Si tratta di un email abbastanza pericolosa per le modalità che possono trarti in inganno e in realtà l’email che ti arriva non ha come oggetto Virus da HSBC Private Bank ma un ben più complesso e menzognero
Payment Advice – Advice Ref:[G30883305169] / ACH credits / Customer Ref:[70307USF02118100] / Second Party Ref:[500000030117]
Sembra quasi che più l’oggetto è complesso e pieno di sigle e numeri e più la gente ci casca facilmente perché dona all’email quell’aura di ufficialità che invece non ha per nulla. In realtà è proprio cosi ma prima di leggerla dovresti chiederti quante probabilità ci sono che tu riceva un pagamento dall’estero. Io sono a zero e tu?
Analisi del Virus da HSBC Private Bank
L’email porta come mittente HSBC PRIVATE BANK UK <[email protected]> e già dal dominio t-online.de (una sorta di provider molto conosciuto in Germania) puoi capire che nulla centra con HSBC che, in realtà, è una banca molto conosciuta e utilizza il dominio hsbc.com.
Il contenuto è il seguente
Dear Sir/Madam
Please find attached copy of the transfer swift made to your company account on behalf of our client along with the bills schedule and advice accordingly.
Yours faithfully,
FOREIGN REMITTANCE DEPT
HSBC Private Bank (UK) Limited
London, SW1A 1JB
United Kingdom
Tel: (+44) 20 7860 5000
Fax: (+44) 20 7860 5001
che in sostanza ti dice che in allegato troverai un bonifico estero fatto alla tua azienda per conto di un cliente della banca HSBC.
Solo che in allegato c’è un bel pdf con questo aspetto
che già di per sé, oltre al dominio farlocco di prima, è indice di qualcosa che non va perché se viene allegato un pdf, questo è normalmente visibile o direttamente nel client di posta elettronica, oppure salvandolo su disco ed aprendolo con Adobe Reader o altri programmi adatti. Qui invece si vede quel View File che sembra un pulsante.
In realtà il pdf è un’immagine con un link. Cliccando infatti sul falso pulsante si scarica da Dropbox un misterioso file che ha il nome
Bank-Swift.uue
e altro non è che un file compresso che si può aprire con un decompattatore qualsiasi. Il motivo del misterioso suffisso .uue è solo quello di impedirti di capire di cosa si tratti. Se tu vedessi .zip o .exe o .rar potresti immaginare che sia un file compresso mentre .uue è un sistema di compattazione che si usa sotto Linux e che pochissimi conoscono.
Scompattando il file ecco che appare il virus sotto forma di un eseguibile .exe che si chiama
Bank-Swift.exe
che contiene un virus, appunto, come puoi vedere anche tu facendolo analizzare da uno dei tanti servizi online che ti dicono se un file è infetto o meno.
Ecco il risultato della scansione con Virus Total
Penso che l’immagine parli da sola. Se clicchi sul .exe e lo fai partire ti impesti tutto il pc – non il Mac – in maniera pesante.
Fai sempre attenzione a quello che ricevi via email!
Approfondimenti