo abbiamo predisposto il modulo in allegato che tutti i cittadini Italiani devono scaricare, compilare, e inviare per ricevere l’immediato risarcimento di 1.000 Euro

per ciascun familiare per la grave violazione della privacy subita.

Distinti Saluti.

Avv. Claudio Corbetta


Studio Legale No Profit
Viale Matteotti 145
00195 Roma
Tel. 06 7158031
Fax. 06 7175323

Il "modulo allegato" è in realtà un file ZIP contenente un virus, Trojan-Downloader.Win32.Agent.lyg, concepito per Windows. Non apritelo: cancellate direttamente il messaggio e controllate che il vostro antivirus sia aggiornato.

La fonte apparente del messaggio, fratellidimatteo.com, è un'azienda ortofrutticola di Latina che probabilmente non c'entra nulla e si starà chiedendo il perché del boom di accessi al proprio sito. Daniele Minotti mi segnala inoltre che il sedicente avvocato Claudio Corbetta "non risulta inserito nell'albo nazionale (pubblicato su www.cassaforense.it)" e che i numeri telefonici sono inesistenti.

Etichette: sicurezza, social engineering, truffa, virus

Permalink    Pubblicazione iniziale: 11.6.08    53 commenti     Backlink a questo articolo

Lo strano appello per Stephany      3.6.08      Permalink     11 commenti

Se cercate di trovare Stephany, trovate virus

Da un paio di giorni sta circolando un e-mail di appello per una bambina scomparsa di otto anni, Stephany, accompagnato da un numero di telefono e da un indirizzo di e-mail da contattare.

Bonjour

A la datte de 10/11/2007 ma fille Stephany agé de 8 ans a désparu

Je prie toute personne qui la vue de me cantater

Tél: 003365848589
Mail:benoit_franc@orange.fr

merçi de bien vouloir passer le message a vous contacte SVp

SA PHOTO http://doiop.com/stephany.jpeg

La stranezza di un appello sgrammaticato già suggerisce che non tutto sia regolare, ma la sua vera natura (anomala e pericolosa, a differenza dei soliti appelli) emerge quando si clicca, come è istintivo fare, sul link che dovrebbe portare alla foto di Stephany: invece di portare a http://doiop.com/stephany.jpeg, porta in realtà a http://skyper11.dyndns.ws/Stephany.jpg.zip, ossia a un file ZIP, non a una foto.

Al momento in cui scrivo, il link non funziona (il server non risponde), ma alcune versioni di quest'appello hanno allegato il file corrispondente al link. Scompattando il file ZIP (non fatelo se non siete sicuri di quello che fate, specialmente sotto Windows!), si ottengono due file: staphay.jpg e picture.lnk. Secondo il servizio di test di Kaspersky, il file staphay.jpg non è un'immagine, ma un virus, specificamente quello denominato Backdoor.Win32.Poison.cus, che agisce come una backdoor: si collega a un sito dal quale cerca di scaricare uno script che poi prende il controllo del computer infettato, scarica file da Internet e li esegue, fornendo all'aggressore informazioni sul computer della vittima.

Il virus ha effetto soltanto sui computer che usano Windows e viene rilevato da un buon antivirus. La fantasia dei creatori di virus si dimostra ancora una volta non solo priva di limiti, ma anche priva di scrupoli: far leva sui buoni sentimenti e sull'altruismo della gente, nascondendo un virus dentro un appello per una bambina scomparsa, è di una meschinità smisurata.

Etichette: social engineering, virus

Permalink    Pubblicazione iniziale: 3.6.08    11 commenti     Backlink a questo articolo

Prisco Mazzi, il "poliziotto" che minaccia via mail      16.5.07      Permalink     67 commenti

Allerta antivirus: e-mail della "Polizia di Stato" minaccia punizioni ma trasporta virus

Questo articolo vi arriva grazie alle gentili donazioni di "federico" e "riccardo.c****".

E' in corso uno spamming di massa, a giudicare dall'ondata di segnalazioni che m'è piovuta nella casella di posta stamattina: lo scopo è infettare il maggior numero possibile di utenti sfruttando la leva della paura e del senso di colpa per far abbassare le difese. Ecco il testo del messaggio, proveniente di solito da pr_mazzi@poliziadistato.it o indirizzi simili:

Avviso

Sono capitano della polizia Prisco Mazzi. I rusultati dell'ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d'autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilita amministrativa.

Il suo numero nel nostro registro e 00098361420.

Non si puo essere errore, abbiamo confrontato l'ora dell'entrata al sito nel registro del server e l'ora del Suo collegamento al Suo provider. Come e l'unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d'autore.

Per questo per favore conservate l'archivio (avviso_98361420.zip parola d'accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l'accordo che si trova dentro.

La vostra parola d'accesso personale per l'archivio: 1605

E obbligatorio.

Grazie per la collaborazione.

L'utente che la riceve, se si fa prendere dal panico e non sa che l'indirizzo del mittente di un e-mail si può falsificare con estrema facilità, potrebbe trascurare la grammatica traballante del messaggio e cascarci, aprendo l'allegato.

Certo anche la natura poco ortodossa del messaggio (ma da quando in qua la Polizia di Stato dice "ti abbiamo beccato, ma se prometti che non lo farai più, potrai evitare la punizione"?) può destare qualche perplessità, ma come s'è visto in altre occasioni analoghe, la paura e il senso di colpa (sono in molti quelli che hanno scaricato qualche MP3 non troppo legalmente) scavalcano tranquillamente queste considerazioni razionali. E la trappola scatta.

La trappola, in questo caso, è l'allegato, che è in formato ZIP cifrato per eludere gli antivirus ma contiene un file eseguibile anziché un documento come dice il messaggio. L'eseguibile è per Windows, per cui gli utenti di altri sistemi operativi non corrono alcun rischio.

Secondo quanto mi segnalano numerosi lettori (non ho un originale completo del messaggio e non ci tengo ad averlo, grazie), il file eseguibile si chiama UFFICIALMENTE_ACCORDO.exe e viene già riconosciuto dagli antivirus decenti come una variante del malware Win32/TrojanDownloader.Nurech.NAT.

Stando alle segnalazioni degli utenti, l'attacco sembra provenire o essere transitato da un server della Corea del Sud (negli header c'è gs.venuspos.co.kr).

Chi ha ricevuto il messaggio e ha aperto l'allegato sotto Windows è quindi infetto e deve chiedere l'intervento di un antivirus e di un amico o collega esperto (e darsi le randellate sulle dita per esserci cascato); chi non ha aperto l'allegato può semplicemente cestinare il messaggio.

Inviare segnalazioni alla Polizia di Stato è di dubbia utilità: la Polizia sarà già sommersa di segnalazioni identiche e avrà anche il suo bel daffare a filtrare i messaggi di protesta causati dal fatto che sembra essere il mittente apparente del messaggio-trappola.

Etichette: social engineering, spam, virus

Permalink    Pubblicazione iniziale: 16.5.07    67 commenti     Backlink a questo articolo

Attenti agli allarmi per il DHMO (diidrogeno monossido)      20.3.07      Permalink     30 commenti

È pericoloso il diidrogeno monossido? Fate la prova con i vostri amici

Questo articolo vi arriva grazie alle gentili donazioni di "maurizio.sghe****" e "giancarlo.alb****". L'articolo è stato aggiornato dopo la pubblicazione iniziale.

DHMO, diidrogeno monossido: una sigla e un nome che inquietano. Quando poi si scopre, presso siti come DHMO.org, che si tratta di una sostanza usata dagli atleti per migliorare le proprie prestazioni e facilmente rintracciabile nei nostri fiumi, nei laghi e nelle piogge acide, e che ne ingeriamo quotidianamente dosi significative, l'inquietudine diventa allarme.

Provateci: descrivete ai vostri amici i fatti presentati da pagine come Impatto ambientale del monossido di diidrogeno e vedete quanta indignazione riuscite a generare. Stampate i volantini in italiano e organizzate un sondaggio per strada: sapevate dell'esistenza del diidrogeno monossido e della sua presenza persino nei ghiacci dell'Artide e dell'Antartide?

Non stupitevi dei risultati: otterrete reazioni immediate di rabbia e d'impotenza per l'ennesima porcheria chimica che ci viene propinata da gente senza scrupoli. In particolare, otterrete molta disponibilità a sottoscrivere petizioni come questa per l'eliminazione del DHMO (grazie ad axlman per la segnalazione).

Ma soprattutto scoprirete quanto è facile gabbare la gente usando paroloni e facendo leva sulle paure più comuni e sulla diffusa ignoranza scientifica. Sì, perché se per caso non l'aveste notato, il diidrogeno monossido (due atomi di idrogeno, uno di ossigeno) è l'acqua.

Un elenco delle burle e delle relative vittime, alcune delle quali particolarmente illustri, è pubblicato dalla Wikipedia.

Etichette: burla, satira online, social engineering

Permalink    Pubblicazione iniziale: 20.3.07    30 commenti     Backlink a questo articolo

E-mail:

Info stampa, telefono

Clicca qui per contattarmi

Situazione (via Twitter)

 

Prossimi appuntamenti

Ogni martedì (tranne in agosto). RTSI (Radio Svizzera di lingua italiana), Rete Tre, ore 11: Il Disinformatico, programma settimanale di musica, caccia alle bufale e notiziole d'informatica. Il programma è ricevibile in diretta in streaming (Real Audio) qui e scaricabile in differita come podcast. Le puntate meno recenti sono archiviate qui.

6 settembre 2008. Torino, parco del Mausoleo della Bela Rosin, ore 21. Conferenza pubblica sulle leggende metropolitane.

11 settembre 2008. Lugano, Auditorio dell'Università della Svizzera Italiana, via G. Buffi 13, ore 18. Conferenza pubblica sulle teorie cospirazioniste riguardanti l'11/9. Ingresso libero. Relatori: Paolo Attivissimo insieme ad esperti dei settori tecnici relativi agli attentati. Per informazioni: micinque@gmail.com. Dettagli e istruzioni per raggiungere l'Auditorio sono qui.

26 settembre 2008. Bolzano, ore 20.30. Conferenza pubblica Di chi sono i miei dati? sul tema dei formati proprietari e dell'obsolescenza dei supporti.

4-5 ottobre 2008. Padova. Partecipazione al convegno CICAP per relazione sulle ipotesi alternative riguardanti gli attentati dell'11 settembre 2001.

5 novembre 2008. Mestre, Biblioteca Civica, via Miranese 56, ore 18. Incontro pubblico: "Prima lezione di Internet". Informazioni: eventi.bibliotecacivica chiocciola comune.venezia.it.

21 novembre 2008. Sassuolo (Modena), sala conferenze Centro per le Famiglie, via Caduti sul Lavoro 22, ore 21. Incontro pubblico: "L'orco dietro il monitor". Informazioni: lbisi chiocciola comune.sassuolo.mo.it.

22-23 novembre 2008. Riccione. Partecipazione alla Stic Reunion.

Mi spiace, ma non posso accettare inviti per tutto il 2009. Devo ricaricare le batterie e rimettermi a studiare per bene le cose che in questi anni ho acquisito troppo di corsa.

Feed

Ricevi un avviso automatico se ci sono nuovi articoli:
istruzioni per Thunderbird e Firefox.

Archivio cronologico podcast, documenti, interviste

Puoi scaricare le registrazioni in MP3 dei miei programmi alla Radio Svizzera di lingua italiana: Il Disinformatico, Avviso ai naviganti e Impulso Web o accedere all'archivio generale: 2008, anni precedenti.

Questo blog è pizzaware!

Quello che leggi qui vale una fetta di pizza? Allora mandamene una per posta (sì, è legale) oppure clicca qui sotto per usare Paypal o una carta di credito in modo sicuro:

Ti citerò nei ringraziamenti degli articoli e aiuterai anche tu a mantenere libero, vivo e indipendente questo blog (e a rovinare la mia linea).

Newsletter

Per ricevere gli articoli di questo blog via e-mail grazie a Peacelink, clicca qui e segui le semplici istruzioni.

Articoli più recenti

• Alta definizione? Si cancella con un martello
• Cartolina da Marte (aggiornato)
• Un altro giorno, un'altra megafalla di Internet
• Siete a Padova? Avete una fotocamera?
• Traduzioni a rischio
• Il preservativo di zio Bill
• Pescati in Rete
• La Regola 34 di Internet
• Ray tracing. In tempo reale. A 1920x1080
• Guerre Stellari turco

Libri

11/9 La cospirazione impossibile (2007)

11 settembre, i miti da smontare (2007)

L'Acchiappavirus (2004)

Da Windows a Linux (2000)

Da Windows a Mac
(in lentissima lavorazione)

Connessioni

attivissimo.net

Servizio Antibufala

Indagini sull'11 settembre

Snopes.com
(antibufala USA)

Hoaxbuster.com
(antibufala francese)

LeggendeMetropolitane.net
(antibufala italiano)

CICAP
(indagini italiane sul paranormale)

CeRaVoLC
(Centro per la Raccolta delle Voci e delle Leggende Contemporanee)

Zeus News

Apogeonline

Whois
(scopri a chi è intestato un sito)

SamSpade
(decifra gli URL cifrati)

Scansione antivirus Kaspersky
(manda qui i file sospetti)

Barra anti-phishing di Netcraft
(per Internet Explorer e Firefox)

Polizia delle Comunicazioni
(segnala i crimini informatici)

Statistiche pubbliche
(da gennaio 2006)

Archivi