Un cliente mi ha inoltrato, poco fa, una mail che sembra essergli stata inviata da TIM Telecom Italia. Con questa mail, Telecom gli inoltra la copia di una fattura, come da lui richiesto. Non avendo richiesto nulla, il cliente si è subito insospettito e mi ha interpellato. In effetti, neanche a dirlo, l’allegato alla mail contiene un virus. Riporto il testo integrale della mail:
Mittente: serviziomail.191@telecomitalia.it
Oggetto: Richiesta Duplicato Conto Telecom Italia – Fattura n. 8A09685204
Corpo del messaggio:
Gentile Cliente,
Le trasmettiamo in allegato il duplicato del Conto Telecom Italia da Lei richiesto.Le ricordiamo che sul sito www.191.it potra’ conoscere ed acquistare on-line le novita’ e le offerte riservate ai Clienti Business, consultare e pagare le fatture ed interagire direttamente con il nostro servizio Customer Care 191.
Per ogni sua futura esigenza le ricordiamo inoltre che il Servizio Clienti 191 è disponibile gratuitamente dalle ore 8.00 alle ore 20.00 dal lunedi al sabato.
RingraziandoLa per la fiducia accordataci e nell’auspicare un ulteriore sviluppo dei rapporti di collaborazione con la Sua Societa’, Le inviamo i nostri migliori saluti.
TELECOM ITALIA – Servizio Clienti Business
Telecom Italia – Confidenziale
Questo messaggio e gli eventuali allegati possono contenere informazioni riservate. Qualsiasi utilizzo del messaggio ed i suoi allegati Ì proibito. Se entrate in possesso per errore, di questo messaggio, senza esserne i destinatari, Vi chiediamo cortesemente di inviare un messaggio al mittente e di cancellarlo dalle Vs. memorie/archivi. Grazie
Come si può vedere il testo è scritto in un italiano accettabile. L’unico indizio, che fa pensare, è che le lettere accentate sono fatte utilizzando l’apostrofo (le accentate sono presenti sulle tastiere italiane, ma non si quelle straniere).
Allegato alla fattura un file di nome Fattura n. 8A09167517.zip che rispecchia anche il formato di numerazione delle vere fatture Telecom. Aprendo il file ZIP, all’interno si trova un file di nome Fattura n. 8A09167517.pdf.exe, che contiene il virus vero e proprio.
Da un primo controllo non sembra che si tratti di CryptoLocker, e un controllo effettuato tramite il sito www.virustotal.com lo ha identificato come segue:
Il virus, tramite il sito, non è stato riconosciuto da antivirus diffusi come Trend Micro, Avast, Avira, AVG, ecc.
Al momento del controllo gli unici a riconoscerlo sono stati NOD32, Kaspersky, Microsoft e Qihoo-360.
Come al solito, quindi, massima attenzione agli allegati e alle mail con documenti non richiesti!
Anche io ho ricevuto la stessa mail, strano però perchè telecom non manda fatture allegate , ma sono disponibili sempre sul sito e il numero di riferimento non è né un codice cliente nè il numero di rete fissa da me usato. E poi invece di scrivere ” la fattura” la scritta asseriva ” Il fattura ” più la cosa del file zip che aveva un estensione” fattura.telecomitalia.pdf. exe” che è palesemente un virus o simili.
Ho ricevuto anche io “il fattura” di telecom, dopo quelle di equitalia e di poste italiane, altrettanto fasulle e rilevate dall’antivirus (si tratta proprio del famigerato criptolocker). L’ unica differenza è che in questo caso questi maledetti usano come mittente lo stesso e-mail address originale del servizio clienti di telecom. Ma come fanno? Solo osservando con outlook i particolari di questo indirizzo si vede che, dopo una prima serie di intestazioni esattamente uguali a quelle dei messaggi telecom veri, c’è un’altra serie di dati nei quali compare un “notarescu.ro” o qualcosa di simile, che spiega tutto.
Ciao Giorgio, il problema è che chi gestisce il dominio originale non ha configurato il record SPF nel DNS, quindi in pratica chiunque può scrivere spacciandosi per titolare di quell’indirizzo.
E’ una pratica molto diffusa in Italia, dove la sicurezza in questo ambito lascia ancora molto a desiderare.