Ed ecco che, appena prima di Natale, spunta un nuovo tentativo di impadronirsi dei nostri dati. Questa volta non si tratta di phishing, sempre pericoloso e spesso la prima scelta di un hacker, ma di un allegato con all’interno un virus trojan. Potremmo dire un “classico”.

Ecco il testo della mail pericolosa:

Cortese cliente, da un controllo contabile abbiamo potuto appurare che la fattura
numero 486724 del 12/10/2020 scaduta il 12/11/2020 , alla data odierna non appare ancora da Voi saldata.

Vi richiediamo pertanto di regolare al più presto la vostra posizione contabile , ricordandovi a tal proposito che, il suddetto pagamento può essere disposto tramite accredito bancario utilizzando l’IBAN indicato in Fattura ovvero , a mezzo assegno bancario o circolare.
Potrà prendere visione della Fattura e gli estremi per il pagamento mediante il archivio in allegato.
Vi ringraziamo per l’attenzione e vi porgiamo cordiali saluti.

Si può notare subito come sia scritto in un italiano scorretto. Questo è il primo punto di attacco di ogni hacker. Sanno che noi italiani non leggiamo, nemmeno il testo di una mail che chiede denaro. Sono davvero pochissimi, infatti, quelli che si rendono conto di come frasi e parole siano buttate quasi “a caso” nel testo.

Il mittente della mail falso

Diamo poi un’occhiata alla mail di provenienza. Non solo a quello che compare come mittente, ovvero il nome abbreviato, ma la vera e propria mail.enigaseluce-phishing-truffa-online-lolli-group-fake-1
In questo caso, ma non sempre sarà così, il nome breve è online, mentre la mail di provenienza è una tale “info@ajouter-lien.com”.
Per vederla basta cliccarci sopra con qualsiasi programma di posta.
Vi sembra una mail ufficiale di EniGaseLuce? Sembra invece un indirizzo di etnia francese, forse l’hacker confonde l’Italia e la Francia, e ha difficoltà a capire la differenza fra le lingue italiano e francese.

Infine l’allegato del messaggio di posta elettronica

Un file di word, ovvero con l’estensione .doc, è molto strano e inusuale, specialmente per un ente pubblico o un gestore di servizi. Se proprio EniGaseLuce fosse così gentile da avvisarci, via mail oltretutto, della scadenza di una bolletta, la allegherebbe in formato pdf.

Il vostro sistema di posta associa una icona diversa a ogni tipo di file, in modo che possiate rendervi conto facilmente di ciò che ricevete. Un pdf ha un’icona rossa e bianca, un file di word ha invece un’icona azzurra e bianca. Completamente diverse.

A titolo di studio Lolli Group Fake ha analizzato il contenuto dell’allegato di questa mail Eni Gas e Luce fasulla. Potete farlo anche voi, con estrema attenzione (evitate di aprire il file allegato, ovviamente, altrimenti il virus si installerà sul vostro sistema), utilizzando un sistema di scansione online come ad esempio Virus Total Online a questo link (clicca qui).
Con questo sistema potrete effettuare una scansione dell’allegato direttamente online da questa pagina.

Ecco il risultato della scansione, per quanti riguarda Virus e Malware. Un po’ pericoloso, vero?

  • Ad-Aware
  • VB:Trojan.Valyria.3412
  • AegisLab
  • Trojan.MSWord.Generic.4!c
  • Arcabit
  • HEUR.VBA.CG.1
  • BitDefender
  • VB:Trojan.Valyria.3412
  • Elastic
  • Malicious (high Confidence)
  • Emsisoft
  • VB:Trojan.Valyria.3412 (B)
  • eScan
  • VB:Trojan.Valyria.3412
  • FireEye
  • VB:Trojan.Valyria.3412
  • GData
  • VB:Trojan.Valyria.3412
  • MAX
  • Malware (ai Score=81)
  • McAfee
  • RDN/Generic.ole
  • McAfee-GW-Edition
  • BehavesLike.Downloader.cc
  • NANO-Antivirus
  • Trojan.Script.Agent.dslept
  • SentinelOne (Static ML)
    Static AI – Suspicious OPENXML
  • TACHYON
  • Suspicious/WOX.Downloader.Gen
  • Tencent
  • Heur.MSWord.Downloader.d
  • TrendMicro
  • HEUR_VBA.O2
  • TrendMicro-HouseCall
  • TROJ_GEN.F04IE00LH20
  • Acronis
  • Undetected
  • AhnLab-V3

Attenzione, dunque, come sempre abbiamo scritto.
Leggete bene il testo, capite la provenienza delle mail con allegati e che inviano a siti web, e cercate di capire che normalmente NESSUNO vi avvisa o vi manda una mail per gentilezza.
Rarissime sono le mail reali, e normalmente sono in risposta a una vostra richiesta.
Nel dubbio, cancellate la mail e l’allegato, effettuate una scansione con un antivirus, e al massimo telefonate al gestore chiedendo informazioni.
Per sottoporci le mail ricevute, che pensate possano essere fasulle, scrivete inoltrando il messaggio a fake@lolligroup.com. Vi risponderemo dopo una veloce verifica.