Cerca nel blog

2018/03/23

Sarà phishing o un allegato reale? Scopritelo in sicurezza con Browserling

Capita spesso di ricevere mail contenenti allegati, e sappiamo che alcuni di questi messaggi possono essere trappole con allegati infetti. Ma come facciamo a saperlo con certezza? Magari stiamo davvero aspettando un pacco o un biglietto per un concerto.

Esempio pratico: una persona mi ha segnalato di aver ricevuto una mail intitolata “***Important Please Read***” e con questo testo:

Thanks
Your invoice is attached. Please remit payment at your earliest convenience.
Thank you for your business - we appreciate it very much.

In coda alla mail c’è un link dal nome apparentemente rassicurante, che inizia con nam02.safelinks.protection.outlook.com.

Cliccando sul link, Outlook avvisa che il link è pericoloso:


Ma in questi casi viene sempre il dubbio che ci sia davvero una fattura da pagare. Come si fa a controllare senza rischiare di infettarsi? Si può usare Browserling.com, un sito che vi offre gratuitamente un computer sacrificabile.

Su questo computer potete scegliere di avere quasi tutte le versioni di Windows, da XP fino a Windows 10, e molte versioni di Android; potete selezionare un browser a scelta fra Internet Explorer, Chrome, Firefox, Opera e Safari, e visitare qualunque sito o link in tutta sicurezza con quel computer.

Sullo schermo del vostro computer apparirà il risultato della visita. Il servizio gratuito dura soltanto tre minuti, ma è un tempo sufficiente per fare questo genere di test su link e allegati sospetti senza correre pericoli. Allo scadere di questo tempo il computer verrà azzerato e riportato al suo stato iniziale, per cui potete usarlo per fare tutti gli esperimenti che volete (sconsiglio, però, di immettere password o altri dati sensibili; non si sa mai).

Uso quindi Browserling per visitare il link della mail sospetta usando Windows 7 e Internet Explorer 11:



Ottengo di nuovo un avviso di Outlook, e quando clicco sul link mi viene proposto di scaricare un documento Word. Molti utenti non sanno che i documenti Word possono essere infettanti e quindi si fidano: è una trappola molto efficace.



Lo posso scaricare sulla macchina virtuale e poi da lì darlo in pasto a Virustotal.com:



Ecco il risultato della diagnosi di Virustotal: si tratta di un malware nuovo, al momento rilevato solo da alcuni antivirus.



Virustotal mi fornisce anche informazioni sulla natura di questo malware, basato sulle macro di Word:



Ho insomma accertato che la mail è truffaldina senza correre alcun rischio: il computer virtuale sul quale ho svolto la verifica verrà azzerato e quindi non c’è pericolo che si infetti.

Giusto per curiosità e completezza, ho provato ad aprire il documento Word su una macchina Linux, che come tale non è infettabile da questo malware:



Astuto: il testo del documento Word è coperto da un riquadro che chiede all’utente di abilitare i contenuti (in altre parole, abilitare le macro) e quindi rendersi vulnerabile. Ma anche no.

Se ricevete un documento Word che fa richieste di questo genere, cancellatelo: è quasi sicuramente un malware. Se per caso vi arriva da una fonte che conoscete, chiamate quella fonte e chiedetele se è vero che ha mandato questo documento e soprattutto perché mai si ostina a usare le macro di Word, che sono uno dei veicoli di infezione preferiti dai criminali informatici.

10 commenti:

Patrick Costa ha detto...

Non conoscevo Browserling.com, ottimo servizio, salvato tra i preferiti! :-)

Guastulfo (Giuseppe) ha detto...

Non è un metodo nuovo.

Sono un paio d'anni che, ogni tanto, mi arrivano messaggi del genere con allegato che chiede di abilitare le macro.

Il primo che mi arrivò era nel periodo in cui iniziavano i ransomware. Era in italiano e arrivava da un mio contatto che, effettivamente, mi doveva trasmettere una fattura.

Mi sono salvato perché la struttura del documento non era uguale alle altre fatture e perché non attivo mai le macro se non c'è un motivo valido (per esempio ho dei fogli Excel che usano le macro e so perché le usano)

Sciking ha detto...

Bel servizio, non lo conoscevo!
A proposito di strani messaggi: Qualche tempo fa a mio padre è arrivato un messaggio di Booking, e direi che era legittimo sia nel dominio sia nella app alla quale reindirizzava, solo che lui nemmeno conosce Booking.
Sarà stato un errore di qualcuno nel numero di telefono o una tattica pubblicitaria aggressiva?

Ruggero ha detto...

Non sono sicuro della conclusione. Aprire un documento infetto, anche su una macchina virtuale non nostra puo avere effetti indesiderati. Esempio: il documento contiene un identificativo unico che viene spedito appena il documento viene aperto a dei criminali. Ecco, ora sanno che il tuo email esiste, sanno quando hai aperto il link e sanno che hai una propensione per aprire documenti da ignoti.

Patrick Costa ha detto...

Hai PERFETTAMENTE ragione @Ruggero gli url (anche infetti) sono più che una realtà per accertarsi o meno dell'esistenza di un account... ma se proprio si ha il dubbio meglio aprire questi link con un sistema del genere piuttosto che in locale sul proprio PC.

GungHo ha detto...

Mi pare si possa fare il tutto direttamente nel proprio pc usando Sandboxie. O sbaglio?

Sadboy ha detto...

Notavo recentemente come a scrivere "importante" nelle mail si ottenga l'effetto opposto, proprio perché è il termine più usato in spam, phishing e simili. Stavo per cestinare senza aprirla una mail veramente importante (la certificazione delle donazioni a un'associazione) proprio perché l'oggetto era qualcosa come "comunicazione importante per te"

Scatola Grande ha detto...

@GungHo,
si, io uso sandboxie per tutta la roba sospetta o anche per controllare cosa effettivamente viene installato e dove.
Ma non è perfetto, ogni tanto qualche programma non funziona ma sono molto rari.

imitationGame ha detto...

Buongiorno Paolo,
Ieri ho avuto occasione di utilizzare per la prima volta Browserling.com. Cliccando sul link di un sito in Google (non segnalato come pericoloso da Virustotal), Kaspersky AV ha individuato e poi bloccato il download di un oggetto HEUR:Trojan.Script.Generic (.js). Ho aperto il link in Browserling che mi ha mostrato il codice sorgente. Ho salvato il file sulla macchina virtuale e dato in pasto a Virustotal. Soltanto 1/67 rileva la sua pericolosità. Comunque la mia domanda è: il link/file è consigliabile darlo in pasto a Virustotal direttamente sulla macchina virtuale oppure c'è un modo per farlo analizzare fuori da Browserling direttamente nel proprio browser? Il dubbio mi è venuto guardando il tuo screenshot con il resoconto di Virustotal nel browser da te utilizzato (almeno così mi sembra, correggimi se sbaglio).
Chiudo con i miei complimenti per il tuo blog e per il tuo libro “Luna? Sì, ci siamo andati!”, letto alcuni anni fa in versione cartacea e che sto rileggendo ora dopo gli ultimi aggiornamenti.
Grazie, buona giornata.

lucawaldner ha detto...

Ottimo servizio, ho avuto modo di utilizzarlo oggi ed è davvero comodo. Di solito utilizzo una macchina virtuale appositamente creata, ma questo è più veloce e comodo per piccole cose.
A dire il vero lo avevo già nei preferiti ma per altre cose:
https://www.browserling.com/tools/
Una serie infinita di tools utilissimi e gratuiti