Vai al contenuto
Arrestato truffatore online responsabile di oltre 60 milioni di dollari di raggiri

Arrestato truffatore online responsabile di oltre 60 milioni di dollari di raggiri

Di fronte alle notizie di tecniche d’attacco sempre più sofisticate è facile avere la sensazione di essere inermi e che le autorità non facciano nulla, ma in realtà questi malviventi non sempre la fanno franca. L’Interpol e la Commissione sui Crimini Economici e Finanziari della Nigeria segnalano l’arresto di “Mike”, un quarantenne nigeriano a capo di una rete criminale internazionale che aveva messo a segno truffe per oltre 60 milioni di dollari ai danni di centinaia di vittime. Una di queste vittime era stata imbrogliata al punto da inviare 15,4 milioni di dollari ai truffatori.

Le tecniche di truffa usate dalla banda (circa 40 persone sparse fra Nigeria, Malesia e Sud Africa) erano ben collaudate: non solo la fattura leggermente alterata e la creazione di falsi ordini di pagamento provenienti dagli indirizzi di mail dai dirigenti aziendali, ma anche truffe sentimentali. I bersagli erano principalmente in Australia, Canada, India, Malesia, Romania, Sud Africa, Thailandia e Stati Uniti. Il denaro sottratto veniva convogliato su conti correnti di complici in Cina, Europa e Stati Uniti.

L’arresto, secondo le autorità nigeriane, è un segnale chiaro che la Nigeria non può essere considerato un porto sicuro per questi criminali. Gli esperti consigliano di attivare l’autenticazione a due fattori (o verifica in due passaggi) sugli indirizzi di mail e di verificare gli ordini di pagamento usando un canale diverso da Internet: una telefonata alla persona che avrebbe inviato l’ordine, per esempio.

Da parte mia aggiungo un’altra raccomandazione: attenzione alle offerte di lavoro che vi propongono di fare l’intermediario finanziario semplicemente stando al computer un certo numero di ore al giorno per ricevere e inoltrare bonifici di denaro. Il denaro che ricevereste sul conto rischia di essere il frutto di una truffa online, per cui voi risultereste come complici.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Usate Ammyy Admin? Occhio, ha diffuso versioni infette

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ammyy Admin (Ammyy.com) è un’applicazione legittima, piuttosto diffusa per il controllo remoto dei computer, ma di recente dei criminali informatici hanno preso ripetutamente il controllo del sito che distribuisce l’applicazione e hanno alterato il programma d’installazione in modo che chi scaricava e installava Ammyy riceveva e installava anche uno spyware (Lurk) che ruba soldi dai conti correnti gestiti via Internet da computer insicuri.

Visto che gli amministratori di Ammyy non sembrano granché competenti nel risolvere gli attacchi (una volta passi, ma trovarsi a distribuire malware ripetutamente è inaccettabile), probabilmente non è più il caso di fidarsi.

Questo genere di attacco si chiama in gergo watering hole attack, ossia letteralmente “attacco al luogo di abbeveraggio”: invece di prendere di mira direttamente i singoli bersagli, gli aggressori attaccano un sito utilizzato dai bersagli. Sono i bersagli stessi, poi, a infettarsi quando vanno a visitare il sito.

In generale, per prevenire furti di denaro nella gestione dei conti correnti via Internet conviene procurarsi un computer (o un tablet o Chromebook) da dedicare esclusivamente a questa attività, come se fosse una sorta di terminale della banca. Su questo dispositivo non si gioca, non si usano i social network, non si risponde alla posta, non si aprono allegati, non si installa nulla a parte gli aggiornamenti del sistema operativo e l’eventuale applicazione della banca. In questo modo il rischio di infettarlo e aprire la strada ai ladri è ridotto al minimo. Ormai i costi dei computer e dei tablet sono talmente bassi che è un investimento accettabile, soprattutto se lo si confronta con il costo (monetario e di tempo) di un furto dal proprio conto corrente.

Fonti: Ars Technica, Securelist.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mail su finti rimborsi Telecom/Tim tentano di rubare le carte di credito

Mail su finti rimborsi Telecom/Tim tentano di rubare le carte di credito

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “luigipoll*” e “carlo.fr*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Su molte delle mie caselle di mail è arrivato questo messaggio, apparentemente proveniente da servizio.clienti@telecomitalia.it, che m’invita ad accedere al servizio per ottenere un rimborso di 110 euro. Il messaggio è una trappola: non seguite le sue istruzioni.

È un classico tentativo di furto dei codici delle carte di credito: lo segnalo perché è fatto meglio della media (poche sgrammaticature, loghi credibili, mittente apparente molto credibile) e perché ha superato ripetutamente i miei filtri antispam, cosa piuttosto insolita.

Il pulsante Accedi al servizio porta a questa schermata, che in realtà è ospitata presso it-10.com e non presso Tim.it:

Ovviamente lo scopo è quello di convincere l’utente a immettere password di Tim.it e dati della carta di credito, che finiranno così nelle mani dei criminali. Ho pensato di fornire un po’ di quelli di un mio caro collega, il noto giurista immaginario Massimo Della Pena. Anche qui la schermata di Tim.it è imitata piuttosto bene: c’è anche il controllo sulla coerenza del codice fiscale. L’unica nota stonata è quel Dati di client, che però può anche sfuggire per l’emozione di ricevere un (inesistente) rimborso. Ho già segnalato il caso a Netcraft e a Google.

Mi raccomando, occhio a non farvi allettare da chi vi promette qualcosa di goloso: non fidatevi dell’indirizzo del mittente (come vedete qui sopra, si può falsificare), controllate sempre che nella barra dell’indirizzo ci sia il nome corretto del sito insieme all’icona del lucchetto chiuso che autentica il sito. Se ricevete questa mail, cestinatela: se non avete immesso dati, non correte alcun rischio.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Ospedale USA paga 17.000 dollari di riscatto per riavere i propri dati

Ospedale USA paga 17.000 dollari di riscatto per riavere i propri dati

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/02/19 23:25.

Il ransomware si sta rivelando una forma di attacco informatico tristemente efficace nel portar via soldi alle vittime: dagli Stati Uniti arriva la notizia che un ospedale, il Hollywood Presbyterian Medical Center, è stato preso in ostaggio da un ransomware che ne ha paralizzato i sistemi informatici al punto che è stato necessario tornare a registrare i pazienti su carta e recuperare le cartelle cliniche cartacee e la rete informatica è rimasta ferma per oltre una settimana.

Alla fine, dopo dieci giorni di paralisi, i dirigenti dell’ospedale si sono arresi e hanno pagato il riscatto ai criminali che gestivano il ransomware: 40 bitcoin, che al cambio attuale sono circa 17.000 dollari. Il presidente e CEO dell’ospedale ha detto che “il modo più rapido ed efficiente per ripristinare i nostri sistemi e le nostre funzioni amministrative era pagare il riscatto e ottenere la chiave di decifrazione”. È andata tutto sommato bene, visto che la richiesta iniziale di riscatto era di circa 3,6 milioni di dollari [2016/02/19 23:25: questo importo è stato smentito in un comunicato dell’ospedale].

L’attacco con ransomware a un’azienda o a un’istituzione sembra essere la moda del momento fra i criminali, probabilmente perché è più remunerativo rispetto all’attacco a privati: un altro esempio arriva sempre dagli Stati Uniti, in questo caso da Conway, nel South Carolina, dove la rete informatica scolastica delle Horry County Schools è stata colpita con la stessa tecnica che ha messo in ginocchio l’ospedale californiano: buona parte dei dati cifrati dagli aggressori è stata recuperata dai backup, ma resta una ventina di server che ancora contengono file presi in ostaggio, per cui gli amministatori hanno stanziato 8500 dollari per pagare la richiesta di riscatto. I responsabili della rete scolastica hanno detto che sono disposti a pagare perché si tratta di una cifra modesta rispetto alle ore-uomo già sprecate nel tentativo (vano) di risolvere il problema.

Fonti: Ars Technica, Wbtw.com, Los Angeles Times, Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Disinformatico radio, il podcast di oggi

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2012/12/30.

La puntata di stamattina del Disinformatico radiofonico è pronta da scaricare. Ecco i temi e i rispettivi articoli: il mercato nero delle password vendute a 2 dollari, le ragioni dell’apparente immunità Apple ai virus, l’allerta per la vulnerabilità degli smartphone e tablet Samsung e Facebook troppo difficile per la sorella di Mark Zuckerberg. La parola di Internet di questa puntata è underweb. Buon ascolto e/o buona lettura.

Aggiornamento (2012/12/30): Gizmodo ha pubblicato altri dettagli della scenata di lesa maestà di Randi Zuckerberg.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Phishing ticinese verso i docenti

Phishing ticinese verso i docenti

Quanto dev’essere sofisticato un attacco di phishing? Non molto

Giovedì ero in una scuola di Bellinzona per una lezione su Internet e le sue trappole sociali e tecniche. Una delle docenti mi ha mostrato una mail sospetta:

Da: “Posta elettronica scuola TI – @edu.ti.ch” <[omissis]@yahoo.com>
Data: 16 novembre 2011 20:10:06 GMT+01:00
A: [omissis]
Oggetto: Gentile utente edu.ti.ch ,
Rispondi a: [omissis]@w.cn

Gentile utente edu.ti.ch ,

Un virus DGTFX è stato rilevato nelle cartelle account di posta elettronica edu.ti.ch deve essere aggiornato a novembre i nostri protetta DGTFX nuovo anti-virus versione 2011 per prevenire danni ai nostri log di database e file importanti.

Fare clic sulla scheda risposta, riempire le colonne di sotto e rispedire o il vostro account di posta elettronica verrà interrotto immediatamente per evitare la diffusione del virus.

Nome utente:
Password:

Si noti che la password viene cifrata con chiavi RSA a 1024 bit per la vostra sicurezza password. Siamo profondamente dispiaciuto per l’inconveniente.

Il tuo account possono anche essere verificate immediatamente entro 24 ore,: informazioni non corrette possono portare a sanzioni, confisca o sospensione del tuo account.

NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l’autenticazione!

Grazie per la vostra comprensione.
Supporto tecnico / Team TSR manutenzione.
Posta elettronica scuola TI – @edu.ti.ch Servizio Clienti

Copyright © 1994-2011 edu.ti.ch ! Tutti i diritti riservati. Termini di servizio – Copyright / IP Policy – Linee guida Per ulteriori informazioni su come utilizziamo i tuoi dati leggi la nostra Politica sulla Privacy – Informazioni confidenziali

Pensavo si trattasse di un tentativo casuale di phishing e le ho consigliato di non rispondere e cestinare il messaggio, ma stamattina ho saputo dalla stampa locale (Tio.ch; Cdt.ch) che la stessa mail è stata ricevuta anche da altri docenti delle scuole ticinesi. E purtroppo qualcuno di loro ha risposto, presumibilmente regalando il proprio nome utente e la propria password ai criminali.

Non paghi del loro successo, stamattina gli spioni hanno insistito:

Da: “Posta elettronica scuola TI – @edu.ti.ch” <[omissis]>
Data: 19 novembre 2011 03:44:34 GMT+01:00
A: [omissis]
Oggetto: ultimo avvertimento
Rispondi a: [omissis]@w.cn

Cari edu.ti.ch! utente,

 Attualmente stiamo aggiornando tutte le e-mail account edu.ti.ch! del database ed e-mail centro vista conto cioè home page, migliorare la sicurezza di installazioni di nuovi virus 2011 anti-spam e anti, spazio della cassetta postale di grandi dimensioni. ! account di posta elettronica edu.ti.ch che non sono più attivi per permettere di creare più spazio per i nuovi utenti conti.

 In altri di continuare a usare i nostri servizi si è bisogno di aggiornare e ri-confermare i vostri dati account e-mail come richiesto qui di seguito:

 Indirizzo e-mail
 password
 Data di nascita:

 In caso contrario, questo sarà immediatamente rendere il tuo account disattivati ​​dal nostro database ed il servizio non sarà interrotto messaggi importanti può anche essere persa a causa della tua calo di ri-ci ha confermato i dettagli del conto. E ‘anche pertinenti, si capisce che la nostra preoccupazione principale è la sicurezza per i nostri clienti, e per la sicurezza dei propri file e dati.

 NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l’autenticazione!

 Grazie per la vostra comprensione.
 Supporto tecnico / Team TSR manutenzione.

Si pensa sempre che gli “hacker” (termine improprio, ma pazienza) usino stratagemmi ultrasofisticati, ma in realtà molto spesso basta un attacco grossolano per superare le difese dei sistemi sfruttando l’anello debole della catena: l’utente.

In questo caso alcuni docenti avrebbero dato retta a un messaggio-trappola nonostante:

1. fosse scritto in un italiano catastroficamente sgrammaticato
2. provenisse da un indirizzo che per simulare una provenienza autorevole usava soltanto un espediente banalissimo (una descrizione e nulla più, lasciando in chiaro il vero mittente e il reply-to cinese)
3. chiedesse loro dati estremamente sensibili come le password e le date di nascita.

Se questo attacco ha avuto successo, vuol dire che basta davvero poco, persino un messaggio sgangherato come questo, per ingannare gli utenti. Vuol dire anche che i docenti (e con loro molti altri utenti) hanno bisogno urgente di una sensibilizzazione all’uso di Internet e di uno strumento fondamentale come l’e-mail. Sembra proprio che manchino le basi, e questo è preoccupante.

Inoltre, se questo attacco ha colpito esclusivamente docenti, vuol dire che gli aggressori si sono impadroniti in qualche modo della rubrica dei loro indirizzi e che quindi c’è stata una compromissione della sicurezza dei servizi informatici scolastici. In tal caso non si tratterebbe di un tentativo a casaccio che per pura coincidenza ha raggiunto anche dei docenti, ma di un attacco mirato (spear phishing).

Speriamo che l’incidente serva di lezione, non solo in Canton Ticino ma anche altrove. Se qualcuno ne sa di più, mi scriva.

Questo articolo vi arriva grazie alla gentile donazione di “pilla” ed è stato aggiornato dopo la pubblicazione iniziale.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Estorsione sessuale tramite virus e webcam, arresto

Estorsione sessuale tramite virus e webcam, arresto

Ricattava oltre 200 donne e ragazze via webcam, arrestato

Se avete notato l’abbondanza di immagini amatoriali senza veli di ragazze anche giovanissime su Internet, riprese nelle loro stanze, e le avete interpretate come una dimostrazione della decadenza dei valori della società occidentale o di una sfrenata passione giovanile per l’esibizionismo, tenete presente che esiste anche un’altra possibile spiegazione: il ricatto.

Dagli Stati Uniti, specificamente dalla divisione informatica dell’FBI di Los Angeles, arriva infatti la notizia dell’arresto di un trentunenne che era riuscito a infettare silenziosamente i computer di oltre 200 donne e ragazze, alcune ancora minorenni, attivandone di nascosto microfoni e telecamerine incorporate (webcam). Conquistava la fiducia delle proprie vittime presentandosi come una ragazza in un social network o impersonando un’amica, poi inviava loro un file dicendo che si trattava di un video impressionante. Le vittime, fidandosi della fonte, aprivano il video e infettavano il proprio computer, che catturava di nascosto immagini dei loro momenti privati oppure permetteva al delinquente di prelevare dal computer le loro foto personali.

Il criminale usava poi queste immagini rubate come arma di ricatto, minacciando le vittime di pubblicarle o di mandarle ai loro parenti e amici se non avessero collaborato esibendosi per lui davanti alla webcam in pose ancora più esplicite e senza veli. Ovviamente il ricatto a quel punto diventava ancora più forte.

Non è il primo caso del genere e non sarà certo l’ultimo, come sottolinea Sophos nel commentare l’arresto, per cui la guardia deve restare sempre alta, ma stavolta l’FBI chiede la collaborazione degli utenti di tutto il mondo: ha pubblicato l’elenco delle identità online del ricattatore e chiede di fornire, attraverso il sito tips.fbi.gov, segnalazioni e testimonianze delle sue malefatte. Per tutti, comunque, vale il suggerimento di coprire la webcam con un pezzo di nastro adesivo nero o altro sistema meccanico quando non la usate e di spegnete il computer quando non lo state adoperando. Specialmente se avete il computer in camera vostra.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.