skip to main | skip to sidebar
10 commenti

Sarà phishing o un allegato reale? Scopritelo in sicurezza con Browserling

Capita spesso di ricevere mail contenenti allegati, e sappiamo che alcuni di questi messaggi possono essere trappole con allegati infetti. Ma come facciamo a saperlo con certezza? Magari stiamo davvero aspettando un pacco o un biglietto per un concerto.

Esempio pratico: una persona mi ha segnalato di aver ricevuto una mail intitolata “***Important Please Read***” e con questo testo:

Thanks
Your invoice is attached. Please remit payment at your earliest convenience.
Thank you for your business - we appreciate it very much.

In coda alla mail c’è un link dal nome apparentemente rassicurante, che inizia con nam02.safelinks.protection.outlook.com.

Cliccando sul link, Outlook avvisa che il link è pericoloso:


Ma in questi casi viene sempre il dubbio che ci sia davvero una fattura da pagare. Come si fa a controllare senza rischiare di infettarsi? Si può usare Browserling.com, un sito che vi offre gratuitamente un computer sacrificabile.

Su questo computer potete scegliere di avere quasi tutte le versioni di Windows, da XP fino a Windows 10, e molte versioni di Android; potete selezionare un browser a scelta fra Internet Explorer, Chrome, Firefox, Opera e Safari, e visitare qualunque sito o link in tutta sicurezza con quel computer.

Sullo schermo del vostro computer apparirà il risultato della visita. Il servizio gratuito dura soltanto tre minuti, ma è un tempo sufficiente per fare questo genere di test su link e allegati sospetti senza correre pericoli. Allo scadere di questo tempo il computer verrà azzerato e riportato al suo stato iniziale, per cui potete usarlo per fare tutti gli esperimenti che volete (sconsiglio, però, di immettere password o altri dati sensibili; non si sa mai).

Uso quindi Browserling per visitare il link della mail sospetta usando Windows 7 e Internet Explorer 11:



Ottengo di nuovo un avviso di Outlook, e quando clicco sul link mi viene proposto di scaricare un documento Word. Molti utenti non sanno che i documenti Word possono essere infettanti e quindi si fidano: è una trappola molto efficace.



Lo posso scaricare sulla macchina virtuale e poi da lì darlo in pasto a Virustotal.com:



Ecco il risultato della diagnosi di Virustotal: si tratta di un malware nuovo, al momento rilevato solo da alcuni antivirus.



Virustotal mi fornisce anche informazioni sulla natura di questo malware, basato sulle macro di Word:



Ho insomma accertato che la mail è truffaldina senza correre alcun rischio: il computer virtuale sul quale ho svolto la verifica verrà azzerato e quindi non c’è pericolo che si infetti.

Giusto per curiosità e completezza, ho provato ad aprire il documento Word su una macchina Linux, che come tale non è infettabile da questo malware:



Astuto: il testo del documento Word è coperto da un riquadro che chiede all’utente di abilitare i contenuti (in altre parole, abilitare le macro) e quindi rendersi vulnerabile. Ma anche no.

Se ricevete un documento Word che fa richieste di questo genere, cancellatelo: è quasi sicuramente un malware. Se per caso vi arriva da una fonte che conoscete, chiamate quella fonte e chiedetele se è vero che ha mandato questo documento e soprattutto perché mai si ostina a usare le macro di Word, che sono uno dei veicoli di infezione preferiti dai criminali informatici.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
Non conoscevo Browserling.com, ottimo servizio, salvato tra i preferiti! :-)
Non è un metodo nuovo.

Sono un paio d'anni che, ogni tanto, mi arrivano messaggi del genere con allegato che chiede di abilitare le macro.

Il primo che mi arrivò era nel periodo in cui iniziavano i ransomware. Era in italiano e arrivava da un mio contatto che, effettivamente, mi doveva trasmettere una fattura.

Mi sono salvato perché la struttura del documento non era uguale alle altre fatture e perché non attivo mai le macro se non c'è un motivo valido (per esempio ho dei fogli Excel che usano le macro e so perché le usano)
Bel servizio, non lo conoscevo!
A proposito di strani messaggi: Qualche tempo fa a mio padre è arrivato un messaggio di Booking, e direi che era legittimo sia nel dominio sia nella app alla quale reindirizzava, solo che lui nemmeno conosce Booking.
Sarà stato un errore di qualcuno nel numero di telefono o una tattica pubblicitaria aggressiva?
Non sono sicuro della conclusione. Aprire un documento infetto, anche su una macchina virtuale non nostra puo avere effetti indesiderati. Esempio: il documento contiene un identificativo unico che viene spedito appena il documento viene aperto a dei criminali. Ecco, ora sanno che il tuo email esiste, sanno quando hai aperto il link e sanno che hai una propensione per aprire documenti da ignoti.
Hai PERFETTAMENTE ragione @Ruggero gli url (anche infetti) sono più che una realtà per accertarsi o meno dell'esistenza di un account... ma se proprio si ha il dubbio meglio aprire questi link con un sistema del genere piuttosto che in locale sul proprio PC.
Mi pare si possa fare il tutto direttamente nel proprio pc usando Sandboxie. O sbaglio?
Notavo recentemente come a scrivere "importante" nelle mail si ottenga l'effetto opposto, proprio perché è il termine più usato in spam, phishing e simili. Stavo per cestinare senza aprirla una mail veramente importante (la certificazione delle donazioni a un'associazione) proprio perché l'oggetto era qualcosa come "comunicazione importante per te"
@GungHo,
si, io uso sandboxie per tutta la roba sospetta o anche per controllare cosa effettivamente viene installato e dove.
Ma non è perfetto, ogni tanto qualche programma non funziona ma sono molto rari.
Buongiorno Paolo,
Ieri ho avuto occasione di utilizzare per la prima volta Browserling.com. Cliccando sul link di un sito in Google (non segnalato come pericoloso da Virustotal), Kaspersky AV ha individuato e poi bloccato il download di un oggetto HEUR:Trojan.Script.Generic (.js). Ho aperto il link in Browserling che mi ha mostrato il codice sorgente. Ho salvato il file sulla macchina virtuale e dato in pasto a Virustotal. Soltanto 1/67 rileva la sua pericolosità. Comunque la mia domanda è: il link/file è consigliabile darlo in pasto a Virustotal direttamente sulla macchina virtuale oppure c'è un modo per farlo analizzare fuori da Browserling direttamente nel proprio browser? Il dubbio mi è venuto guardando il tuo screenshot con il resoconto di Virustotal nel browser da te utilizzato (almeno così mi sembra, correggimi se sbaglio).
Chiudo con i miei complimenti per il tuo blog e per il tuo libro “Luna? Sì, ci siamo andati!”, letto alcuni anni fa in versione cartacea e che sto rileggendo ora dopo gli ultimi aggiornamenti.
Grazie, buona giornata.
Ottimo servizio, ho avuto modo di utilizzarlo oggi ed è davvero comodo. Di solito utilizzo una macchina virtuale appositamente creata, ma questo è più veloce e comodo per piccole cose.
A dire il vero lo avevo già nei preferiti ma per altre cose:
https://www.browserling.com/tools/
Una serie infinita di tools utilissimi e gratuiti