Ez az iTunes nem az az iTunes

2009. február 19. 16:13 - Csizmazia Darab István [Rambo]

Minden elektronikus levelezésben résztvevő kialakított már magának egy képet, egy szabályrendszert, mire érdemes figyelni, mire kell vigyázni. Ezt vagy önként és belátva tette, vagy pedig a munkahelyi rendszergazdája, főnöke ösztökélésére változtatott. A mai spam helyzetet tekintve azonban egyszerűen nincs olyan levél vagy feladó, aminél ne kellene gyanakodni legalább egy picit.

Hogy milyen remekül működik a bejáratott reflex - azaz agy kikapcsol, kéz kattint - azt jól példázza az a kísérlet a baráti körből, amely az IWIW üzenetek mintájára, azt tökéletesen lemásolva, de a linket egy fiktív sajáttal helyettesítve küldözgetett szét köztünk, figyelve a reagálásunkat. Az eredmény ugye sejthető, a "[iWiW] Balázs ismerősnek jelölt" üzenetre szinte mindenki gondolkodás nélkül kattintott, kiez-már-és-mit-akar-miért-nem-hagynak-már-békén-dolgom-van-na-jó-gyorsan-nézzük-meg alapon.

A hamis levélben aztán az a bizonyos link már nem a jól ismert helyre vitt, hanem a "Hehe, Ez egy adathalász levél volt. Megszívtad?!" kezdetű landing page tudatta, hogy a delikvens nem volt elég elővigyázatos, és sokkal rosszabb is történhetett volna.

Hogy ez a módszer már az elvi kísérletezéseken is túl van, arról már talán mi is írtunk, nem létező AdWords számla érkezett, fel nem adott futárküldeményünkre hivatkozó levél, látszólag nem kézbesíthető visszapattant levélnek látszó üzenet kártevőre mutató linkkel (Mail Delivery Notification) és hasonlók érkeznek, sőt néha mi magunk vagyunk a feladó :-). Most egy újabb érdekesség bukkant fel, ami minden iPhone tulajdonost érinthet, aki "küldföldiül" ;-) kap levelet.

Az közismert, hogy akár vásárolunk valamit, akár nem, sőt még az ingyenes App Store alkalmazásokról is kapunk rendszeres időközönként 0.00 egyenlegű számlát. Erre épít a mostani spamlevél, és itt még a nyelvi korlátok sem működnek. Levelünk belseje azonban cseppet sem hasonlít a szokásos számlákhoz.

Igaz, szerencsére ez a mostani küldemény nem egy kártevőterjesztő oldalra, hanem "csak" egy kanadai gyógyszerész lapra mutat: Viagra, Cialis és társai. Én a küldő helyében valamilyen tartozást tüntettem volna fel, és mellé a trükkös linket - de vélhetően csak idő kérdése, és lesz majd sajna ilyen is.

Szóval, csak lassan azokkal a pavlovi reflexekkel! Ahogy Fülig Jimmy vigyorgásáról sem szabad elhamarkodottan ítélni - mert az ilyen emberek, felépülésük után, sokat gondolkodtak a látszat megtévesztő benyomásairól, és elhatározták, hogy a jövőben senkiről sem vonnak le következtetéseket alapos tájékozódás híján - úgy az "annak látszó" levelek is lehetnek időnként mások, tehát érdemes nem kapkodni és jobban odafigyelni.

5 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr69953019

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Gery.Greyhound · http://greyhound.blog.hu 2009.02.20. 11:00:18

Éledezik a hazai spambiznisz? Én a héten már életemben először anyanyelvemen olvashattam Viagra-hirdetést:

noob.hu/07/0220/viagra_hu.jpg

De szeretnék Budapesten magyar spammert orrba rugdosni...

Lilieth 2009.02.20. 14:30:29

Szia,
ne haragudj, hogy ide írok, de már nincs jobb ötletem. A Nod-om egy módosult win32/PSW.LdPinch trójait talál, konkrétan két file-ban, az egyiket átugorja, a másikat meg ugyan engedi karanténba helyezni, de akárhányszor eresztem rá a vírusírtást, mindig ugyanúgy ott van. Próbáltam csökkentett üzemmódban is, bármilyen beállítás mellett csak és kizárólag a kihagyás gombot hagyja használhatónak. A file egy olyan könyvtárban van, amibe belemenni nem tudok, hogy töröljem. Tudnál segíteni?
Előre is köszönöm.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.02.21. 19:43:47

Szia Akutyamegamacska!

Ez egy jelszólopó fajta kártevő. Esetleg lehet, hogy ez a fájl az ideiglenes fájlok között van pl. a "C:\Documents and Settings\%username%\Local Settings\Temp\Content.IE5? Próbálj meg egy böngésző cache / átmeneti állományok törlést végrehajtani.

Ha nem sikerül így leszedni, akkor pedig érdemes lenne írnod a support kukac sicontact pont hu címre, vagy felhívni telefonon a supportos srácokat, ők mindenben segítenek, ha kell, akár lépésről lépesre részletesen távvezérelnek, mit kell tenni a mentesítéshez :-)

Lilieth 2009.02.22. 15:37:26

Köszönöm szépen :)

immortalis · http://immortalis.blog.hu/ 2009.02.24. 20:09:45

Szombat egész nap vírust irtottunk a gépemről. Rohadjon meg az összes.