Ένα email που ισχυρίζεται ότι είναι από την Αυστραλιανή εταιρεία τηλεπικοινωνιών Telstra, προτρέπει τον παραλήπτη να ανοίξει ένα συνημμένο κακόβουλο αρχείο που υποτίθεται ότι περιέχει λεπτομέρειες σχετικά με την ακύρωση παραγγελίας τους.
Ακόμη και κάποιος που δεν έχει ένα επιχειρηματικό σχέδιο ευρυζωνικότητας με Telstra θα μπορούσε πιθανότατα να μπει στον πειρασμό να ρίξει μια ματιά στο έγγραφο, το οποίο είναι στην πραγματικότητα ένα PIF (Program Information File) αρχείο που μεταμφιέζεται ως έγγραφο PDF.
Οι cybercrooks χρησιμοποίησαν την κλασική μέθοδο της διπλής επέκτασης για να αποκρύψουν τον πραγματικό τύπο του αρχείου δίνοντας στο αρχείο ένα όνομα αρκετά μεγάλο ώστε να φαίνεται μόνο η πρώτη επέκταση, PDF.
Ένα αρχείο PIF δεν περιέχει εκτελέσιμο κώδικα, αλλά τα Windows εκτελούν το αρχείο ανάλογα με το περιεχόμενο που έχει αποθηκευμένο. Ως εκ τούτου, εάν υπάρχει κάτι να εκτελεστεί, το λειτουργικό σύστημα θα το τρέξει.
Αυτό το είδος των δεδομένων έχει συνδεθεί ιστορικά με κακόβουλο λογισμικό, αλλά πλέον δεν χρησιμοποιείται συχνά. Ίσως αυτό να σημαίνει ότι μια επιστροφή είναι σε εξέλιξη.
Σύμφωνα με Hoax-Slayer, το πλήρες όνομα του κακόβουλου στοιχείου είναι “PDF_copy_of_your_order_form.pdf.pif”, αλλά επειδή η προεπιλεγμένη ρύθμιση παραμέτρων των Windows είναι να αποκρύπτεται η επέκταση, η επέκταση PIF δεν είναι ορατή στον ενσωματωμένο διαχειριστή αρχείων, καθιστώντας το αρχείο να εμφανίζεται σε μορφή PDF.
Το e-mail φαίνεται να έχει δημιουργηθεί με προσοχή, καθώς οι απατεώνες περιέλαβαν σε αυτό στοιχεία που συμβάλλουν στο να το κάνουν να φαίνεται ως αυθεντική ανακοίνωση της Telstra. Το e-mail παρέχει έναν αριθμό αναφοράς και ενημερώνει τον παραλήπτη ότι το μήνυμα εστάλη αυτομάτως και ως εκ τούτου δεν θα πρέπει να απαντήσουν.
“Αυτό το ηλεκτρονικό μήνυμα δημιουργείται αυτόματα για σκοπούς γνωστοποίησης και μόνο και δεν θα πρέπει να απαντηθεί”, το μήνυμα αναφέρει, προσθέτοντας ότι η αίτηση για την ακύρωση της εγγραφής εστάλη στο τμήμα Business Broadband Provisioning για επεξεργασία.
“Αν έχετε οποιαδήποτε απορία σχετικά με την παραγγελία σας, παρακαλούμε μην απαντήσετε σε αυτό το αυτοματοποιημένο μήνυμα. Ο αριθμός αναφοράς σας στην Telstra είναι (TRN) 5827653248”, αναφέρεται στο μήνυμα.
Βασικά, δεν δίνεται στον παραλήπτη η πραγματική δυνατότητα να επικοινωνήσει με την Telstra και δημιουργείται μόνο η ψευδαίσθηση ότι αυτό μπορεί να γίνει με την επισύναψη του αριθμού αναφοράς. Δεδομένου ότι είναι πιο εύκολο να για τους χρήστες να ανοίξουν το αρχείο στο συνημμένο και να επαληθεύσει τις πληροφορίες που περιέχει, πολλοί χρήστες θα επιλέξουν αυτή την ενέργεια, θέτοντας έτσι σε κίνδυνο τους υπολογιστές τους.
