Posts Tagged ‘phishing’

Meno Spam non equivale a meno vittime: questo secondo il McAfee Spam report di giugno, che è stato recentemente annunciato. Il report evidenzia inoltre che:

- Lo spam su Obama – dopo aver raggiunto livelli record – è calato del 90% immediatamente dopo il suo insediamento
- Spam più diffuso del mese: influenza suina. Lo spam che ha preso spunto dall’influenza A/H1N1 ha inciso per il 3% sul livello globale di spam nel mese di maggio – con un balzo da zero a oltre 5 miliardi di messaggi al giorno in soli sei giorni
- Il picco annuale di spam è in ritardo. Il consueto picco di marzo non si è infatti presentato. Tra l’1 e l’8 aprile i volumi globali di spam sono quasi raddoppiati passando da un periodo di tre mesi di livello basso a quattro mesi di livello elevato
- Spam ha fatto suo il “meglio” del phishing: sfruttamento del brand, immagini e argomenti tratti dai titoli
- Il volume dello spam ha raggiunto una media del 9% dallo scorso maggio – riportando i valori a prima della chiusura di McColo

“Un avviso per gli utenti: potete vedere meno messaggi di spam nella vostra casella di posta, perché i filtri anti-spam sono migliorati, ma non dovete abbassare la guardia,” ha dichiarato Adam Wosotowsky dei McAfee Avert Labs. “Molte persone sono state vittime di intelligenti azioni di Spam che hanno sfruttato brand conosciuti per indurre gli utenti a divulgare informazioni riservate o ad esporre i propri PC ad attacchi.”

Il report inoltre rivela che gli spammer devono considerare se indirizzare email di dimensioni maggiori a pochi destinatari (con una probabilità di successo inferiore), o grandi quantità di email di dimensioni minori (con una percentuale di successo maggiore).

Il report è disponibile per il download a questo indirizzo: http://resources.mcafee.com/content/AvertSpamReportQ209.

I virus, lo sappiamo bene, possono arrivare anche da mail che sembrano insospettabili ma che in realtà contengono dei veri e propri pericoli per la sicurezza del nostro sistema operativo, dei nostri dati e soprattutto del nostro conto in banca. L’ultima mail di phishing in circolazione in maniera molto massiccia sembra essere quella che riporta un link al sito della televisione americana CNN.

Una volta cliccato sul collegamento verrà chiesto di installare un aggiornamento per Adobe Flash Player. In realtà quello che si installerà è, nemmeno a dirlo, un bel trojan che si preoccuperà di captare le vostre informazioni sensibili sulle transazioni che effettuate online sul vostro conto corrente e di rubare, naturalmente, i vostri dati riservati per l’accesso ai servizi della banca.

Come al solito, per evitare questi pericoli, basta prestare molta attenzione a non aprire i messaggi di posta elettronica che non avete richiesto o che sembrano sospetti.

Si spaccia come un amico virtuale del celebre sito, vi invia una mail, voi seguite le indicazioni e il gioco è fatto: Koobface entra nel vostro computer tentando di avere i vostri dati personali.

E’ questo l’allarme che circola in rete da qualche tempo e rappresenta un vero e proprio pericolo in quanto, presentandosi come un amico, ovvero come un utente dello stesso social network che vi vuole invitare a far parte del suo ristretto gruppo, l’ignara vittima tente maggiormente a fidarsi; fiducia aumentata dal fatto che solo chi è iscritto al sito Internet in questione può spedire inviti ed e-mail in generale agli altri utenti.

L’e-mail invita ad aprire una pagina contenente un video (ovviamente, per essere più allettante, la mail spesso afferma che tale video riguarda anche la “vittima”); tale video, però, necessita di un aggiornamento di un file di Adobe Flash per essere visualizzato. E qui scatta la trappola: il file non sarà un aggiornamento del noto programma di visualizzazione ma il virus stesso che si insinua nel PC, modifica le pagine di ricerca del browser WEB in modo da carpire informazioni private come i dati di accesso ai conti bancari: un vero e proprio attacco di phishing.

In questi giorni sono stati assestati due fendenti al mondo dello spam che, anche se non lo hanno eliminato, lo hanno decisamente ferito. Ferite che si accumulano a due altre piaghe: la chiusura di HerbalKing e Intercage.

Il primo riguarda la chiusura dell’ISP McColo che, a dire dei ricercatori che hanno co-partercipato alla sua chiusura, era una vera e propria fucina delle mail spammatorie e della pedopornografia.

Il tutto si deve al blog Security Fix, di proprietà del Washington Post, e di altri ricercatori di sicurezza che per mesi e settimane hanno raccolto indizi, prove e tutto quello che poteva essere utile agli investigatori per tagliare i fili al SSP (spam service provider). Dati comunicati alle due aziende che assicuravano la connettitività a McColo, le società Global Crossing e Hurricane Electric.

Le due aziende hanno immediatamente risposto, ma mentre Global Crossing si è limitata a parlare di cooperazione con i ricercatori, senza andare oltre, Hurricane Eletric è stata ben più virtuosa. Poco tempo dopo aver ricevuto la comunicazione aveva già staccato tutti i fili e i rapporti con McColo, buttando la società fuori dalle rete e lontano dalle caselle mail di utenti e aziende.

“Li abbiamo disconnessi” ha affermato Benny Ng, direttore marketing di Hurricane Eletric. “Abbiamo dato un’occhiata e dopo aver constatato la portata del problema, abbiamo detto ‘Santo cielo!’ ed entro un’ora avevamo chiuso ogni connessione con loro”.

Che Global Crossing non abbia fatto o non faccia nulla, poco cambia. Il sito di McColo non è più raggiungibile, portando ad un drastico calo stimato nel 75% dello spam, in particolare di viagra e prodotti dello stesso settore destinati ai maschi. In calo anche i file inerenti la pornografia infantile, da sempre brutta icona del mondo di internet.

Il secondo successo è opera di ICANN (Internet Corporation for Assigned Names and Numbers), ente no-profit che gestisce diversi aspetti della grande rete, il quale ha deciso per le maniere forti contro chi spamma o, peggio, diffonde mail di phishing o appoggia in maniera più o meno velata il cybercrimine o tutte e tre le cose messe assieme.

Così il 24 novembre EstDomains perderà la sua qualifica di ISP e di register nel mondo di Internet a causa dei suoi collegamenti con il cybercrimine. Collegamenti certi, a dire di ICANN, stabiliti dalla recente condanna del suo presidente, Vladimir Tsastsin, per frode e riciclaggio di denaro sporco. La decisione, però, non è stata ben accolta dal sito, che ha provato a ribaltarla con un appello dove si puntualizzava che la condanna non è definitiva, ma non è servito a nulla e il tutto è diventato definitivo.

A poco sono servite le esternazioni di Konstantin Poltev, a difesa della società di cui fa parte, ovvero che “noi non offriamo un servizio per spammer/phisher e quant’altro, e non lo abbiamo mai fatto”. A condannarla sono stati anche i rapporti di EstHost, società controllata, con il provider Intercage, nonostante siano immediatamente terminati i contatti in seguito alla chisura del Rogue ISP.

Ora non resta che trovare un nuovo hoster per i circa 280mila domini gestiti dalla società EstDomains, ma i volontari mancano, considerato che nella maggior parte dei casi si tratta di pagine web collegate alla malavita o altri soggetti non proprio rassicuranti e mantenerli online potrebbe costare la stessa punizione.

Gli evidenti risultati non devono far calare l’attenzione sul fenomeno spam, sia perché il quantitativo in circolazione è ancora elevatissimo, sia perché non ci vorrà molto affinché un nuovo rogue-ISP prenda il posto di McColo o EstDomains. E si parla addirittura di giorni o di ore.

Povera Microsoft, dopo il solito patch-day del mese si ritrova con un altro guaio. Una serie di mail sta circolando in Internet, contengono un messaggio apparentemente proveniente dall’azienda di Redmond.

Forse approfittando del recente rilascio delle patch, ignoti hanno deciso di approfittarne inviando le mail con allegato il Trojan.Backdoor.Haxdoor che si occupa di aprire alcune porte per ricevere istruzioni e rubare le password. A rendere ancora meno visibile la minaccia è la presenza di un falso certificato PGP che attesta, apparentemente, la non pericolosità della mail, che pare provenire da un dipendente Microsoft.

Christopher Budd, adetto alla sicurezza di Microsoft riporta, sul blog di technet, le informazioni in suo possesso.

“Abbiamo ricevuto domande di vari clienti per un e-mail di sicurezza apparentemente proveniente da Microsoft. L’email ha allegato un file eseguibile che viene descritto come l’ultima patch per i sistemi Microsoft e si invita ad eseguirlo”

e aggiunge

“Le mail che riportano falsi di Microsoft non sono nuove (abbiamo notato questo problema da diversi anni) questo in particolare però è leggermente differente perché pare sia inviata da Steve Lipner”.

“Rispetto ai recenti attacchi di malware contro scuole e tramite false notizie della CNN che sfruttavano vulnerabilità dei client di posta, questo tentativo avrà minore probabilità di successo”

assicura Dancho Danchev, sul sito ZDnet’s zero day.

Ennesimo caso di phising riguardante le Poste Italiane.

Una nuova mail ci invita ad inserire i nostri dati sulla carta postepay! È la solita truffa.

Il phising sembra uno dei pochi business che non entra mai in crisi.
Ecco cosa è arrivato nella mia casella mail recentemente:

In un italiano tutt’altro che stentato ma con qualche errore dato dalla fretta, probabilmente, una mail proveniente apparentemente da poste italiane ci invita a correggere i nostri dati; pena una denuncia penale.
Notiamo come gli articoli citati non si riferiscono alle norme citate nella mail.
Se si clicca sul sito indicato, che apparentemente sembra ricondurre al sito originale in realtà si viene condotti all’indirizzo

http:// www. ****i. sarnet.pl/ themes/ secured/ bancoposta.online.it/bpol/cartepr/ (parzialmente cancellato)

Questo è il sito civetta che appare:

che è molto simile al sito originale

Nulla può farci capire apparentemente di essere caduti in una trappola.
Ma già la non corrispondenza tra l’indirizzo internet scritto della mail e quello che compare nella barra degli indirizzi del browser è un indizio.
Inoltre il protocollo httpS non è usato e di conseguenza manca anche il famoso lucchetto è una prova inconfutabile della truffa.
Ma anche i sistemi di protezione anti-phishing svolgono il loro dovere.
Infatti il browser Firefox segnala il pericolo:

Come Internet explorer 7

Anche il pratico programma Site Advisor sviluppato da McAffe reindirizza automaticamente l’utente ad una pagina che avvisa del pericolo:

Inoltre anche la pratica estensione (di cui purtroppo è stato interrotto lo sviluppo), Spoofstick, segnala il vero indirizzo “madre” del sito smascherando l’imbroglio.

Ricordate: NESSUN istituo di credito (come le Poste) vi inviterà ad inserire dati sensibili tramite mail e in un link inviato tramite mail.

Al momento in cui viene scritto l’articolo il sito di phishing citato è off-line.

Duemila clienti col conto in rosso, come dice Repubblica nelle pagine romane? Par proprio di sì.
Dalle Poste ci assicurano che se ne sono occupati, che alla stampa i comunicati giusti sono stati fatti, che sul sito si trovano ampie informazioni e perfino un video. Questo è il link alla campagna informativa. Ma forse bisognerebbe farsi sentire di più, perché l’assalto del phishing, dei truffatori che agiscono per via di posta elettronica è ormai quotidiano, numeroso, assillante. Nella mia mailbox nell’ultima settimana, almeno venti messaggi.

La notizia non è certo un inedito. La cosa va avanti da settimane. Sono testi per lo più mal tradotti o tradotti con i motori di ricerca con effetti a volte comici – in uno di questi la “è” accentata è regolarmente sostituita dalla “i” dell’alfabeto cirillico, tanto per fare un esempio. In tutti i messaggi si chiede al destinatario di fornire i propri dati anagrafici o i proprio codici di accesso al servizio Bancoposta.

Per cascarci bisogna essere proprio distratti o proprio inesperti. Anche perché nessuna banca e nessun istituto serio si sognerebbe mai di chiedere via mail (o al telefono, se è per questo) i dati personali di un cliente, e Poste segue la stessa regola. E’ anche vero che truffe del genere sono state provate a danno di un po’ tutti gli istituti di credito e regolarmente i giornali ne hanno parlato. Eppure…

Eppure c’è una sorta di legge dei grandi numeri sui quali queste organizzazioni criminali lavorano. Prendi un parco utenti di un milione di persone, manda tante mail a tutti, che non costano niente, perché sono mandate con software che fanno proprio questo, e tradotti dai motori di ricerca. Quanti saranno i distratti? Lo 0,2, lo 0,1 per cento? Qualcuno ci sarà, e il guadagno sarà assicurato. E se poi si arriva a quota 2 mila… Poi i malviventi passeranno al prossimo sito e al prossimo milione di clienti.
Sul sito poste.it c’è un bel cartello che recita: “difendersi dal phishing”. Lodevole per l’attenzione al problema. Ma questo genere di comunicazione, tutta incentrata sul sito, presume che chi riceve quel messaggio sia stato sul sito e abbia visto la campagna. Ma, s’ è detto, le potenziali vittime sono gli utenti più distratti e forse meno assidui. Insomma un rischio, anche se minimo, c’è.

E forse c’è anche un problema di efficacia della comunicazione. Bisogna avvertire dei pericoli, sempre, laddove la truffa conquista la mente della vittima, non dove poi la truffa si perfezionerà: la vittima potrebbe non sapere cos’è il “phishing”, termine di gergo tecnologico, che un essere umano può ignorare. E poi, attenzione: i motori di ricerca cominciano a tradurre sempre meglio, sono lontani i tempi dei “pali del papa” e del “Cliccasi qui per applicare” (”clicchi qui per fare domanda”).
Beh, noi qui abbiamo messo il nostro granello di informazione perche duemila poi non sono così pochi.

Un esempio:

Ne ho ricevuto uno che testimonia della duttilità di queste persone. Hanno scritto un messaggio che parla proprio dei casi di truffa, pregando gli utenti di andare a verificare. Ma si tradiscono sulle accentate, su un “Utente caro” all’inizio e “Considerazioni migliori” come saluto finale.

Ecco il testo

Cliente caro,

Considerazioni migliori,
Il reparto sicurezza

Quindi concludo con le solite raccomandazioni: mai dare informazioni personali, di conto online o di qualsiasi altro genere, quando a chiederlo sono delle mail di presunti istituti di credito. Nel dubbio, cercate maggiori informazioni, al telefono o tramite internet, direttamente al centro sicurezza dell’istituto di credito che vi chiede i vostri dati, e soprattutto non cliccate mai sul link posto nella mail, ma piuttosto riscrivete l’indirizzo voi stessi sul vostro browser.

Fino a qualche mese fa eravamo rimasti colpiti dalla furbizia di alcuni malintenzionati, che erano riusciti, spacciandosi per avvocati, a inviare delle mail facendo credere che eravamo in torto nel pagamento di qualcosa, o che ci invitavano a interrompere l’invio di fantomatiche e-mail di spam che mai ci eravamo sognati di inviare.
Timorosi di un possibile avvio di una causa legale, eravamo portati in oscure pagine internet dalle quali si scaricavano facilmente infidi virus o dialer di ogni tipo.
Il fenomeno delle mail dell’avvocato sembrava essere passato in secondo piano, ma adesso è tornato a colpire ancora.
Stavolta si tratta di un misterioso avvocato Ubaldo Santarelli che, secondo l’e-mail, aspetterebbe 900 euro dal nostro portafoglio.
Ecco il testo completo della mail:

Egregio Signore/a
Come da Raccomandata a.r.
Oggetto: Messa in mora del debitore ex art. 1219 c.c.
La mia assistita mi informa che a tutt’oggi risulta un credito nei Vostri confronti dicomplessivi €. 900,00, come risulta dalla documentazione allegata.
Per quanto precede Vi rendo noto che, in difetto di ricezione, entro e non oltre dieci giorni dal ricevimento della presente, del complessivo importo di €. 900,00 oltre gli interessi dal dovuto al saldo di € 670,00, agirò legalmente nei Vostri confronti, con sensibile aggravio di spese.
Rimango in attesa di un Vostro riscontro in merito – nel termine di cui sopra – e distintamente Vi saluto.
Avv. Ubaldo Santarelli

All’interno della lettera fa la sua bella vista un link verso un sito internet, che dovrebbe mostrarci la copia del documento della messa in mora. Cliccandoci su, invece, l’unica cosa che faremo è quella di scaricare un trojan.hijacker dalle dimensioni di 32.512 bytes.
Questo pericoloso malware, appena scaricato, dirotta l’home page di Internet Explorer nell’indirizzo google.bz, e aggiunge un elenco di siti pericolosi (coppieesibizioniste.biz, gooogle.bz, my-securedoc.com, mysessoblog.com, mycreditoweb.com, phishnigfix.biz, preferiti-windows.com, ricercadoppia.com, qoogler.com) nella lista dei siti attendibili del browser.

Inoltre crea due file

C:\WINDOWS\system32\winsvc\svc\google.exe e C:\WINDOWS\gratis.pbk (che servirà da dialer) e manomette il registro con la seguente chiave: HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

Per finire, crea due icone nel desktop e nel menu avvio, che presentano l’icona del browser Internet Explorer, dal nome Explorer.lnk e Internet.lnk.

Per eliminare il trojan, utilizzate il tool scaricabile da http://www.prevx.com/
oppure seguite questa procedura:

Andate nel registro di sistema (start -> esegui -> “regedit”) e cancellate la chiave di registro HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

Riavviate il computer, cercate il file C:\WINDOWS\system32\winsvc\svc\google.exe ed eliminatelo. Cancellate i file con la falsa icona di Internet Explorer nel desktop e nei programmi, andiamo in Risorse del computer ed eliminate il file di nome “connessione veloce”.
Infine apriamo Internet Explorer, andiamo nel menu strumenti, e modifichiamo l’indirizzo dell’home page (che è ancora google.bz). Poi cancelliamo i siti sopra riportati dall’elenco dei siti attendibili.

Un giorno controllate la vostra casella mail e vi accorgete che tra le solite mail ce n’é anche una della vostra banca. Cosa sarà mai? Cominciate a leggere: vi dicono che i dati riguardanti i pagamenti online, (eBay, PayPal) potrebbero essere stati smarriti, e vi chiedono di recarvi all’indirizzo internet inserito nella mail per confermarli. Voi lo fate e dopo qualche giorno la vostra banca vi chiama e vi dice che il vostro conto è in “rosso”. Che la banca sia diventata matta? No, siete caduti nella trappola del phishing, la mail che vi è arrivata era un falso e il truffatore che ve l’ha mandata se l’è spassata per qualche giorno con i vostri soldi.

Come difendersi
Non esiste un programma specifico per difendersi. L’unica arma è il buon senso. A prima vista il messaggio che vi arriva non presenta nessuna stranezza, però leggendolo bene si può notare che la mail è particolarmente sgrammaticata, casomai una telefonata informativa alla vostra banca chiarirà tutto. Ricordatevi però che nessun servizio vi chiederà mai un controllo dei dati attraverso internet.

L’indirizzo internet non dovrebbe tradire l’autore?
Nella maggior parte dei casi sì, basta osservare il collegamento e capire se è un link sicuro, per capirlo basta osservarne l’inizio: un collegamento sicuro comincia così: https… la vostra sicurezza sta in quella s dopo http. Ricordate però che gli hacker più bravi sanno mascherare il link.

Cosa dobbiamo fare se abbiamo abboccato?
Qui il motto è “essere tempestivi”: prima avvertiamo la banca, prima riusciremo a fermare “l’emorragia finanziaria”.

Buona Fortuna