27 July 2007

Nuova ondata di SPIM tipo checkmessenger e scanmessenger

Volevo allertarvi che in questi giorni si sta osservando una recrudescenza di SPIM (ricordo che SPIM è il neologismo per indicare lo SPam via Instant Messaging) che sta prendendo di mira gli utenti Windows Live Messenger e che, se cadete nel tranello, può rubarvi le credenziali del vostro account. I messaggi inducono ad andare su siti Web che offrono un servizio di verifica dello stato dei vostri contatti Messenger, analoghi al famoso servizio (truffa) CheckMessenger di cui si era parlato qualche mese fa (vedi articolo di PuntoInformatico di marzo 2007). I nomi dei nuovi siti truffa sono ovviamente diversi: sono a conoscenza di scanmessenger, messengerlist, messenger-list, tutti dot qualcosa (in questo recente articolo di Symantec trovate altri domini diretti verso utenti di lingua inglese e spagnola), ma sicuramente saranno in giro diverse varianti sul tema. Il meccanismo rimane analogo: per fornirvi questo servizio truffa vi viene chiesto esplicitamente l'utenza e la password del vostro account Windows Live. Se incautamente li fornite abilitate i truffatori ad inviare a vostro nome un altra valanga di messaggi a tutti i vostri contatti! L'aspetto subdolo di questa nuova ondata è che il messaggio arriva in italiano (diversamente dalla situazione e considerazioni dello mio scorso post): notate quello che io stesso ho ricevuto ieri da un mio contatto:

Attenti che possono usare anche messaggi e-mail di spam come veicolo per farvi cliccare sul link che vi porta sul sito truffa, e non è escluso che possano usare altre vulnerabilità del sistema operativo e browser per portarvi automaticamente sulla pagina del sito truffa (quindi non dimenticate di avere sempre TUTTE le security patch installate). Le raccomandazioni sono le tipiche:

NON cliccate su link di dubbia provenienza e chiedete conferma diretta ai vostri contatti se vi hanno davvero mandato loro il messaggio (e se loro hanno provato personalmente il sito che vi propongono ...anche se io ormai non mi fido più di nulla)
NON fornite le vostre credenziali
Nel dubbio di averle fornite incautamente, provvedete SUBITO a reimpostare la password, e dite di fare altrettanto agli amici da cui avete ricevuto il messaggio truffa.

Risorse utili:

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# Vincenzo Di Russo [MVP] said:

PingBack:

http://blogs.dotnethell.it/vincent/Nuova-ondata-di-SPIM-tipo-checkmessenger-e-scanmessenger.__11376.aspx

Thank you!

28 July 07 at 10:17 AM

# Blackstorm said:

Lol... divertente... un sacco di gente ci è rimasta fregata :)

30 July 07 at 3:24 AM

# Feliciano Intini said:

Ho rimosso il commento aggiunto dal webmaster di scanmessenger perché non gradivo avere nel mio blog un link verso tale sito. Per vostra informazione il commento citava: "Ci teniamo ad informarti che noi NON CONSERVIAMO i tuoi dati di connessione. ScanMessenger usa il tuo indirizzo di posta elettronica e la tua password per accedere alla lista dei tuoi contatti ...". Detto questo, ricordo che non è raccomandabile fornire le proprie credenziali Windows Live Messenger a siti di terze parti. Anche accettando la buona fede di scanmessenger rimane il fatto che l'amico da cui ho ricevuto il messaggio di spim di cui vi ho detto nel post aveva ricevuto una mail di spam proprio con il link al sottosito italiano di scanmessenger ...

30 July 07 at 4:42 AM

# Blackstorm said:

In generale ricordiamo che è buona pratica di sicurezza non fornire mai le prorpie credenziali (IM, mailbox, e quant'altro) a terzi...

30 July 07 at 6:49 PM

# Andrea Piazza said:

Appena tornato dalle ferie mi sono connesso a Messenger e stavo leggendo il tuo blog (meno male): tempo pochi minuti da un mio contatto arriva un link che punta a un file zip (che si suppone debba contenere foto)dal nome photos-webcam2007.zip.

A quanto pare il file porta con sè il malware Backdoor.Win32.IRCBot.acd

Che dire ... l'ondata continua :-(

01 August 07 at 10:56 AM

# Security Blog di Feliciano Intini said:

Ieri ho ricevuto da due lettori del blog una richiesta di aiuto su come poter recuperare l'accesso al

28 August 07 at 5:39 AM

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

Name (required)
Your URL (optional)
Comments (required)

Enter Code Here: Required
Remember Me?

Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2)

Notizie, best practice, strategie ed innovazioni di Sicurezza e Virtualizzazione su tecnologia Microsoft

Search

A proposito di me ...

Assolutamente da non perdere (mini-portali tematici)

Blog e risorse Microsoft sulla Sicurezza

My Super Microsoft Security Portal

Gocce di Blogosfera ... (alcune mie letture)

Microsoft Italia

Top malware infections

Conficker worm: considerations and resources for effective containment

Blog Information Profile for felicin