Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/01/21 21:55.

Se ricevete una mail come quella qui accanto, apparentemente proveniente dalla Polizia Federale svizzera, come sta succedendo da qualche giorno a molti utenti che hanno un indirizzo di e-mail .ch, cestinatela senza cliccare sui suoi link: è una trappola.

Anche se il suo testo in tedesco parla di un procedimento legale al quale bisogna replicare entro quindici giorni, si tratta infatti di una messinscena architettata da truffatori: la polizia non c’entra nulla (lo si nota dall’indirizzo del mittente, che non è delle autorità svizzere) e anzi ha messo in guardia gli utenti attraverso i media.

Chi la cestina senza cliccare sui suoi link non dovrebbe correre rischi: chi invece cade nella trappola e clicca sui link viene portato, secondo quanto riferisce la Polizia Cantonale, a una pagina Web nella quale, se si immette il numero di riferimento riportato nel messaggio “si scarica, molto probabilmente, un programma malevolo”.

Nel campione che ho esaminato io, i link portavano a un sito russo (lider07.ru) che al momento in cui scrivo effettua un redirect alla pagina di login di Google che non sembra particolarmente ostile (non è una finta pagina di login, fra l’altro). Può darsi che il redirect sia stato impostato da qualcuno per neutralizzare la campagna di e-mail truffaldine, o che nella pagina di login di Google ci sia del codice ostile in più: in ogni caso è meglio lasciar perdere cestinando il messaggio.

Nel frattempo ho segnalato a Netcraft il link contenuto nella mail truffaldina, per cui chi usa la barra anti-phishing di Netcraft verrà allertato se per caso clicca sui link.


Fonti: Giornale del Popolo, RSI, Tio.ch, TicinoNews.

L'articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/12/12 13:40.

Se usate la Xbox o comunque i servizi di Xboxlive.com, occhio ai tentativi di furto di password: Microsoft ha segnalato che è stata resa pubblica per errore una serie di chiavi di sicurezza private relative a un certificato digitale per Xbox Live. Un aggressore può usare queste chiavi per simulare di essere il sito Xboxlive.com e intercettare i dati riservati dell’utente Xbox e carpirgli nome utente e password.

Microsoft non è al corrente di attacchi in corso che sfruttino questo errore, ma ha comunque revocato il certificato digitale falsificabile: gli utenti di Windows 8, 8.1, RT, RT 8.1, Server 2012, Server 2012 R2, Windows 10 e di Windows Phone 8, 8.1, e 10 Mobile riceveranno automaticamente l’aggiornamento della lista dei certificati digitali affidabili, con la relativa revoca di quello non più attendibile.

Anche chi usa ancora Windows Vista, Windows 7, Windows Server 2008 (o 2008 R2) e usa l’aggiornamento automatico della lista di certificati fidati (Certificate Trust List) riceverà automaticamente l’aggiornamento. Chi adopera altre versioni di Windows, invece, resterà vulnerabile se non passa a una versione più recente.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “luigipoll*” e “carlo.fr*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Su molte delle mie caselle di mail è arrivato questo messaggio, apparentemente proveniente da servizio.clienti@telecomitalia.it, che m’invita ad accedere al servizio per ottenere un rimborso di 110 euro. Il messaggio è una trappola: non seguite le sue istruzioni.

È un classico tentativo di furto dei codici delle carte di credito: lo segnalo perché è fatto meglio della media (poche sgrammaticature, loghi credibili, mittente apparente molto credibile) e perché ha superato ripetutamente i miei filtri antispam, cosa piuttosto insolita.

Il pulsante Accedi al servizio porta a questa schermata, che in realtà è ospitata presso it-10.com e non presso Tim.it:

Ovviamente lo scopo è quello di convincere l’utente a immettere password di Tim.it e dati della carta di credito, che finiranno così nelle mani dei criminali. Ho pensato di fornire un po' di quelli di un mio caro collega, il noto giurista immaginario Massimo Della Pena. Anche qui la schermata di Tim.it è imitata piuttosto bene: c'è anche il controllo sulla coerenza del codice fiscale. L'unica nota stonata è quel Dati di client, che però può anche sfuggire per l’emozione di ricevere un (inesistente) rimborso. Ho già segnalato il caso a Netcraft e a Google.

Mi raccomando, occhio a non farvi allettare da chi vi promette qualcosa di goloso: non fidatevi dell’indirizzo del mittente (come vedete qui sopra, si può falsificare), controllate sempre che nella barra dell'indirizzo ci sia il nome corretto del sito insieme all'icona del lucchetto chiuso che autentica il sito. Se ricevete questa mail, cestinatela: se non avete immesso dati, non correte alcun rischio.

Molti pensano che gli attacchi informatici siano frutto di chissà quali astuzie, ma in realtà gran parte delle incursioni ha successo per via dell'impreparazione delle vittime anche nei confronti delle tecniche d'attacco più banali e classiche.

Un rapporto dell'operatore cellulare statunitense Verizon, intitolato Data Breach Investigations Report, ha analizzato con l'aiuto di esperti del settore ben 80.000 incidenti di sicurezza e 2000 intrusioni in vari paesi del mondo. Fra i tanti dati presentati dal rapporto spicca il numero di attacchi basati sul phishing (l'invio di mail false che simulano mittenti attendibili e includono allegati ostili o link a siti che imitano le pagine d'immissione password dei siti più diffusi): i due terzi dei casi di spionaggio informatico è riconducibile a questa tecnica elementare.

Infatti un'analisi di 150.000 mail di phishing ha indicato che il 23% dei destinatari apre questi messaggi-trappola e l'11% apre anche gli allegati. Il tasso d'ingenuità è insomma inquietante, specialmente in ambienti di lavoro e di governo che trattano dati sensibili e informazioni vitali.

Non solo: in media, dal momento in cui viene inviata una bordata di messaggi-trappola al momento in cui la prima vittima abbocca passano ottantadue secondi, e il 50% delle vittime apre gli allegati o clicca sui link-trappola in meno di un'ora, ossia prima che i responsabili dei sistemi informatici possano intervenire sul problema.

L'unico modo per contenere questo bagno di sangue è educare gli utenti a diffidare dei messaggi che invitano a cliccare su un link o ad aprire un allegato, anche se sembrano provenire da mittenti attendibili. Se sono sgrammaticati o non sono personalizzati, è meglio cestinarli direttamente; un controllo degli allegati con un antivirus aggiornato è sempre consigliabile, e i link vanno esaminati per vedere se portano a siti diversi da quelli dichiarati.

Questo articolo vi arriva grazie alla gentile donazione di “vano.m*” e “grvnoc”.

Poco fa mi è arrivata questa simpatica mail di phishing:

Gli ingredienti sono classici: il mittente falsificato bene (sembra provenire da CartaSi_Informa@cartasi.it), il logo imitato, il testo un po' dilettantesco ma facilmente credibile. Quello che è differente e interessante è il link-trappola: le parole “cliccando qui” infatti linkano un URL del sito del Comune di Borgosatollo (BS). L'URL è questo (che ho spezzato per non influenzare pagerank e non finire nell'elenco dei phisher):

http://www.comune.borgo satollo.bs.it/control panel/uploads/index

Cliccando sul link con un browser sicuro (non fatelo) si viene portati a un altro sito interessante:

http://www.teatrodel canguro.it/public/client uploadfile/beta/cartasii.it

che ospita questa schermata:



Immettendo dati (ovviamente fasulli) nella schermata si viene portati alla classica richiesta dei dati della carta di credito:


Io ho segnalato i due siti a Netcraft affinché diffonda l'allerta phishing e li blocchi. Ci pensate voi ad avvisare i responsabili del Comune di Borgosatollo che si sono fatti bucare il sito e che non è carino che un sito della pubblica amministrazione ospiti dei ladri di carte di credito?

La falsa schermata di login (credit: Symantec)

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Una delle tecniche più diffuse e classiche per rubare le password è il cosiddetto phishing: la vittima riceve una mail, proveniente da un mittente apparentemente credibile, che contiene un invito a cliccare su un link allo scopo di aggiornare i propri dati o recuperare un account bloccato o altre scuse analoghe. Il link porta in realtà a un sito falso, gestito dai ladri di password, che assomiglia visivamente al sito autentico relativo all'account: immettendovi la password, la vittima la regala ai ladri.

La difesa è altrettanto classica: guardare la destinazione del link, per esempio lasciando fermo il puntatore del mouse sopra il link per qualche istante oppure (soluzione meno preferibile) cliccando sul link e guardando se nella barra dell'indirizzo compare un lucchetto chiuso insieme all'indicazione “https” e al nome esatto del sito di cui è stata chiesta la password.

Questo di solito è sufficiente, ma di recente è stato segnalato da Symantec un caso di phishing per il quale questa difesa non basta. Infatti è in circolazione un tentativo di rubare le password degli account Google che arriva, come consueto, sotto forma di una mail proveniente apparentemente da Google e contenente il solito link-trappola, con la differenza che stavolta il link ingannevole porta a Google.

I ladri di password, infatti, hanno creato in Google Drive una pagina che imita l'aspetto della schermata di login di Google, che è quello che l'utente tipicamente si aspetta di vedere. Essendo ospitata su Google, la pagina visualizza il lucchetto chiuso e l'https che solitamente garantiscono l'autenticità del sito visitato. Se l'utente abbocca e immette la propria password, viene poi portato a un documento Google normalissimo, per cui è possibile che non si accorga neanche di essere stato ingannato dai ladri.

Qualunque buon antivirus dovrebbe proteggere contro questo genere di trappola, ma è meglio comunque essere vigili:

1. Diffidate sempre delle mail che vi chiedono di cliccare su un link per accedere a un account per qualunque ragione e usano un testo molto generico.
2. Se le ricevete, cestinatele senza pietà.
3. Se volete essere sicuri di non aver cestinato un messaggio autentico, accedete manualmente al sito citato nella mail (digitandone il nome o cliccando sui Preferiti se l'avete incluso fra i Preferiti) per vedere se c'è davvero una comunicazione da parte del sito: se non c'è, vi siete appena salvati da un tentativo di furto di password.

Questo articolo vi arriva grazie alla gentile donazione di “nicola.rom*” e alla segnalazione di “kayott*”.

Se siete utenti di Cablecom (provider Internet e TV via cavo svizzero), fate attenzione alle mail che annunciano un rimborso e che invitano a cliccare su un link per ricevere il denaro.

Il link porta a quella che sembra essere una pagina del sito Cablecom che chiede i dati della carta di credito del “beneficiario” del presunto rimborso, ma in realtà risiede altrove (presso Til-nets.com) ed è presumibilmente controllata dai truffatori che stanno inviando le mail.

Questo è un campione delle mail in questione (scam):

Sehr geehrter Kunde,

Nach den neuesten Berechnungen des Einkommens Steuern, haben wir festgestellt, dass Sie Anspruch auf eine
Rückerstattung von uns für einen Betrag von 165.00 CHF zu erhalten sind.

Was sind die Schritte, um für mein Rückerstattung folgen?

Eine Rückerstattung kann aus verschiedenen Gründen verzögert werden. Zum Beispiel die Vorlage ungültige
Datensätze oder die Anwendung nach Ablauf der Frist.

Wir bitten Sie, Ihre Bankdaten aktualisieren, so dass ihre Rückerstattung so bald wie möglich gemacht werden,
und Sie erlauben uns 3 Arbeistage, um Ihre Situation zu verarbeiten.

Ich schaue mir die Schritte zu folgen >>

Aus Gründen der Sicherheit und der Privatsphäre, ist dieser Link zur Einzelnutzung und einer Dauer von 48 Stunden.

Vielen Dank und akzeptieren Sie bitte, Frau, Herr, Mit freundlichen Grüssen.

Una volta immessi i dati nel sito fasullo, la vittima viene portata al sito vero di Cablecom, col rischio di non accorgersi neppure di aver dato i propri codici a un truffatore.

Ho già segnalato a Netcraft il sito di phishing. Se ricevete questo genere di mail, cancellatela senza seguire eventuali link contenuti nel messaggio.

Mi sto chiedendo se potrebbe valere la pena di saturare il sito di phishing immettendogli dati fasulli ma credibili. Avrebbe il vantaggio di annacquare il database dei criminali. Qualcuno ha voglia di scrivere un'app o qualcosa del genere per automatizzare il processo?

Questo articolo vi arriva grazie alla gentile donazione di “botte32” e “diegoca*” ed è stato aggiornato dopo la pubblicazione iniziale.

Se ci sono in giro tante truffe, in parte è colpa dei responsabili dei siti regolari che non vigilano sulla propria sicurezza. Un lettore, Marco P., mi segnala il caso di due siti, Atelierlazzaro.com (italiano) e Sparkmotorsports.com (di Singapore), che ospitano un attacco probabilmente senza saperlo.

L'attacco inizia con una mail come questa: una mail apparentemente proveniente da un account di servizio Apple (apple-servizzi@apple.it). In realtà si tratta di un semplice account di un utente comune il cui nome è stato scelto per sembrare un account amministrativo. La doppia Z di servizzi dovrebbe essere un indizio rivelatore (insieme alla sgrammaticatura generale del messaggio) che fa capire alla maggior parte degli utenti che si tratta di un account farlocco, ma bisogna tenere presente che questi phishing sono calibrati per prendere di mira gli utenti più sprovveduti: quelli che abboccheranno anche alle fasi successive della trappola.


Se l'utente clicca sull'invito “Clicca qui”, il link lo porta a http://www.atelier [togliere questa parentesi] lazzaro.com/reserved/go.php, che appartiene al sito web di un liutaio italiano, presumibilmente anche lui ignaro di essere stato violato dai truffatori.

Il link del sito del liutaio redirige la vittima su una pagina ospitata (si presume inconsapevolmente) da Sparkmotorsports.com:

http://apple.com-servizzi.spark [togliere questa parentesi] motorsports.com/login/index1.php?command=Botton&Histore=1302cc8a7af8b4ca4c8541e92a92dcb7:


La pagina-trappola effettua un controllo sommario dei contenuti dei campi: esige che quasi tutti i campi siano compilati, ma non verifica la correttezza dei dati immessi, per cui posso inquinare il database dei truffatori con qualche input “personalizzato”.


In caso di dati non corrispondenti a un account Apple esistente, si viene portati a questa pagina:


Ma se i dati immessi sono quelli di un account reale, la vittima regala il controllo del proprio account Apple al truffatore, insieme ai dati della propria carta di credito e ai propri dati anagrafici. Basta che abbocchi qualche persona e il criminale s'è guadagnato la giornata.

Ho allertato il sito del liutaio. Sparkmotorsports.com è chiuso ed è quindi probabilmente inutile allertarlo.

La domanda che mi capita spesso in questi casi è cosa fare: avvisare la polizia? A mio avviso non ne vale la pena ed è poco efficiente. È molto meglio avvisare i siti coinvolti e segnalarli ai servizi di monitoraggio come Netcraft.com o Google (grazie a Luigi Rosa per il link): questo propagherà molto rapidamente la protezione a tutti gli utenti che hanno il buon senso di dotarsi di barre come quella di Netcraft o di DNS che fanno anche blocco degli URL sospetti.

Pronti due podcast del Disinformatico

Come vola il tempo! Domani è già ora di una nuova puntata del Disinformatico radiofonico (alle 11 su ReteTre RSI, ascoltabile anche in diretta in streaming). Intanto segnalo che la puntata del 2 marzo, il cui podcast era rimasto in sospeso, adesso è disponibile qui. Gli argomenti sono questi:

• Facebook accusata di leggere gli SMS degli utenti
• Avvisi targati SUISA (la SIAE svizzera) che bloccano i computer e chiedono soldi
• Archivi di Twitter cercabili per due anni dalle aziende
• Copie dei tweet che non spariscono
• App per iPhone che possono rubare le foto.

La puntata del 9 marzo è invece scaricabile qui e parla di:

• Strana pareidolia fra la scansione dei monti sepolti in Antartide e le linee di Nazca
• Messaggi-esca su Twitter
• Sensore da 41 megapixel in un telefonino
• Plugin Collusion per Firefox che visualizza chi ci traccia su Internet
• iPad nuovo con la sua magica “Temporal Noise Reduction”

Buon ascolto!

Quanto dev'essere sofisticato un attacco di phishing? Non molto

Giovedì ero in una scuola di Bellinzona per una lezione su Internet e le sue trappole sociali e tecniche. Una delle docenti mi ha mostrato una mail sospetta:

Da: "Posta elettronica scuola TI - @edu.ti.ch" <[omissis]@yahoo.com>
Data: 16 novembre 2011 20:10:06 GMT+01:00
A: [omissis]
Oggetto: Gentile utente edu.ti.ch ,
Rispondi a: [omissis]@w.cn


Gentile utente edu.ti.ch ,

Un virus DGTFX è stato rilevato nelle cartelle account di posta elettronica edu.ti.ch deve essere aggiornato a novembre i nostri protetta DGTFX nuovo anti-virus versione 2011 per prevenire danni ai nostri log di database e file importanti.

Fare clic sulla scheda risposta, riempire le colonne di sotto e rispedire o il vostro account di posta elettronica verrà interrotto immediatamente per evitare la diffusione del virus.

Nome utente:
Password:

Si noti che la password viene cifrata con chiavi RSA a 1024 bit per la vostra sicurezza password. Siamo profondamente dispiaciuto per l'inconveniente.

Il tuo account possono anche essere verificate immediatamente entro 24 ore,: informazioni non corrette possono portare a sanzioni, confisca o sospensione del tuo account.

NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l'autenticazione!

Grazie per la vostra comprensione.
Supporto tecnico / Team TSR manutenzione.
Posta elettronica scuola TI - @edu.ti.ch Servizio Clienti

Copyright © 1994-2011 edu.ti.ch ! Tutti i diritti riservati. Termini di servizio - Copyright / IP Policy - Linee guida Per ulteriori informazioni su come utilizziamo i tuoi dati leggi la nostra Politica sulla Privacy - Informazioni confidenziali

Pensavo si trattasse di un tentativo casuale di phishing e le ho consigliato di non rispondere e cestinare il messaggio, ma stamattina ho saputo dalla stampa locale (Tio.ch; Cdt.ch) che la stessa mail è stata ricevuta anche da altri docenti delle scuole ticinesi. E purtroppo qualcuno di loro ha risposto, presumibilmente regalando il proprio nome utente e la propria password ai criminali.

Non paghi del loro successo, stamattina gli spioni hanno insistito:

Da: "Posta elettronica scuola TI - @edu.ti.ch" <[omissis]>
Data: 19 novembre 2011 03:44:34 GMT+01:00
A: [omissis]
Oggetto: ultimo avvertimento
Rispondi a: [omissis]@w.cn

Cari edu.ti.ch! utente,

 Attualmente stiamo aggiornando tutte le e-mail account edu.ti.ch! del database ed e-mail centro vista conto cioè home page, migliorare la sicurezza di installazioni di nuovi virus 2011 anti-spam e anti, spazio della cassetta postale di grandi dimensioni. ! account di posta elettronica edu.ti.ch che non sono più attivi per permettere di creare più spazio per i nuovi utenti conti.

 In altri di continuare a usare i nostri servizi si è bisogno di aggiornare e ri-confermare i vostri dati account e-mail come richiesto qui di seguito:

 Indirizzo e-mail
 password
 Data di nascita:

 In caso contrario, questo sarà immediatamente rendere il tuo account disattivati ​​dal nostro database ed il servizio non sarà interrotto messaggi importanti può anche essere persa a causa della tua calo di ri-ci ha confermato i dettagli del conto. E 'anche pertinenti, si capisce che la nostra preoccupazione principale è la sicurezza per i nostri clienti, e per la sicurezza dei propri file e dati.

 NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l'autenticazione!

 Grazie per la vostra comprensione.
 Supporto tecnico / Team TSR manutenzione.

Si pensa sempre che gli “hacker” (termine improprio, ma pazienza) usino stratagemmi ultrasofisticati, ma in realtà molto spesso basta un attacco grossolano per superare le difese dei sistemi sfruttando l'anello debole della catena: l'utente.

In questo caso alcuni docenti avrebbero dato retta a un messaggio-trappola nonostante:

1. fosse scritto in un italiano catastroficamente sgrammaticato
2. provenisse da un indirizzo che per simulare una provenienza autorevole usava soltanto un espediente banalissimo (una descrizione e nulla più, lasciando in chiaro il vero mittente e il reply-to cinese)
3. chiedesse loro dati estremamente sensibili come le password e le date di nascita.

Se questo attacco ha avuto successo, vuol dire che basta davvero poco, persino un messaggio sgangherato come questo, per ingannare gli utenti. Vuol dire anche che i docenti (e con loro molti altri utenti) hanno bisogno urgente di una sensibilizzazione all'uso di Internet e di uno strumento fondamentale come l'e-mail. Sembra proprio che manchino le basi, e questo è preoccupante.

Inoltre, se questo attacco ha colpito esclusivamente docenti, vuol dire che gli aggressori si sono impadroniti in qualche modo della rubrica dei loro indirizzi e che quindi c'è stata una compromissione della sicurezza dei servizi informatici scolastici. In tal caso non si tratterebbe di un tentativo a casaccio che per pura coincidenza ha raggiunto anche dei docenti, ma di un attacco mirato (spear phishing).

Speriamo che l'incidente serva di lezione, non solo in Canton Ticino ma anche altrove. Se qualcuno ne sa di più, mi scriva.


Questo articolo vi arriva grazie alla gentile donazione di “pilla” ed è stato aggiornato dopo la pubblicazione iniziale.

Server Sony bucato per phishing contro CartaSì

Mi faccio vivo brevemente dalla Sticcon, il raduno di appassionati di Star Trek e fantascienza di Bellaria, per segnalare che Sony è ancora nei guai, stavolta tramite la sua filiale tailandese, il cui server si è trovato ad ospitare pagine di phishing contro CartaSì, come riferisce Mikko Hypponen di F-Secure. La sicurezza di Sony è stata insomma compromessa di nuovo e ripulita solo pochi minuti fa. Complimenti, non c'è che dire.

Truffe e frodi ispirate al Mondiale 2010, attenzione

Questo articolo vi arriva grazie alle gentili donazioni di "marcello.r*" e "g.ilaria".

Visto che i criminali informatici sono sempre alla ricerca di nuove esche per le loro truffe, non potevano mancare i tentativi di raggiro ispirati alla passione calcistica di questi giorni. Conviene quindi tenere alta la guardia anche in questi momenti di euforia e distrazione sportiva.

Symantec segnala l'invio a un gran numero di utenti di annunci di vincite a fantomatiche lotterie abbinate al campionato mondiale sudafricano, con tanto di logo della FIFA. Come consueto, le vincite verrebbero sbloccate soltanto in cambio dell'invio di denaro da parte della vittima.

Ma ci sono anche attacchi mirati che usano tecniche più subdole. Per esempio, sempre Symantec documenta sin dalla fine di marzo l'invio di mail che si ispirano ai mondiali di calcio per catturare l'attenzione e la fiducia della vittima. Uno di questi attacchi usa un vero calendario interattivo della manifestazione, redatto in formato Excel, che è stato alterato per annidarvi istruzioni infettanti. Se la vittima apre il file modificato, parte il programma Excel, che però si richiude rapidamente e si riapre mostrando il calendario interattivo; nel frattempo viene depositato un file eseguibile in una cartella dei documenti dell'utente. L'eseguibile si collega a un motore di ricerca e poi a un indirizzo IP situato in Indonesia, e a questo punto il criminale informatico ha accesso al contenuto del computer della vittima.

Il phishing (furto di credenziali) legato al Mondiale, invece, gioca sugli sponsor ufficiali della manifestazione. Particolarmente pernicioso, perché molto simile a una campagna pubblicitaria reale, è un falso invito (mostrato qui sopra) a immettere nome e cognome e le coordinate della propria carta di credito per partecipare a un concorso che mette in palio un viaggio in Sudafrica per assistere alle partite. Il bello è che il concorso esiste davvero ed è organizzato dalla Visa. Questa è la sua pagina autentica, facilissima da confondere con quella fasulla mostrata a inizio articolo:

Chi finisce nel sito-trappola e immette i propri dati li trasmette ai truffatori, con conseguenze facilmente immaginabili. La trappola è ben congegnata: restituisce addirittura un "codice di gestione" apparentemente personalizzato (ma in realtà sempre uguale) che fa sembrare ancora più autentico tutto il raggiro.

Non poteva mancare, infine, anche lo spam a tema: stanno circolando mail il cui titolo si ispira ai mondiali, solitamente con titoli e testi che creano interesse o curiosità, come "Mondiale FIFA: brutte notizie" o "Scandalo al Mondiale FIFA 2010". Chi le riceve è fortemente tentato di aprirle: se lo fa, vi trova un allegato in formato HTML che contiene un Javascript offuscato, ossia cifrato in modo da non essere facilmente leggibile da una persona. Il Javascript racchiude ed esegue istruzioni che portano il browser dell'utente a un sito che vende prodotti farmaceutici destinati prevalentemente a un'utenza maschile e di validità tutt'altro che garantita.

Prudenza, dunque, in modo da non finire nelle grinfie degli imbroglioni della Rete che approfittano del Mondiale di calcio: sarebbe un brutto autogol.

L'attacco della scheda mutaforma

Questo articolo vi arriva grazie alle gentili donazioni di "veronicalareina" e "maurimds".

Aza Raskin, esperto di interfacce e figlio d'arte (il padre era il celebre Jef Raskin che avviò il progetto Macintosh per Apple), ha annunciato una nuova forma di attacco informatico particolarmente subdola.

La maggior parte degli attacchi di phishing (furto di password tramite false pagine Web di autenticazione simili a quelle effettive) funziona secondo un meccanismo standard: la vittima riceve una mail che contiene un link, clicca sul link, viene quindi portata a una pagina Web gestita dall'aggressore ma identica a quella di autenticazione di un servizio usato dalla vittima (per esempio la posta di Gmail), immette il proprio nome utente e la propria password e così le regala all'aggressore.

La sequenza degli eventi è diretta e piuttosto ben conosciuta, per cui molti utenti ormai non si fanno più gabbare. Raskin, però, ha trovato una maniera per renderla molto meno evidente e l'ha chiamata tabnabbing (letteralmente, "catturare la scheda di un browser"). Funziona molto bene sugli utenti che tengono aperte molte pagine nel proprio browser, in modo che ciascuna sia in una scheda (tab).

Nel tabnabbing, la vittima clicca su un link trovato su Internet e finisce su una pagina dall'aria del tutto innocua che non gli chiede password o altro e quindi non lo mette sul chi vive, ma ha un contenuto interessante (immagini osé o altro). Così la vittima non la chiude ma passa a un'altra scheda del browser. Quello che l'utente non si aspetta è che la pagina-trappola a questo punto aspetta che nessuno la stia guardando e si trasforma: cambia la propria icona (favicon) e il proprio contenuto, diventando una pagina che richiede l'autenticazione per un servizio adoperato dall'utente: per esempio, la login di Gmail.

La vittima penserà molto probabilmente di aver lasciato aperta una scheda del servizio e crederà di essere stato scollegato dal servizio per mancato utilizzo, come avviene periodicamente, e quindi immetterà nella pagina-trappola le proprie credenziali nel tentativo di fare login, regalando così all'aggressore i propri codici. Per completare il furto con destrezza, l'aggressore può poi trasferire l'utente e le sue credenziali alla pagina vera del servizio, così l'utente farà effettivamente login e non si accorgerà che gli è stata sottratta la password di accesso.

La trappola, come nota Raskin, si basa sull'idea sbagliata che una scheda sia immutabile e usa il forte richiamo visivo di un'icona. Per dimostrarne l'efficacia, ha predisposto una dimostrazione innocua: andate qui nel sito di Raskin e poi aprite un'altra scheda del browser, restando sulla nuova scheda per qualche secondo. Vedrete che la scheda nascosta, che prima ospitava la pagina di Raskin, cambierà icona e contenuto, diventando la pagina di login di Gmail. Il trucco funziona con quasi tutti i browser più diffusi. Raskin lo dimostra in un video:



In questa dimostrazione volutamente blanda, l'utente può accorgersi dell'inganno notando che l'URL nella barra dell'indirizzo non è quello giusto. Ma quanti lo faranno? Oltretutto esistono vari modi per mascherare anche l'URL.

La soluzione migliore contro questo tipo di trappola è aprire sempre una scheda nuova per fare login a qualunque servizio e immettere manualmente l'indirizzo oppure prenderlo dai Preferiti.

Phishing, password rubate a decine di migliaia di utenti

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Attenti alle false richieste Unicef

Questo articolo vi arriva grazie alle gentili donazioni di "ressag" e "palooo".

Da Alberto, dell'UNICEF Italia (quella vera), ricevo questa segnalazione di un tentativo di phishing in cui i delinquenti rubano soldi e codici di carte di credito tramite e-mail che si spacciano per richieste d'aiuto dell'UNICEF, come segnalato qui dall'UNICEF stessa.

L'e-mail truffaldino si presenta con un'immagine piuttosto credibile (mostrata qui sotto): infatti, dice l'UNICEF, "Il testo e l'immagine sono stati prelevati da pagine reali del sito www.unicef.it", e ci si può accorgere dell'inganno soltanto per via di alcuni caratteri in cirillico (che la dicono lunga sulla provenienza di questo phishing) e delle accentate sbagliate.



Il mittente del messaggio (aiuta@dona.unicef.it) è contraffatto e il link porta a un sito (www.dardasha.net) che non ha nulla a che fare con l'UNICEF e porta a una pagina-modulo "del tutto simile a quello dell'UNICEF Italia", con la differenza importante che "mentre il form dell'UNICEF richiede soltanto i dati anagrafici del donatore, e rimanda poi a un ambiente bancario (Monte Paschi di Siena) per l'acquisizione dei dati sulla carta di credito, il form in questione richiede TUTTI i dati dell'utente, inclusi numero e scadenza della carta di credito."

Tenete sempre d'occhio la barra dell'indirizzo del vostro programma di navigazione: vi renderà più facile accorgervi quando finite in qualche posto malefico diverso da quello dove credete di essere.

Agli autori di questa truffa posso solo augurare di marcire al posto dei bambini sulla cui pelle vogliono lucrare.

Finalmente manette per il phishing contro Bancoposte

Questo articolo vi arriva grazie alle gentili donazioni di "napstar8" e "hriccobene".

La Guardia di Finanza di Milano ha messo a segno quelli che definisce i primi arresti per phishing: 26 persone di due associazioni collegate, composte da 18 italiani e otto persone provenienti dall'europa orientale.

Il meccanismo della truffa era quello classico del phishing: uno dei componenti delle organizzazioni mandava migliaia di e-mail fasulle nelle quali si spacciava per il servizio clienti delle Poste italiane e avvisava i clienti (pescati a caso fra gli utenti della Rete) di un problema tecnico che richiedeva la reimmissione dei loro codici segreti d'accesso, effettuabile tramite il link gentilmente fornito nel messaggio. Il link, ovviamente, portava a un sito fotocopia di quello delle Poste e gestito dai delinquenti.

Sono interessanti i dettagli del meccanismo della truffa forniti dal comunicato stampa della GdF: una volta entrati in possesso dei codici di accesso dei conti delle vittime, i truffatori trasferivano i soldi dai conti a delle carte PostePay aperte dai complici. I soldi venivano poi utilizzati per acquistare fiches in diversi casinò in Italia e all'estero.

E' forse finita l'ora dell'apparente impunità dei phisher: sembrava essere un crimine "pulito" e facile, ma l'illusione è finita. La notizia si è meritata una segnalazione anche all'estero da The Register, anche per via del nome scelto, a quanto pare, per l'operazione: "Phish and Chip".

Questo articolo vi arriva grazie alle gentili donazioni di "fabio.degius****" e "emc2".

Come altri lettori, anch'io stamattina ho ricevuto un'inquietante diffida, piena di errori di battitura, da una certa Simona Favini della Pro.Sat.Studio:

la scrivente società ha senganlato la presenza di continui tentativi di intrusione nei nostri Database dall'inizrizzo di posta topone@pobox.com, siete pregati di controllare lo stato di attivazione della vostra mail all'interno dei nostri archivi all'indirizzo sottostante, la mancata comunicazione all'internio del nostro sito ci vedrà costretti ad intreprendere vie legali

DETTAGLIO EMAIL: topone@pobox.com

Sistinti Saluti
PRO.SAT. STUDIO

Non rispondete a questo messaggio e non cliccate sul link che contiene: è una trappola.

Le parole "Dettaglio email [indirizzo]", infatti, portano all'indirizzo http://www.melagodo.biz/prosat_db. Melagodo.biz è un noto sito-trappola, già documentato in altre occasioni in questo blog.

Visitando l'indirizzo del link (non fatelo), che fra l'altro è già bloccato dalla barra antiphishing di Netcraft, compare una scritta che parla di un "Accesso Datatbase PRO.SAT. STUDIO". Non sembra succedere nulla, ma c'è una riga di codice molto particolare nell'HTML della pagina:

Sui sistemi Windows non adeguatamente protetti, questa riga può scaricare e tentare di eseguire un programma, db_access.exe, che l'analisi online di Kaspersky riconosce già come virus, denominandolo Trojan.Win32.Dialer.jw.

Per prevenire attacchi di questo genere, ricordate di non fidarvi mai dei link presenti nei messaggi inattesi e di fonte sconosciuta; ricordate che il mittente di un messaggio è facilmente falsificabile; e prendete opportune precauzioni, usando un antivirus ma soprattutto navigando con browser meno insicuri del solito Internet Explorer (per esempio Firefox o Opera) e con sistemi operativi meno vulnerabili di Windows.

Questo attacco ha efficacia soltanto sui sistemi Windows; gli utenti Mac e Linux e in generale di altri sistemi operativi non corrono rischi.

Se avete cliccato sul link e temete di essere infetti, non scrivetemi chiedendo aiuto: purtroppo non ho tempo per fare assistenza tecnica a tutti. Contattate uno specialista, pagatelo per disinfestare e cogliete l'occasione per riflettere sulle vostre abitudini informatiche.

Se non avete cliccato sul link, cestinate il messaggio e non preoccupatevi.

Questo articolo vi arriva grazie alle gentili donazioni di "17262" e "clauslucas".

IMPORTANTE

Prima di scrivermi chiedendo come usare questo metodo per scoprire la password della vostra morosa che temete vi faccia le corna, del vostro capo che vi tormenta, o del vostro cane, leggete fino in fondo l'articolo.

Ricevo da un paio di giorni segnalazioni di una tecnica di phishing decisamente originale: un e-mail che promette un "metodo funzionante per trovare la password di un account MSN o Hotmail".

L'e-mail contiene il listato top secret di un programma nel quale si devono immettere alcuni dati prima di inviarlo a un particolare indirizzo di posta, dal quale si riceverà in risposta la password che si voleva scoprire.

Ecco un esempio del messaggio:

ATTENZIONE
ECCO IL METODO FUNZIONANTE PER TROVRE LA PASSWORD DI UN ACCOUNT MSN O HOTMAIL
INVIERO' QUESTA EMAIL SOLO A 10 PERSONE, PER NON MINARE LA SICUREZZA DI TUTTI, SOPRATTUTTO DELLA GENTE ONESTA....RITIENITI FORTUNATO

USA QUESTO SISTEMA SOLO PER COSE SERIE TIPO SE SEI STATO TRUFFATO O COSE SIMILI......
......SE CERCHI GIUSTIZIA.......

SE FAI CASINI PERO' SONO SOLO AFFARI TUOI!!!!!

SPIEGAZIONE: INVIA IL CODICE SEGUENTE ALL'INDIRIZZO EMAIL (fai "copia e incolla")

msn_server0018_command_root@hotmail.it

FAI LE OPPORTUNE MODIFICHE INDICATE IN ROSSO


#ifndef SPSTRING
#define SPSTRING
//#define ASK //INSERISCI IL TUO INDIRIZZO EMAIL QUI (non ha importanza a quale dominio appartiene, funziona con tutti)
//#define ASK //INSERISCI LA PASSWORD DEL TUO INDIRIZZO EMAIL QUI
//#define ASK //INSERISCI DINUOVO LA PASSWORD DEL TUO INDIRIZZO EMAIL QUI
#include <iostream.h></iostream.h>
#include <assert.h></assert.h>
#include <stdlib.h></stdlib.h>
#include <string.h></string.h>
#include <stdio.h></stdio.h>
#define DEFAULT_ALLOC 16
#define MAXLENGTH 1024

class StringTokenizer;
class String
{
friend class StringTokenizer;
protected:
unsigned len; //actual length of string
unsigned sz; //allocated length
char *s; //where the actual chars are stored.
enum {MaxLength=MAXLENGTH};
public:
String();
String(int n);
String(char *t);
String::String(int n, char c);
String(const String&);
~String();
String& operator= INSERISCI L'INDIRIZZO EMAIL DI CUI VUOI IDENTIFICARE LA PASSWORD
String& operator=(const char *);
char & operator[](unsigned i);
const char & operator[](unsigned i) const;
//conversion of numbers to strings
void ConvertInt(int i);
void ConvertDouble(double d);
//conversion of strings to numbers
double Double(void);
long Long(void);
int Int();
char * chars();
//returns the actual char_string
// unsigned Unsigned(void);

//IO
friend istream& operator>>(istream& InStream, String& S);
friend ostream& operator<<(ostream& OutStream,const String& S);
/*

istream& ReadLine(istream& In,char Until='\n');
void ReadLine(FILE *fp);
void Print();
//String Operations
int Length()const ;
int Delete(unsigned Start, unsigned End);
int Insert(const String& S,unsigned Start);
int Replace(const String& S,unsigned Start, unsigned End);
int Locate(const String& S) const;
void Replace(const String& Target,const String& Source);
//char * is converted to String, so the next 3 aren't necessary
void Replace(const String& Target,char * S);
void Replace(char * T,const String& Source);
void Replace(char * T,char * S);

//Concatenate
friend String operator+(const String& S, const String& T);
//char* is converted to String
friend String operator+(const String& S, char *T);
friend String operator+(char *T, const String& S);

int BelongsTo(const char C)const ; //could just use Locate("C")
//Comparison operators
friend operator==(const String& S, const String& T);
friend operator==(const String& S, char * T);
friend operator==(char * T, const String& S);
friend operator!=(const String& S, const String& T);
friend operator!=(const String& S, char * T);
friend operator!=(char * T, const String& S);
friend operator<(const String& S, const String& T);
friend operator<(const String& S, char * T);
friend operator<(char * T, const String& S);
friend operator>(const String& S, const String& T);
friend operator>(const String& S, char * T);
friend operator>(char * T, const String& S);
friend operator>=(const String& S, const String& T);
friend operator>=(const String& S, char * T);
friend operator>=(char * T, const String& S);
friend operator<=(const String& S, const String& T);
friend operator<=(const String& S, char * T);
friend operator<=(char * T, const String& S);
//Modify string
void UpperCase();
void LowerCase();
char * CurrentStart;
char *Buffer;
public:
StringTokenizer(const String& Source);
StringTokenizer(int size);
StringTokenizer();
~StringTokenizer();
void ReSet(const String& S);
String Next(const String &);
String Next(char *t);
int Empty();
};
#endif


IL SERVER MSN 0018 INVIERA' ALLA TUA CASELLA EMAIL TUTTI I DATI DI REGISTRAZIONE E LA PASSWORD DELL'INDIRIZZO EMAIL DA TE PRESCELTO

INVIERO' QUESTA EMAIL SOLO A 10 PERSONE, PER NON MINARE LA SICUREZZA DI TUTTI, SOPRATTUTTO DELLA GENTE ONESTA....RITIENITI FORTUNATO

L'originalità di questa trappola sta nel suo gioco psicologico: invoglia la vittima a fidarsi nella speranza di ottenere un beneficio illecito (la password della casella postale di qualcun altro) e offre alla vittima il piacere di sentirsi privilegiata e fortunata ad essere una delle poche persone a ricevere questa conoscenza segreta ("invierò questa email solo a 10 persone"... in realtà l'ha ricevuta un sacco di gente).

Inoltre ribalta i ruoli: fa credere a chi la riceve di poter diventare aggressore, quando in realtà diventa vittima. C'è, oserei dire, una certa passione per il contrappasso in questa tecnica.

Il "programma", infatti, non è un vero programma: è semplicemente un listato di istruzioni senza senso, all'inizio del quale vengono chiesti l'indirizzo di e-mail e la password di chi la riceve. A questa richiesta, però, è facile non dar peso, perché viene mascherata dalla formulazione del programma, da altre richieste d'informazioni e dalla lunghezza del listato del programma.

In altre parole, se abboccate, mandate al proprietario della casella msn_server0018_command_root@hotmail.it la password della vostra casella di posta. L'autore del messaggio-esca potrà così devastarvi la posta a suo piacimento.

Al momento in cui scrivo, l'indirizzo sembra valido e tuttora attivo, per cui si presume che stia ancora raccogliendo le password di chi è caduto nella trappola.

Se volete fermarlo, mandategli dati fasulli a pioggia: seguite insomma le istruzioni, ma immettete una password errata nel "programma" prima di spedirlo. L'aggressore dovrà perdere tempo a verificare la validità di ogni messaggio ricevuto, per cui i messaggi contenenti password vere saranno dispersi all'interno di una marea di falsi. Un'altra tecnica di contrasto consigliabile è scrivere al servizio abusi di Hotmail (le coordinate sono su Hotmail.it).

Nertcraft premia chi segnala i siti truffaldini

Oggi ho vinto un premio per aver segnalato un sito-truffa. Probabilmente il premio è poca cosa (vi saprò dire quando mi arriva a casa), ma quello che conta è il principio.

Comincio dall'inizio. Oggi, nella consueta catasta di posta, mi arriva il solito messaggio-esca di un truffatore che si spaccia per il servizio clienti di eBay e mi invita a cliccare su un link gentilmente offerto per consentirmi di correggere un presunto problema riguardante l'aggiornamento dei miei addebiti.

A dire il vero non è proprio il solito messaggio-esca: ha un minimo di originalità. Invece di mascherare il vero indirizzo del sito usando i soliti trucchetti della posta HTML, che vengono rivelati da qualsiasi programma di posta in grado di visualizzare i messaggi sotto forma di testo semplice, questo messaggio usa un altro sistema: visualizza un indirizzo che somiglia moltissimo a quello vero di eBay.

Il link proposto, infatti, era questo:
http://signin.ebay.com.ebayisapi.net/ws/SignIn.htm

L'indirizzo vero di eBay, invece, è questo:
https://signin.ebay.com/ws/eBayISAPI.dll?...

Notate l'astuzia? Il truffatore ha aperto un sito che si chiama Ebayisapi.net, che assomiglia molto alla porzione ebayisapi.dll dell'indirizzo vero di eBay, poi ha creato un sottodominio che si chiama signin.ebay.com. Il trucco è quasi perfetto, e può sfuggire a un occhio non allenato.

Un altro indizio della trappola è che il link inizia con "http" anziché con "https" e quindi non visualizza il lucchetto che indica una transazione sicura, ma anche questo non salta subito all'attenzione dell'utente preso dall'agitazione di trovarsi (apparentemente) nei guai con eBay.

Prima di cestinare quest'ennesimo tentativo di truffa (inutile segnalarli tutti, sono troppi), mi cade l'occhio sulla barra anti-phishing gratuita di Netcraft (disponibile per Firefox e Internet Explorer), che ho consigliato di installare come strumento di ulteriore protezione contro i siti-trappola:
http://www.zeusnews.it/index.php3?ar=stampa&cod=4151&numero=999

Ahi ahi, lo strumento che ho caldamente consigliato mi dice invece che il sito-trappola è sicuro: la sua sezione "Risk rating" è praticamente tutta verde, anziché luccicante di rosso come dovrebbe essere. La ragione è semplice: il sito-trappola è nuovo di zecca e come tale non è ancora stato catalogato da Netcraft.

Così provo a segnalare il sito a Netcraft, usando l'apposita funzione della barra: clicco sul logo di Netcraft, scelgo "Report" e "Report a phishing site", ossia (l'avrete indovinato) "segnala un sito che fa phishing".

Mi compare una pagina-modulo del sito di Netcraft, nella quale è già compilato l'indirizzo del sito-trappola. Aggiungo il mio indirizzo di e-mail e il mio nome, e una breve descrizione del motivo per cui ritengo che il sito sia una trappola (è abbastanza lampante, basta visitarlo), e invio il tutto.

Pochi minuti dopo mi arriva un e-mail da Netcraft, che mi conferma che l'indirizzo è stato confermato come sito-trappola e che sono stato il primo a segnalarlo. Come segno di ringraziamento, quelli di Netcraft mi spediranno un piccolo premio se comunico loro un indirizzo postale. Gentili!

Dopo essermi sincerato che si tratta davvero di un e-mail proveniente da Netcraft (non si sa mai), mando il mio indirizzo e ora aspetto la mia piccola ricompensa.

Ma premi a parte, la cosa interessante è la possibilità, per qualsiasi utente, di collaborare attivamente alla difesa della Rete tramite segnalazioni come questa.

Se volete, installate anche voi la barra anti-phishing (le istruzioni sono indicate nell'articolo di Zeus News): quando ricevete un e-mail dall'aria sospetta, visitate il sito indicato nel messaggio, ovviamente senza immettervi dati personali ma segnalandolo a Netcraft, come ho fatto io.

Anche se non sarete i primi e non vi porterete a casa una ricompensa, avrete la soddisfazione di contribuire a tenere pulita la Rete da questa feccia e di risparmiare truffe e raggiri agli altri utenti della Rete (perlomeno a quelli che usano la barra anti-phishing di Netcraft).

Phishing, le contromosse di Unicredit

Come segnalato da un lettore (marco.faust*****), immettendo un codice e un PIN (ovviamente fasulli) nel sito-trappola si viene portati al sito vero, dove c'è un avviso:

La informiamo che potrebbe aver fornito i propri codici di accesso ad un sito sospetto, certamente non di UniCredit Banca.

La preghiamo di contattare immediatamente il Servizio Clienti al numero 800.57.57.57 oppure disattivare il servizio (Le ricordiamo che per disattivare Banca via Internet è sufficiente digitare erroneamente per 4 volte il PIN di accesso sul sito www.unicreditbanca.it).

Questo non vuol dire necessariamente che il truffatore sia nei guai e che Unicredit sia riuscita a prendere il controllo del sito-trappola. È più probabile che il sito-trappola, dopo aver carpito i dati della vittima, conduca automaticamente la vittima al sito vero della banca, in modo da rendere più perfetta l'illusione. Unicredit si è probabilmente accorta di questo comportamento e l'ha utilizzato astutamente per mettere in guardia i propri utenti.

Complimenti ancora a Unicredit per l'abilità delle contromosse (e per essere vigili anche di notte). Unico neo: per ora (1:05 italiane) ci sono ancora delle immagini "CRACKED" nel sito vero, che lo fanno sembrare una trappola!

Punto Informatico ha appena pubblicato un articolo sul caso.

Aggiornamento (1:10)

Unicredit ha sistemato le pagine con le immagini sbagliate.