Categoria: Tecnologia

Mail con oggetto Invio documento n.6712182360 emesso il 15/02/2017

Questa mattina è arrivata una mail da rete @register.it con oggetto Invio documento n.6712182360 emesso il 15/02/2017

A leggerla sembra una mail normalissima mandata da un crm o qualche sistema di fatturazione:

Analizzando con più attenzione questa mail troviamo che è partita da un ip su subnet interbusiness.it:

Facendo una scansione con il fido virustotal scopriamo che il payload è riconosciuto ma da pochissimi antivirus commericali quindi molto pericoloso:

Mail con oggetto POSTA CERTIFICATA: ENELENERGIA – EMISSIONE BOLLETTA PEC

Oggi ho ricevuto nella casella mail un messaggio con oggetto POSTA CERTIFICATA: ENELENERGIA – EMISSIONE BOLLETTA PEC che aveva tutta l’aria di essere una bolletta inviata da enelenergia. Si presenta così:

Andando ad analizzare gli headers il server di partenza è situato in Olanda e per quanto riguarda l’allegato ad una scansione di virustotal risulta positivo alla rilevazione in maniera abbastanza alta:

 

Mail con oggetto: La tua carta d’imbarco

Oggi è arrivata una mail, che volevo fosse vera, perchè narrava di carte d’imbarco su qualche aereo dell’Alitalia e visto lo stress che sto passando in questi giorni, magari fosse stata vera, purtroppo era il tentativo di infettare qualche pc…
La mail si presenta in maniera molto professionale:

Analizzando gli headers della mail si vede che il server di partenza è situato in una subnet che appartiene ad una società tailandese:

 

Una volta che facciamo analizzare la famosa carta d’imbarco scopriamo che è farcita di malware:

Nemucod e Facebook

Gira sulle bacheche italiane un messaggio dove si dice di prestare attenzione a Nemucod un virus che avrebbe infettato Facebook e che avrebbe un potere distruttivo su pc, telefoni e forse anche sulle pentole a pressione….

Il messaggio è più o meno queto che vedete qui sotto:

bufala

Bhè diciamo che Nemucod è un virus, ma che arriva via mail ed è una minaccia che è apparsa via mail quest’anno verso marzo come potete leggere qui Quindi occhio alle mail che vi arrivano ma potete tranquillamente bollire l’acqua 😀

Mail con oggetto Sue Spedizioni

Sembra che l’infezione che ha preso di mira DHL continui. Oggi è arrivata un’altra mail che sembrava provenire da loro ma che invece era portatrice di malware. La domanda è ma quest’azienda sa di questa campagna in corso? Perchè comunque è un bel danno per la reputazione online.

La mail arrivata si presentava come quella di ieri scritta in maniera formale e con link ai siti istituzionali:

mail

Analizzando gli headers della mail si vede che il server di partenza è situato in un blocco di ip allocato negli Stati uniti e in una subnet di proprietà di Microsoft:

NetRange: 13.64.0.0 – 13.107.255.255
CIDR: 13.64.0.0/11, 13.96.0.0/13, 13.104.0.0/14
NetName: MSFT
NetHandle: NET-13-64-0-0-1
Parent: NET13 (NET-13-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Microsoft Corporation (MSFT)
RegDate: 2015-03-26
Updated: 2015-03-26
Ref: https://whois.arin.net/rest/net/NET-13-64-0-0-1

headers

Per quanto riguarda invece il file allegato di seguito la scansione su virustotal:

virustotal.png

Mail con oggetto Le ultime fatture Dhl: 1035717

Questa mattina abbiamo ricevuto una mail che sembra veramente autentica da parte di DHL che diceva che ci stavano mandando le fatture del mese in corso e le potevamo scaricare dall’allegato o loggandosi sul sito vero di DHL:

mail

Come potete vedere dallo screenshot qui sopra sembra veramente autentica, quindi mi sono messo ad indagare sugli headers del messaggio, che indicano il percorso fatto per arrivare alla nostra casella di posta:

headers

Qui è sorto il primo sospetto, vedendo che partiva da un server in Grecia, mentre il mittente sembrava una sucursale tedesca di DHL. Ho scaricato l’allegato e analizzato su virustotal che ha dato questo riscontro:

virustotal.png

Come potete vedere un riscontro molto basso, sinonimo di alta pericolosità per gli utenti.

Come abilitare le chat segrete su Facebook Messenger

Da qualche giorno, Facebook nell’ultimo aggiornamento della sua app per messaggistica Messenger ha abilitato le chat segrete, ovvero chat criptate tra una o più persona ma non sono disponibili di default.

Per attivarle bisogna andare in impostazioni e troveremo la voce Conversazioni segrete da tappare:

20161004_145253000_iOS.png

Si aprirà questa schermata dove potremo attivare le conversazioni segrete:

20161004_145257000_ios

 

Qualche utile consiglio per foto su ios10 

Un interessante video per sfruttare al meglio le capacità fotografiche di iOS 10 e degli ultimi iPhone 😉

Come unificare i vari Cloud drives su qnap

Per chi usa Qnap è possibile con una pratica applicazione far diventare il proprio Nas il centro della sincronizzazione di tutti i nostri drives in giro per il web.

L’applicazione si chiama Cloud drive Sync ed è facilmente installabile dall’appstore de nostro nas.

Una volta installata possiamo aprirla e aggiungere Dropbox, OneDrive, Google Drive e far sincronizzare il contenuto di questi drives sul nostro nas in maniera da avere un backup del backup.

 

Mail con oggetto Contratto manutenzione 2016-15

Oggi abbiamo ricevuto una mail con oggetto Contratto manutenzione 2016-15. Si presenta in maniera molto semplice e formale come potete vedere dall’immagine qui sotto:

mail

Facendo un’analisi degli headers della mail scopriamo che il server di partenza sta in Cina:

headers

Facendo una scansione su virustotal scopriamo che il carico malevolo che porta l’allegato è riconosciuto dalla maggior parte degli antivirus sulla scena:

virustotal

Vai alla barra degli strumenti