Mai két versenyzőnk közül az első egy állítólagos villanyszámla, melyben közlik velünk, hogy a 2013-es évi villamos energia fogyasztásunk elérte a limitet (ezmiez?), ám ha igény tartanánk kedvezményes energia tarifára, akkor nincs is más dolgunk, minthogy kattintsunk az új, kedvezőbb fizetési feltételeket tartalmazó számlát tartalmazó mellékletre. Itt legalább adtak a látszatra, mert a feladó "Customer Service Department ", persze ennek fényében már kevésbé logikus, hogy akkor a számlát miért is a hxxp://mc-prokill.4fan.cz domainről kellene letölteni ZIP-ben, de never mind, nem kell mindent érteni ;-) Lekapva a fenti állományt és kicsomagolva a zipet, a korábbi kettős fájlkiterjesztést nyomokban idéző, de azt barbár megoldásként abszolváló fájl tárul elénk: "2013.6734766.pdf____________________________________________________________________________________________________________.exe"
Igen, vállalkozókedvűeknek lehet saccolni, hány darab underscore karakter is van ebben a fájlkiterjesztésben, a választ majd ismertetjük a zárszóban, a helyes tippelők között értékes PDF villanyszámlákat sorsolunk ki ;-)
Dobjuk is be gyorsan kedvenc VirusTotalunkba, ahol aztán azonnal látszik, hogy sajnos nem ezen a kedvezményekkel felruházott tételen fogjuk megspórolni a következő C osztályú Mercink árát. A kártevőt szombaton még egyedül csak az ESET detektálta, mostanra viszont már a motorok mintegy fele jelzi, hogy egy jól fejlett trojan downloader próbálkozott ügyeskedni házunk táján, aztán így járt.
Ma számlás napunk van, jön is rögtön a másik, ami pedig egy német nyelvű telefonszáma, mely pedánsan jelzi, hogy valamilyen rejtélyes okból kifolyólag nem a magyar T csoport, hanem a kinti akar tőlünk úgy mindössze potom 398 Eurót beszedni. A levél feladója a Telekom Deutschland GmbH, akivel jó esetben nem is vagyunk üzleti kapcsolatban. A "Guten tag" kezdetű levelükben egyrészt tájékoztatnak arról, hogy ezt az állítólagos 2014. januári számlát bátran kifizethetjük, hiszen létezik az egységes Euró övezet, másrészt itt is gálánsan mellékelik a számlát, amely rejtélyes módon a "hxxp://alishkasuper.ru/telekom_deutschland/" webhelyre mutat. Ide látogatva kapunk egy index.html állományt, ami valójában egy ZIP, benne egy kacifántosan szép nevű "Mitteilung, Rechnungsruckstande 9901169820005294 Telekom Deutschland GmbH vom Januar 2014.exe" fájlt találunk.
Itt a levél alatt az ügyfélszolgálati vezető, a felügyelő bizottság, és a teljes menedzsment tagság neve ott sorakozik, nyilván amiatt, hogy ezek láttán biztos többen fizetik be a 398 eurót ;-) A készítők vették a fáradságot, és lekoppintották az eredeti oldalról a vezetőség névsorát, amelyben ott van egy igazi van Damme is, aki persze egy másik, és nagy valószínűséggel aligha spárgázik a Volvo kamionok visszapillantó tükrein két T csoportos telefonszámla kontírozása között. Érdekes bizalomépítő trükk, hogy egy létező antivírus ellenőrzési igazolását is ott lehet olvasni a levél alsó sorában, de mi ennek sem dőlünk most be.
Dolgozzanak csak a víruskeresők, ezért itt is bepottyantjuk a "számlát" a VirusTotalba, aminek meg is lesz az eredménye. Szombaton még itt is csak 10 motor detektálta ezt a trójait, a mai hétfőre azonban jelentősen felzárkózott a mezőny, és immáron 29-en is észlelték a 48 közül.
Összegezve, kezeljük óvatosan a kéretlen leveleket, még ha számlás linket vagy mellékletet is tartalmaznak, és olvasás előtt gondosan töröljük ki őket ;-) Másfelől pedig vegyük észre azt is, korántsem biztos, hogy minden spam csak veszélytelen kanadai gyógyszerész oldalakra vezet, mert igen sokszor találhatunk kártevőt is a linkek végén, vagy a csatolt mellékletekben, vagyis tényleg nem árt az óvatosság.
(A helyes válasz: 108 darab aláhúzás karakter :-)
