Capita spesso di ricevere mail contenenti allegati, e sappiamo che alcuni di questi messaggi possono essere trappole con allegati infetti. Ma come facciamo a saperlo con certezza? Magari stiamo davvero aspettando un pacco o un biglietto per un concerto.
Esempio pratico: una persona mi ha segnalato di aver ricevuto una mail intitolata “***Important Please Read***” e con questo testo:
Thanks
Your invoice is attached. Please remit payment at your earliest convenience.
Thank you for your business – we appreciate it very much.
In coda alla mail c’è un link dal nome apparentemente rassicurante, che inizia con nam02.safelinks.protection.outlook.com.
Cliccando sul link, Outlook avvisa che il link è pericoloso:
Ma in questi casi viene sempre il dubbio che ci sia davvero una fattura da pagare. Come si fa a controllare senza rischiare di infettarsi? Si può usare Browserling.com, un sito che vi offre gratuitamente un computer sacrificabile.
Su questo computer potete scegliere di avere quasi tutte le versioni di Windows, da XP fino a Windows 10, e molte versioni di Android; potete selezionare un browser a scelta fra Internet Explorer, Chrome, Firefox, Opera e Safari, e visitare qualunque sito o link in tutta sicurezza con quel computer.
Sullo schermo del vostro computer apparirà il risultato della visita. Il servizio gratuito dura soltanto tre minuti, ma è un tempo sufficiente per fare questo genere di test su link e allegati sospetti senza correre pericoli. Allo scadere di questo tempo il computer verrà azzerato e riportato al suo stato iniziale, per cui potete usarlo per fare tutti gli esperimenti che volete (sconsiglio, però, di immettere password o altri dati sensibili; non si sa mai).
Uso quindi Browserling per visitare il link della mail sospetta usando Windows 7 e Internet Explorer 11:
Ottengo di nuovo un avviso di Outlook, e quando clicco sul link mi viene proposto di scaricare un documento Word. Molti utenti non sanno che i documenti Word possono essere infettanti e quindi si fidano: è una trappola molto efficace.
Lo posso scaricare sulla macchina virtuale e poi da lì darlo in pasto a Virustotal.com:
Ecco il risultato della diagnosi di Virustotal: si tratta di un malware nuovo, al momento rilevato solo da alcuni antivirus.
Virustotal mi fornisce anche informazioni sulla natura di questo malware, basato sulle macro di Word:
Ho insomma accertato che la mail è truffaldina senza correre alcun rischio: il computer virtuale sul quale ho svolto la verifica verrà azzerato e quindi non c’è pericolo che si infetti.
Giusto per curiosità e completezza, ho provato ad aprire il documento Word su una macchina Linux, che come tale non è infettabile da questo malware:
Astuto: il testo del documento Word è coperto da un riquadro che chiede all’utente di abilitare i contenuti (in altre parole, abilitare le macro) e quindi rendersi vulnerabile. Ma anche no.
Se ricevete un documento Word che fa richieste di questo genere, cancellatelo: è quasi sicuramente un malware. Se per caso vi arriva da una fonte che conoscete, chiamate quella fonte e chiedetele se è vero che ha mandato questo documento e soprattutto perché mai si ostina a usare le macro di Word, che sono uno dei veicoli di infezione preferiti dai criminali informatici.
