Cerca nel blog

2007/08/14

Strani allegati PDF

Ondata di allegati PDF, spam o virus?


Da qualche giorno stanno circolando dei messaggi di e-mail contenenti allegati abbastanza insoliti in formato PDF. Arrivano dagli indirizzi più disparati, non contengono testo nel corpo del messaggio, e il nome dell'allegato a volte contiene il nome utente del destinatario. Il titolo del messaggio ha in genere a che fare con la finanza.

Aprendo i PDF, vi si trova dentro un consiglio d'investimento in azioni, seguito da una serie priva di senso di lettere e numeri che può insospettire.

A quanto risulta fin qui, però, non c'è pericolo virale: si tratta di un nuovo approccio allo spam. I filtri antispam stanno imparando a riconoscere o eliminare direttamente lo spam di testo e quello grafico (nel quale il messaggio è visualizzato come immagine), e così gli spammer stanno tentando un'altra tattica. Siccome gli utenti, e specialmente le aziende, hanno un notevole traffico di allegati in formato PDF (Acrobat), di norma i file PDF non sono inclusi nei file bloccati dai filtri antispam e vengono quindi recapitati senza problemi al destinatario.

Gli spammer stanno approfittando di questa situazione e stanno quindi generando messaggi che contengono un allegato PDF nel quale c'è il testo dello spam. Questo permette appunto di eludere i filtri.

In termini antivirali, i messaggi sembrano innocui: inviandoli al controllo online di Kaspersky non hanno rivelato codice ostile. Tuttavia rappresentano comunque una perdita di tempo (superiore a quella normalmente comportata dallo spam testuale, perché qui bisogna prendersi la briga di aprire l'allegato) e un carico per la Rete e per chi paga Internet a consumo.

Il consiglio è semplicemente evitare di aprire, e se possibile filtrare a monte, qualsiasi allegato che non provenga da mittenti noti e il cui messaggio non contenga chiari riferimenti al destinatario che lo distinguano da un invio di massa. L'importante è non farsi prendere dal panico e naturalmente non seguire i consigli d'investimento così disinteressati che arrivano dagli spammer, che fanno parte di una truffa pump-and-dump.

In questo tipo di raggiro, lo spammer acquista un titolo di pochissimo valore appena prima di inviare la propria campagna di spam. Questo fa lievitare artificialmente il valore del titolo, così gli investitori ingenui che abboccano allo spam vedono che in effetti il titolo è salito e vi investono, facendo lievitare ulteriormente il valore; poi il titolo viene venduto dai truffatori (a un valore molto superiore a quello al quale l'avevano acquistato) e viene lasciato a precipitare al suo valore reale. I truffatori si arricchiscono, gli investitori ingenui restano spennati. Prudenza.

5 commenti:

Figura Quattro ha detto...

bastardi si, però accidenti che ingegno!

Francesco Sblendorio ha detto...

Il filtro bayesiano di Thunderbird non fa OCR per esaminare le immagini. Nonostante questo funziona bene anche sugli spam-immagini, perché viene analizzata ogni singola parola anche della testata (header SMTP) dei messaggi.

Allo stesso modo, perché non dovrebbe funzionare con quest'altra "novità" dei PDF?

Picopage ha detto...

il filtro funziona anche con questi spam, il metodo confida nel social eng. se vedi un allegato tendi a vedere cosa c'è.
Un'altra ondata sta arrivando con allegati xls che a mio avviso sono persino più pericolosi (per via della possibilità di scripting e macro). Per ora è solo spam, forse.

Maurizio Grillini ha detto...

Dal punto di vista virale sembra che non ci sia da preoccuparsi: gli allegati PDF (e FDF - Forms Data Format) sono solo una nuova forma di spam, stando al reporg di GFI The latest trends (pagina 4), che mette in guardia anche dagli allegati zip/excel.

Dando un'occhiata rapida a quelli che ho ricevuto, le dimensioni dei messaggi vanno dalle 3 alle 11 pagine: la prima pagina contiene il messaggio pubblicitario mentre i caratteri casuali sono inseriti nelle successive, certamente come misura di disturbo per i filtri e soprattutto per l'utente.

Picopage ha detto giustamente: "per ora e' solo spam, forse": in effetti e' solo spam, ma allo stesso tempo e' il risultato della mancanza di misure sicurezza da parte di tanti (troppi) utenti: secondo il piu' recente white paper "Security threat report" di Sophos (qui in italiano), "Il 90% di tutto lo spam in circolazione proviene attualmente
da computer zombie, anche noti come botnet, controllati a
distanza dagli hacker per mezzo di Trojan, worm e virus
".... considerando che, sempre secondo Sophos, nelle nazioni piu' industrializzate 1 computer su 5 e' infetto da virus (1 su 4 in alcune), non credo ci sia altro da aggiunere... (non mando il link diretto ai report Sophos perche' occorre registrarsi per consultarli, ma vale veramente la pena di leggerli).

vertighel ha detto...

il programma antispam SPAMATO, che al filtro bayesiano associa più filtri collaborativi, riconosce correttamente questo tipo di spam

http://www.spamato.net/


esiste anche come plug-in per thunderbird, vedere nel sito


lo consiglio anche perché, aumentando il numero di utilizzatori, aumenta l'efficacia dello stesso filtro (e quindi va anche a mio vantaggio ;) )

pagina di statistiche:
http://www.spamato.net/index.php?option=com_wrapper&Itemid=55