Cerca nel blog

2006/03/14

Occhio al servizio per adulti di Melagodo.biz

Questo articolo vi arriva grazie alle gentili donazioni di "lello" e "mberi".
L'articolo è stato corretto dopo la pubblicazione iniziale per eliminare alcuni refusi.

Ho ricevuto segnalazioni di un nuovo tentativo di truffa via Internet basato su Internet Explorer e un po' di psicologia classica.

La truffa arriva via e-mail, con un messaggio di questo genere:

Subject: ecco i tuoi dati di accesso

Ciao [nome utente],

Grazie per la registrazione al nostro servizio di incontri per adulti, ci sono già 9 ragazze disponibili per videochattare con te per esprimerti tutto il loro calore.

Ricordati che puoi videochattare con o senza webcam per un tempo massimo di 2 ore al giorno fino al 31/05/2006. Il tuo account è già stato attivato, quindi non rimane che collegarsi al sito, inserire le password che trovi in questa mail, e cominciare a divertirti.

Ti abbiamo anche attivato il Bonus (1st. time customer) con più di un gigabyte di foto da scaricare e migliaiadi filmati ripresi durante le serate di scambio fra i nostri utenti.

Accesso

www.melagodo.biz/accesso/login.html

Username: [variabile]
Password: [variabile]

Buon divertimento

Melagodo Staff

NOTE: Il contenuto di questa email è strettamente personale e comunque dedicato ad un pubblico adulto, il ricervente di tale email è tenuto a non divulgare i dati in esas contenuti

In altre parole, il messaggio è confezionato in modo da sembrare un errore di invio e far credere a chi lo riceve di aver ricevuto per sbaglio i codici di accesso a un sito porno.

In realtà, visitando il sito indicato (non fatelo con Internet Explorer), si arriva a una pagina che accetta qualsiasi combinazione di nome utente e password (accetta anche semplicemente Invio) pur di portare a una pagina dove c'è il solito, classico "certificato di autenticazione" da scaricare: un trucco fatto su misura per Internet Explorer, che scarica e installa sul computer dell'utente un programma che si chiama videochat.exe ed è presumibilmente un dialer.

Il trucco non funziona con gli altri browser, come Firefox o Opera, che non sono basati su Internet Explorer e quindi non ne ereditano le falle.

Il nome di dominio Melagodo.biz è registrato tramite Whoisguard, per cui non è possibile risalire ai titolari del sito usando i normali strumenti d'indagine di whois. Tuttavia l'indirizzo IP corrispondente, 222.208.183.17, è situato in Cina, ed è possibile risalire tramite whois ai responsabili di quella fetta della Rete.

Se vi va, potete quindi inviare un e-mail di segnalazione a security@mail.sc.cninfo.net, dicendo per esempio "The domain Melagodo.biz is spamming and disseminating dialers from the page http://www.melagodo.biz/accesso/loginok.html. Please stop this abuse". Dovrebbero capire.

Più in generale, difendersi da trappole come questa è semplice: sospettate sempre dei regali arrivati per caso, e di ogni invito che faccia leva sulle emozioni (alte o basse che siano), e non usate software insicuro. La barra antiphishing di Netcraft, per esempio, segnala subito la trappola non appena si tenta di visitare il sito indicato nel messaggio.

27 commenti:

Anonimo ha detto...

Ho visitato la pagina di login con Internet Explorer. Con gli ActiveX disattivati, la barra continua a caricare senza che nulla accada (il famigerato certificato non appare). Al solito, la prevenzione è la moglior cura. Ciao :)

Dan ha detto...

Nulla da dire, come al solito il cervello attivato sotto Buon Senso > Opzioni è la miglior difesa.

Solo un appunto da fare a Paolo: alla fine dell'articolo hai scritto "Più in generale, trappole come questa è semplice". Forse doveva essere "PER trappole".

Saluti

Fab ha detto...

Ciao Paolo, anch'io ho ricevuto quella mail ieri ma non mi ero collegato al sito. Hai ragione, Videochat.exe è un dialer (non nuovo, peraltro, l'AV con cui l'ho analizzato lo riconosce come Dialer.jw), abbastanza semplice e nemmeno compresso; però è anche un trojan perché va a giochettare coi settaggi di sicurezza di Internet e cerca di mettere una serie di domini nella "trusted zone" del browser. Tra l'altro lo fa manipolando il registro in modo che i nuovi settaggi si applichino a tutti gli utenti della macchina.
Sì, insomma, a parte che ha una firma digitale e un disclaimer, questo videochat.exe non è proprio etico.

Anonimo ha detto...

Neanche explorer 7 segnala che il sito è pericoloso nonostante l'introduzione della funzione antipishing, vedo che funziona proprio bene, mahhhh

Anonimo ha detto...

Non ho capito qual è la falla di Internet Explorer su cui si basa questo messaggio e-mail

Fab ha detto...

@anonymous: non è una falla, è una feature ;-)
Quel file eseguibile è implementato come un oggetto ActiveX sulla pagina a cui ti colleghi; quando la apri con Internet Explorer, il browser ti chiede se vuoi scaricare e installare l'oggetto e ti fa vedere la firma digitale in modo che sembri più "regolare". Altri browser che ignorano gli ActiveX non ti offrono di scaricare il file.

Anonimo ha detto...

Ma scusa, Paolo non ha detto che è una falla?

Io leggo "Il trucco non funziona con gli altri browser, come Firefox o Opera, che non sono basati su Internet Explorer e quindi non ne ereditano le falle."

O_o

miki64 ha detto...

O_o, "falla" è robabilmente un termine improprio.
Paolo sicuramente intendeva il (per fortuna) mancato supporto ad Active-X e VBScript.

tcp-ip ha detto...

Interessante notare che chi abbocca al messaggio, oltre ad essere ingenuo, commette anche un reato, perché il fatto di aver ricevuto il messaggio per sbaglio (almeno così crede) non lo autorizzerebbe a fingersi il vero destinatario.

Fab ha detto...

O_o, la mia premessa era un po' ironica (riprendevo il vecchio adagio: "it's not a bug, it's a feature!") comunque è vero che non mi sono spiegato molto bene. Gli oggetti ActiveX sono una feature di IE, ma molti li considerano una breccia nella sicurezza perché girano in locale sul client, fuori dal contesto del browser, senza la protezione di una sandbox e coi privilegi dell'utente; quindi andrebbero consentiti solo dai siti di cui ci si fida al 110%.
Credo che sia per quello che Paolo l'ha definita una "falla" piuttosto che un bug.

Anonimo ha detto...

Ah, capisco.

Pensavo che per falla si intendesse comunemente un problema del software e non dell'utente.

Ora tutto torna.

Ma io che sotto Windows XP Home uso sempre l'account user, sono in pericolo?

O_o

Fab ha detto...

@O_o: da come la vedo io, per valutare quanto sei esposto a questo pericolo, devi chiederti cosa ti è permesso fare con quell'utente. Puoi collegarti a un sito web con Internet Explorer, attivare un ActiveX, iniziare una connessione remota con il modem? Molto probabilmente sì. Il tuo utente può cambiare i settaggi generali di Internet Explorer scrivendo nel Registro? Se queste condizioni sono verificate, un attacco come quello descritto nel post originale può riuscire.
Se, come ha detto Paolo, usi un altro browser come Firefox, da questo specifico attacco sei al sicuro. Non da tutti i possibili attacchi via web (altrimenti Firefox sarebbe il Santo Graal), ma da uno basato su ActiveX, sì. Se su IE disabiliti gli ActiveX, idem, sei al sicuro da questo attacco.
E quoto in pieno quello che ha scritto Dan, il buon senso è sempre una grande difesa. Speriamo che lo implementino anche nei browser ;-)

Anonimo ha detto...

mi è arrivata una mail da INFORMAZIONI PERSONALI (Sender: info__personali@virgilio.it)che dice:
SONO UN IMBRANATOTI HO MANDATO UN COLLEGAMENTO NON VALIDO !

NELLA MAIL PRECEDENTE !!

Tornando a noi sei proprio un ZONZO non pensavo tu arrivassi a tanto !

Penso proprio che rigiuardi TE la lettera sottostante .... ZONZO !



PRORIO TU CHE TI SPACCI PER UN AMICO E POI FAI QUESTE COSE !


la mail allega il file zonzo.doc

ed apre il collegamento www.melagodo.biz/zonzo/index.html
il norton l'ha bloccato come spam!

ciao!

Anonimo ha detto...

qualcuno sa dirmi se amica [amica@yahoo.com] e una mail truffa ?

Grazie

Anonimo ha detto...

Vorrei tranquillizzare l'amico che ha chiesto notizie di amica@yahoo.com, non ci capisco nulla di informatica ma anche io ho ricevuto una mail da quell'indirizzo, con un file immagine allegato, nella quale si vociferava di alcune situazione compromettenti nella quale sarei stato colto in fragrante.
Ora non essendo mai stato implicato in storie compromettenti e sapendo che altri hanno ricevuto e-mail simili, direi che è solo una bufala. Di cosa si tratta veramente non so.

markus ha detto...

Arrivata oggi:

Subject: Il cornuto mi ha scaricata
Mio marito mi ha lasciato e io voglio farliela pagare !
Se vuoi aiutarmi a vendicarmi di quel cornuto di mio marito
scrivimi e incontriamoci.
Viaggio e ospito....non voglio soldi ne' regali....
e' solo per piacere e per vendetta ! ! !
Baci, Luisa

con link che porta a:
http://www.melagodo.biz/luisa/

Anonimo ha detto...

C'è ANCHE QUESTA TECNICAla scrivente società ha senganlato la presenza di continui tentativi di intrusione nei nostri Database dall'inizrizzo di posta *************, siete pregati di controllare lo stato di attivazione della vostra mail all'interno dei nostri archivi all'indirizzo sottostante, la mancata comunicazione all'internio del nostro sito ci vedrà costretti ad intreprendere vie legali

DETTAGLIO EMAIL:
*********************

DIGITANDO LA PROPRIA E-MAIL SI VENE INDIRIZZATI A MELAGODO.BIZ/PROSAT.DB....NN CREDO DI RISCHIARA LA GALERA SE NN LO FACCIO....CHE NE DITE???


Sistinti Saluti
PRO.SAT. STUDIO

Anonimo ha detto...

A me oggi, 22 Maggio 2006 è arrivato questo messaggio da una certa "Simona Favini" s.favini@aruba.it, ovviamente la mia mail è nascosta, sul link dettaglio email con mia email@blabla c'è appunto melagodo.biz/prosat_db:

"la scrivente società ha senganlato la presenza di continui tentativi di intrusione nei nostri Database dall'inizrizzo di posta mia-email@yahoo.it, siete pregati di controllare lo stato di attivazione della vostra mail all'interno dei nostri archivi all'indirizzo sottostante, la mancata comunicazione all'internio del nostro sito ci vedrà costretti ad intreprendere vie legali

DETTAGLIO EMAIL: mia-email@yahoo.it

Sistinti Saluti
PRO.SAT. STUDIO
chissà come prendono le mail e che strunzi!

Anonimo ha detto...

Pure a me oggi è arrivata mail dalla Simona Favini con quella storia delle intrusioni da parte mia nel database della loro società etc etc.. e vie legali etc etc..

e che ci ho scritto jocondor?? no che nn clicco per controllare. e se lo vada a p... proprio lì..
Le studiano nere.

Certo.. bastava trovassero nomi meno significativi (Favini, Melagodo).

un saluto

Anonimo ha detto...

Anche a me è arrivata la mail dalla Favini-Melagodo con la storia dell'intrusione.

Giovanni ha detto...

anche a me è arrivata sta mail...che devo fare...mica mi istallo gli Active x che richiede?

Anonimo ha detto...

Un'altra a cui è arrivata la mail di questa "simona favini"...

Anonimo ha detto...

Arrivata anche a me... Se fosse davvero una società, che magra figura che ci farebbero a non conoscere nemmeno l'italiano!!! A chi devo rivolgermi per segnalare spam e abuse?

Anonimo ha detto...

Ragazzi è arrivata anke a me e pultroppo ho scaricato l'activex,cosa devo fare?anke un mio amico ha ricevuto la stessa email ma non ha scaricato niente per non correre rischi ma abbiamo sacrificato il mio...aiutatemi....

Anonimo ha detto...

Ragazzi anche a me è arrivata la email dalla SIMONA FAVINI CON le minchiate dell'intrusione nella PRO.SAT STUDIO

Anonimo ha detto...

sucsate l'ignorantità... ma
security@mail.sc.cninfo.net chi è? lo sceriffo mondiale dello spamming?

Anonimo ha detto...

a me è arrivata una mail con l'indirizzo melagodo.biz/lei...
nella mail un certo sergio diceva che la sua ex l'ha lasciato e su questo sito si possono trovare tutti i filmati di loro due...ovviamente non sono entrato nel sito, ma vorrei sapere se anche qualcuno sa qualcosa...grazie della collaborazione, la mia mail, per qualche eventuale risposta, è tom.88@virgilio.it