I clienti Telecom Italia (e non solo) sono nuovamente bersaglio di un’imponente campagna spam-phishing. In questi giorni in molti stanno ricevendo un’e-mail che ricalca quelle solitamente inviate da Telecom Italia per informare la clientela circa l’emissione di una nuova fattura.
L’oggetto, infatti, contiene quanto segue: “Fattura Telecom Italia n. 9/14” mentre il messaggio presenta un testo simile a quello tipicamente utilizzato da Telecom: “la informiamo che i suoi Conti Telecom Italia relativi alle linee di Fonia sono stati appena emessi e sono già disponibili online nell’Area Clienti Business sul portale Impresa Semplice“. L’e-mail, almeno ad un primo esame, sembra provenire da Telecom Italia dal momento che come mittente è specificato l’indirizzo servizioclienti@telecomitalia.it
.
Niente di più falso. Chi ha inviato l’e-mail ha semplicemente falsificato il mittente del messaggio (email spoofing): chiunque può specificare, come mittente, l’indirizzo e-mail di un altro utente. Semmai, è l’analisi delle intestazioni del messaggio o l’utilizzo – da parte del dominio cui si fa riferimento – di meccanismi di validazione quali SPF, SenderID o DKIM a consentire un immediato riconoscimento del tentativo di frode.
Nel caso del messaggio apparentemente proveniente da Telecom Italia, infatti, è sufficiente accedere alle intestazioni complete (headers) dell’e-mail per accorgersi come la comunicazione non sia partita dai server dell’operatore italiano ma da IP stranieri che nulla hanno a che vedere con l’ex monopolista.
Come si vede nell’immagine a lato, allegato al messaggio truffaldino c’è un file Zip – Conto_Telecom_Italia_PDF.zip
– che al suo interno non contiene certo alcuna fattura Telecom bensì una variante del noto malware ZeuS, componente maligno studiato per sottrarre informazioni personali (dati per l’accesso a servizi di online banking, numeri di carte di credito insieme con relativi codici di autorizzazione, nomi utente e password, certificati digitali,…) e rubare denaro.
Fino a qualche ora fa gran parte dei motori antivirus ed antimalware non riconoscevano il file come minaccia. Fortunatamente, col trascorrere del tempo, tutti i principali produttori stanno aggiornando le firme virali dei propri prodotti per la sicurezza (vedere l’analisi su VirusTotal.