Mail false dall’Agenzia delle Entrate

Mi hanno inoltrato alcune mail false dall’Agenzia delle Entrate. Sfruttano una tecnica di attacco un po’ rozza, che però vale la pena esaminare per capire come evitare di cadere in trappole simili.

L’oggetto del messaggio è “mandato parlamentare di corrispondenza sulla raccolta tributaria”. Sembra una di quella comunicazioni scritte in un linguaggio giuridico che è difficile capire subito. Il mittente è “Agenzia delle Entrate”. Sembra legittimo ma attenzione: sui cellulari viene visualizzato solo il nome del mittente e non l’indirizzo completo! Ed infatti se andiamo a premerci sopra ci accorgiamo subito che esso è più falso di una banconota da tre euro.

L’indirizzo è: “AgenziadelleEntrate@friskaperu.com”. Il nome a dominio di questo indirizzo (la parte finale, ovvero quella dopo la chiocciolina) non ha nulla a che fare con la vera Agenzia delle Entrate, il cui nome a dominio è agenziaentrate.gov.it. Se il messaggio arrivasse davvero da loro, l’indirizzo sarebbe [qualcosa]@agenziaentrate.gov.it. E già questo è sufficiente a bollare il messaggio come pericoloso. C’era però un allegato che mi incuriosiva: “Agenzia_Entrate.zip”.

I file .zip sono dei contenitori: contengono altri file in formato “compresso”. Non sono di per se pericolosi ma possono contenere dei file .exe. Questi file vengono chiamati anche “file eseguibili” perché contengono dei programmi. Se fai doppio click, su un .exe, farai partire il programma in esso contenuto. Poiché i virus sono programmi come tutti gli altri (ma con scopi malevoli), è sempre buona norma seguire due semplici regole:

• Non fare doppio click su file .exe ricevuti come allegato di posta elettronica
• Non fare doppio click su file .zip ricevuti come allegato di posta elettronica

I file .exe funzionano solo sotto Windows, per cui per non correre rischi ho scaricato l’allegato sul mio Mac Mini (un computer che non usa il sistema operativo Windows). L’ho aperto e, con mia grande sorpresa, non conteneva un file .exe ma bensì un file .url. Cos’é? Non è altro che un file che contiene il link ad un sito web. Aprendolo, verrà avviato il browser (il programma che usi per navigare in rete: Safari, Edge, Firefox, Chrome …) e verrà mostrata la pagina web contenuta nel file.

Evita di cliccare sui file .url, a meno che tu non sappia quello che stai facendo! Possono infatti contenere link a siti che installano malware. Ed infatti, aprendo il file .url con un editor di testo semplice (ad esempio il blocco note di Windows) compaiono svariate informazioni. E tra queste vi è un indirizzo web che punta ad un file eseguibile. Bingo!

Gli attaccanti hanno semplicemente messo un file eseguibile (sicuramente un virus) su un server. Pertanto, se fai doppio click sopra al file .url, il browser aprirà quel link e ti chiederà se vuoi scaricare il file “Informazion.exe”. Tecnica rozza, si, ma che potrebbe portare ad un’infezione seria del proprio PC se non si presta la dovuta attenzione.