3cce0eabca89bf68244adfa7da45a60f.gifOltre a far leva su vincite di televisori, accrediti sui conti, assegnazione per sorteggio di apparati tecnologici, comunicazione di reati e preavviso di sanzioni al codice della strada, si sta diffondendo in questi giorni una diversa forma di social engineering che utilizza la formula del “rimborso su ritardi dei treni” e sembra provenire da Trenitalia SpA.

 

La mail che viene inviata, a firma di un presunto responsabile rimborsi Trenitalia SpA, si presenta come segue:

 

Da: Trenitalia [mailto:trenitalia@rimborsi-online.com]

Inviato: mercoledì 4 giugno 2008 0.02

A: info@anssaif.it

Oggetto: Rimborso Trenitalia

Gentile Viaggiatore,

Ferrovie dello Stato è lieta di informarla che dal 1° Maggio 2008 è possibile richiedere il rimborso sui ritardi effettuati su tutte le tratte nazionali.

A seguito di ciò, la informiamo che da un nostro controllo contabile, le spetta un rimborso di Euro 780,00.

La invitiamo a visualizzare il modulo in allegato, e seguire le istruzioni per farci pervenire tale modulo.

N.B. Il rimborso avverrà mediante bonifico bancario entro e non oltre 5 giorni lavorativi dalla ricezione.

 

————————————————————

Qualora si verificassero problemi con il mdulo allegato, può visitare il nostro sito o scaricare nuovamente il modulo qui

————————————————————

 

Certi di averle fatto cosa gradita Porgiamo Distinti Saluti

 

Ennio Zibris

Responsabile Rimborsi

Trenitalia S.p.A.

 

Alla mail viene allegato un file “MODULOA344508.zip” (642 B) che, unzippato, risulta contenere due file entrambi di 1Kb NESSUNO DEI QUALI APRIBILE e precisamente:

 

     AcrobatReader.txt

     MODULOA344508.pdfx.txt

 

La pericolosità di tale tecnica di social engineering consiste proprio nella furbizia adottata: nell’impossibilità di aprire i moduli allegati (CHE NON CONTENGNO NULLA) il destinatario della mail viene invitato a visitare il sito http://www.rimborsi-online.com dal quale scaricare il modulo citato zippato.

 

Tuttavia il file ZIP che si scarica, contiene un EXE al cui interno si annida il virus

“Trojan-Downloader.Win32.Agent.lyg”

(Engine error code: 0x00010000; Engine version: 5.0.0.38; Pattern version: 080604.093211.828550; Pattern date: 2008.06.04 09:32:11) individuato dai più comuni antivirus, se installati.

 

Il sito civetta, per completezza di informazione, risulta essere stato registrato in California il 2 giugno 2008 a nome di un utente anonimo (WhoisGuard Protected (a3d100cd29d0483b960f33ed32667381.protect@whoisguard.com)che ha fornito come indirizzo “8939 S. Sepulveda Blvd. #110 – 732 Westchester, CA 90045″