faretesto > comp.sicurezza.* > comp.sicurezza.virus

gscalia (21.12.2019, 23:51)
Ho ricevuto questa email in cui leggo che qualcuno (?) conosce una mia
vecchia password che non uso più e sarei ricattato a pagare 900 $ in
bitcoin per evitare di rendere pubbliche le registrazioni audio e video
che il virus ha fatto. Mah, io per sicurezza, da quando ho acquistato il
pc, la webcam l'ho coperta con un pò di nastro adesivo.
Ma tanto una cazzata non mi sembra se vedo una mia vecchia password.

Esiste un modo per verificare se sono infetto veramente e se in tal caso
possa ripulire il pc da questa roba, ammesso che sia stato infettato ?

Grazie
Leonardo Serni (22.12.2019, 02:52)
On Sat, 21 Dec 2019 22:51:07 +0100, gscalia <gscalia> wrote:

>Ma tanto una cazzata non mi sembra se vedo una mia vecchia password.


E' successo questo: anni fa, ti sei registrato a qualche servizio... forse una
mail, forse un sito di scommesse sportive, o un archivio di ornitorinchi.

Un paio di anni fa, non tu, ma quell'archivio è stato violato, e le password e
le email sono state trafugate.

Gli autori del colpo hanno già provato a entrare in tutte quelle caselle e, in
qualche caso, hanno ottenuto magari le credenziali per lo home banking o che -
e ci hanno fatto un pacco di soldi con sistemi semi-automatizzati.

Poi hanno rivenduto le email a criminali meno sofisticati disposti a pagare un
po' di spiccioli ad altri disperati per leggersi le email, e provare a trovare
altri sistemi per tirare fuori dei soldi. In genere mettendo su "romance scam"
o altre tattiche da sottopersone.

Poi, tempo dopo, un genio ha pensato a un modo per monetizzare quei dati che a
quel punto non valevano più un accidente.

Mandare a tutti una email - sempre la stessa - dicendo "Ho la tua password, ho
infettato il tuo PC con del malware. Ho visto i porni che guardi. Wow, hai dei
gusti davvero strani! Se versi dei soldi, cancellerò le registrazioni."

Certo, su mille persone che la ricevono, solo 600 vanno sui siti porno secondo
le statistiche; di questi, solo 100 si vergognano dei propri gusti; solo 20 si
vergognano abbastanza; e di questi venti, 19 non ci credono - o non pagano per
altre ragioni.

Ma il millesimo? Il millesimo gli sgancia due o trecento euro. Mandare spam di
ricatto a trecento euro ogni mille email, be', e' un AFFARONE!

Prendi l'indirizzo bitcoin che t'ha dato, cercalo su Google. Se ne trovi altre
diecimila copie, allora è andata così.

Altrimenti t'è arrivata una mail di un altro tizio che pensava d'essere ancora
più furbo, e ha usato un indirizzo Bitcoin diverso per ogni vittima. In genere
è perché ha qualche motivo di pensare che davvero abbia visitato dei porni più
ingegnosi della media (ci sono archivi leakati anche degli utenti di quelli, e
forum, e modi di fare ricerche automatiche).

Chi risponde alla richiesta "Smolla 300 euro in bitcoin, e cancellerò tutte le
registrazioni", e paga, si vede quindi recapitare una seconda email, "Ho visto
di nuovo quei filmati, sei troppo una merda. Mandane altri 500 e li cancello."
E se manda quei 500, il tizio pensa "Minchia, questo chissà che cosa deve aver
fatto davanti a quella Webcam! Ed è pieno di grana! Strizziamolo ancora!".

So when you are requested to pay up or be molested,
You will find it better policy to say: ?
"We never pay any-one Dane-geld,
No matter how trifling the cost;
For the end of that game is oppression and shame,
And the nation that plays it is lost!" -- Rudyard Kipling

Leonardo
gscalia (22.12.2019, 16:32)
Il 22/12/2019 01.52, Leonardo Serni ha scritto:
[..]
> For the end of that game is oppression and shame,
> And the nation that plays it is lost!" -- Rudyard Kipling
> Leonardo


quindi, essendo un tentativo di phishing, potrei stare tranquillo o dici
che devo comunque rivolgermi alla polizia postale ?
Leonardo Serni (22.12.2019, 17:47)
On Sun, 22 Dec 2019 15:32:24 +0100, gscalia <gscalia> wrote:

>quindi, essendo un tentativo di phishing, potrei stare tranquillo o dici
>che devo comunque rivolgermi alla polizia postale ?


Una volta sicuro che quella password è obsoleta e tutti i servizi che la
usavano sono sicuri, io starei tranquillo.

E poi installerei uno di quei servizi - ci sono per Firefox e Chrome, ed
altri browser suppongo - che guardano se una password compare in elenchi
online trafugati.

(Gli elenchi sono acquisiti da es. i server di Google, le password messe
come hash in un filtro Bloom, in modo che non siano trasmesse in chiaro,
e l'unica informazione sia "Sì, c'è" (o: "non c'è"). In questo modo, chi
usa il servizio non deve rivelare la password se non a chi già la sa, e,
catturando gli elenchi e i filtri, un cracker non possa farci nulla).

Leonardo
Max max (22.12.2019, 21:19)
Infatti
[..]
TJL73 (24.12.2019, 00:28)
Sotto la pioggia, bagnato come un pulcino, "gscalia" pigolava:

> vedo una mia vecchia password.


Oltre a quanto suggerito da Leo, dai anche un'occhiata qui:




Ciao,
un TJL73 che ci ha trovato anche qualcosa di suo...
ca75 (31.12.2019, 12:24)
gscalia ha scritto:
> Ho ricevuto questa email in cui leggo che qualcuno (?) conosce una mia
> vecchia password che non uso più e sarei ricattato a pagare 900 $ in
> bitcoin per evitare di rendere pubbliche le registrazioni audio e video
> che il virus ha fatto. Mah, io per sicurezza, da quando ho acquistato il
> pc, la webcam l'ho coperta con un pò di nastro adesivo.
> Ma tanto una cazzata non mi sembra se vedo una mia vecchia password.


fai in modo che la password che hai visto sia non più valida, cambiala.
Se il problema sono i file audio/video ignora il discorso ( sa di bufala
vecchia, avevano scritto pure a me ). Oppure fai denuncia contro ignoti.

Se sei iscritto a FB, cerca come contatto "agente lisa".
Roberto Deboni DMIsr (22.02.2020, 18:27)
On 22/12/2019 15:47, Leonardo Serni wrote:
> On Sun, 22 Dec 2019 15:32:24 +0100, gscalia <gscalia> wrote:
>> quindi, essendo un tentativo di phishing, potrei stare tranquillo o dici
>> che devo comunque rivolgermi alla polizia postale ?

> Una volta sicuro che quella password è obsoleta e tutti i servizi che la
> usavano sono sicuri, io starei tranquillo.


Ne sto ricevendo da qualche settimana, con insistenza.

Dunque, per cominciare non e' un messaggio testuale semplice ma un
MIME/html. In sostanze, il "corpo" non e' il testo che si vede, ma un
blocco codificato in base64. Forse per nasconderlo ai filtri anti-spam ?

Una volta decodificato, si scopre, ad esempio, che la riga vuota tra
ogni frase in realta' contiene del testo in caratteri di colore
"bianco", quindi non visibili se avete scelto il fondo bianco.
Pero' se "evidenziate" (ad esempio selezionando per fare un
copia-incolla) il testo diventa visibile. Esso appare
di svariate righe, ed in ogni riga c'e' una riga di caratteri
come a casaccio. Qualcuno ha idea della loro funzione ?

Preciso che quanto descritto non vale per tutti i messaggi, ma ci
sono altri messaggi, in cui, invece delle righe "in caratteri bianchi"
ci sono caratteri anomale nelle parole di ogni frase, come se
fossero scritte con una tastiera guasta. Una idea della loro
funzione ?

Ipotesi: per identificare univocamente ogni emali ?
Leonardo Serni (25.02.2020, 03:23)
On Sat, 22 Feb 2020 16:27:32 +0000, Roberto Deboni DMIsr
<news> wrote:

>Dunque, per cominciare non e' un messaggio testuale semplice ma un
>MIME/html. In sostanze, il "corpo" non e' il testo che si vede, ma un
>blocco codificato in base64. Forse per nasconderlo ai filtri anti-spam ?


Esatto. Per lo stesso motivo è usato del testo "ghost" e spesso pure
caratteri UTF-8 farlocchi. In modo che all'occhio umano il messaggio
sia abbastanza leggibile, ma ai filtri automatici no.

>Ipotesi: per identificare univocamente ogni emali ?


Nah. Tanto il From è finto (spesso è il tuo indirizzo!), sicché mica
gli risponderesti. Serve a rendere univoca la mail, sì, ma perché in
questo modo il server non può ragionare "Mi sono arrivate 200 mail e
sono tutte uguali, mi sa che è spam".

Leonardo
Discussioni simili