Vai al contenuto
Occhio alle mail che parlano di prenotazioni di voli FlySwiss

Occhio alle mail che parlano di prenotazioni di voli FlySwiss

Se ricevete messaggi o mail che sembrano provenire da FlySwiss, fate molta attenzione, perché si può trattare di tentativi di infettare il vostro computer con un trojan bancario denominato Retefe. Lo ha tweetato pochi giorni fa @Govcert_ch, l’account Twitter della Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Svizzera MELANI.

Lo schema della truffa è abbastanza classico, ma non manca mai di fare vittime: il messaggio-trappola parla di una prenotazione di un volo con la Swiss International Air Lines e include un allegato Word che a prima vista sembra la documentazione della prenotazione ma in realtà è infettante.

Il documento, infatti, contiene una dicitura che dice che per visualizzare il testo bisogna abilitare le macro e fornisce le istruzioni per farlo. Non è vero: abilitando l’esecuzione delle macro si attiva l’installazione del malware. Cestinate il messaggio senza aprire l’allegato e senza abilitare le macro e sarete a posto.

Retefe (documentato qui da Govcert.ch) circola almeno dal 2013 e si evolve man mano. Esiste anche in versione per Mac e Android, e usa una complessa serie di trucchi informatici per modificare la configurazione del computer e intercettare i dati delle transazioni bancarie.

Se ricevete questo genere di trappola, segnalatelo presso Antiphishing.ch.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Cosa fare se sospettate un tentativo di phishing: un caso pratico

Cosa fare se sospettate un tentativo di phishing: un caso pratico

Ieri mi è arrivata la segnalazione di una mail che sembrava l‘avviso di sicurezza di una banca. La persona che me l’ha mandata non era correntista di quella banca, per cui ha capito subito che si trattava di un inganno, ma a quel punto è sorta la domanda: adesso che si fa?

La procedura è semplice, e la riassumo qui come promemoria perché così potete contribuire anche voi a bloccare questo genere di tentativo di furto di credenziali bancarie o phishing:

  1. Se ricevete una mail o un messaggio che proviene apparentemente da una banca o da qualunque organizzazione che gestisce soldi e vi invita a cliccare su un link per qualunque motivo, non fatelo.
  2. Se siete al computer, potete portare il mouse sopra il link (senza cliccare) e vedere il nome del sito in cui andreste a finire se vi cliccaste sopra.
  3. Copiate quel nome (di solito basta un clic col pulsante destro o Ctrl-clic) e mandatelo a Antiphishing.ch, l’apposito sito per le segnalazioni realizzato dalla Centrale d’annuncio e d’analisi per la sicurezza informatica MELANI. Non è richiesta registrazione. L’Italia ha un servizio analogo, ma richiede registrazione.
  4. Segnalatelo anche a Netcraft.com.
  5. Cestinate il messaggio.

Queste segnalazioni, una volta verificate, permettono alle autorità e alle società di sicurezza informatica di contattare il sito che ospita la pagina di phishing (spesso senza saperlo) e invitare il proprietario a rimuoverla. Inoltre il sito viene messso nelle liste nere dei principali operatori di sicurezza informatica. In questo modo contribuite a proteggere tanti utenti.

Questo genere di segnalazione ha un effetto quasi immediato: ieri il sito-trappola è scomparso dopo pochi minuti dalla mia segnalazione.

La pagina-trappola imitava una nota banca.
Notate l’indirizzo.
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come far sembrare autentico un sito falso: aprire una ditta di nome “Identity Verified”

Come far sembrare autentico un sito falso: aprire una ditta di nome “Identity Verified”

Ultimo aggiornamento: 2017/12/15 10:35. 

Una delle consuetudini errate ma molto diffuse tra gli internauti è che se un sito mostra accanto al nome un lucchetto chiuso si tratta di un sito autentico e quindi vi si può immettere tranquillamente la propria password (non si tratta, insomma, di un sito-fotocopia di phishing). Questo era abbastanza vero fino a qualche anno fa, ma in realtà oggi il lucchetto indica soltanto che la comunicazione con il sito è criptata e non è più una forma di autenticazione, perché adesso chiunque può procurarsi un certificato digitale di sicurezza (che attiva la visualizzazione del lucchetto) anche gratuitamente, come scrivevo pochi giorni fa.

Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso, ed è meglio conoscerlo per non farsi ingannare.

Burton ha aperto una ditta nel Regno Unito (un’operazione molto semplice e poco costosa) e l‘ha chiamata Identity Verified. Poi si è rivolto a Symantec e si è fatto dare un certificato digitale di sicurezza per aziende intestato alla Identity Verified e associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni (il certificato è stato revocato dopo la pubblicazione dell’articolo del ricercatore). Infine ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.

Risultato: una vittima che visita il sito con il proprio iPhone e Safari (per esempio perché ha cliccato su un link in una mail che finge di essere un allarme di Google o Paypal) si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l’inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma sono semplicemente il nome della ditta.

Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.

Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.

Morale della storia: non fidatevi di quello che vedete nel browser dopo aver cliccato su un link ricevuto in un messaggio di allerta. Meglio ancora, non cliccate su questo genere di link ma visitate manualmente il sito citato nel link, scrivendone il nome oppure usando i Preferiti se l’avete già salvato tra i Preferiti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lucchetto chiuso, icona sempre più usata dai truffatori online

Lucchetto chiuso, icona sempre più usata dai truffatori online

Rispondete al volo: che cosa significa l’icona del lucchetto chiuso che si vede ogni tanto accanto al nome di un sito Internet? Per molti utenti significa sicurezza e autenticità. Si consiglia spesso di controllare che quest’icona sia presente prima di digitare una password o immettere dati personali in un sito, e alcune app di navigazione, come per esempio Google Chrome, visualizzano la parola “Sicuro” accanto a questo lucchetto.

Ma in realtà la parola “sicuro” è un po’ ingannevole e può creare un falso senso di fiducia che apre le porte ad alcune truffe informatiche. Questo lucchetto, infatti, non garantisce affatto che il sito sia autentico: indica soltanto che i dati che immettiamo vengono trasmessi via Internet in maniera criptata e quindi difficilissima da intercettare. Non dice nulla sull’identità e sull’affidabilità del sito.

Questo vuol dire che i truffatori possono costruire un sito che imita visivamente l’aspetto grafico di un sito famoso (per esempio quello di Facebook, di Google, di una banca o di un negozio) e poi possono inviare alla vittima una mail o un messaggio Facebook o WhatsApp per invitarla a visitare il sito fraudolento e poi digitarvi la propria password per rubargliela, con l’impressione rassicurante di trovarsi nel sito autentico perché viene visualizzato il lucchetto chiuso insieme alla parola “Sicuro.”

La vittima si salverà da questa trappola (chiamata in gergo phishing) soltanto se noterà che il nome del sito non è quello giusto. Ma sono in pochi a controllare anche il nome di ogni sito che visitano: di solito ci si ferma a controllare l’aspetto visivo del sito e la presenza del lucchetto, specialmente sugli schermi piccoli dei telefonini, e nulla più.

Secondo dati pubblicati pochi giorni fa dalla società di sicurezza PhishLabs, oggi un quarto dei siti-trappola creati dai truffatori per rubare password mostra il lucchetto chiuso. Un aumento straordinario, visto che soltanto un anno fa i siti truffaldini con questa capacità erano meno del tre per cento.

Questo boom significa che i ladri di password si sono resi conto che gli utenti abbassano le proprie difese quando vedono il lucchetto chiuso e quindi si sono attrezzati in massa per mostrarlo. Cade così una delle raccomandazioni di sicurezza più diffuse e longeve: oggi non basta più cercare il lucchetto chiuso ma bisogna anche controllare che il nome del sito sia quello giusto, ed è facile confondersi. Per esempio, il sito della vostra banca, o quello di quel negozio online che usate spesso, si scrive con o senza il trattino in mezzo?

Per evitare tutti questi rischi per fortuna c’è una soluzione: ignorare qualunque messaggio che ci inviti a cliccare su un link per visitare un sito e usare invece l’app corrispondente al sito. Per esempio, invece di seguire un link che sembra portarci ad Amazon, su smartphone e tablet ci conviene usare l’app di Amazon, che ci porta sicuramente al sito autentico. Sui computer, invece, saremo più sicuri se cliccheremo sui Preferiti, dove abbiamo registrato il nome esatto del sito in questione. Tutto qui.

Fonte aggiuntiva: Naked Security. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 12 dicembre 2017.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attenti ai rubapassword su Educanet2.ch: perché attaccare docenti e studenti?

Attenti ai rubapassword su Educanet2.ch: perché attaccare docenti e studenti?

Tante vittime di furti di password non prendono precauzioni perché pensano “Chi vuoi che mi prenda di mira? Non ho nulla che valga la pena di rubare e non sono nessuno”. Ma in realtà tutti siamo un bersaglio interessante per qualcuno.

Prendete per esempio un docente: a cosa mai potrebbe servire rubargli le password di gestione del suo account scolastico? A qualcosa sicuramente serve, visto che un lettore, Decio, mi segnala questo tentativo di phishing ai danni degli utenti di educanet², che si descrive come “la piattaforma principale per l’insegnamento e l’apprendimento online in Svizzera”, creata nel 2001 su mandato della Confederazione e dei cantoni. “Oggi più del 90% delle scuole svizzere attive su di una piattaforma online lavorano con educanet²”, dice il sito.

Il phishing è stato bloccato nel giro di poche ore, ma era ospitato su educanetserviceaccounts punto weebly punto com: un dominio che avrebbe ingannato sicuramente più di uno dei 478.000 allievi e 153.000 insegnanti, specialmente se distratti dal messaggio d’allarme visualizzato, che diceva che l’account risultava bloccato.

Le motivazioni dietro un attacco del genere possono essere varie: per esempio, uno studente potrebbe procurarsi informazioni utili per gli esami (il periodo di fine anno scolastico potrebbe non essere una scelta casuale); uno spammer potrebbe usare l’account rubato per saccheggiarne la rubrica degli indirizzi e mandare spam che proverrebbe da un indirizzo fidato; un truffatore potrebbe semplicemente catturare gli indirizzi di mail e le password, confidando nel fatto che le persone tendono a usare la stessa password dappertutto e che quindi altri servizi Internet usati dalla vittima (per esempio a pagamento oppure personalmente compromettenti e quindi usabili per ricatti, come gli archivi delle foto personali) saranno accessibili con la stessa coppia indirizzo-password.

Occhi aperti, quindi: come al solito, non lasciatevi ingannare dal logo familiare o dai messaggi d’allarme, ma prima di digitare qualunque password, anche quella del sito o servizio che ritenete più innocuo e insignificante, controllate che la barra di navigazione mostri il lucchetto chiuso di autenticazione e il nome esatto del sito.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
iPhone smarrito? Attenzione alle false notifiche di ritrovamento

iPhone smarrito? Attenzione alle false notifiche di ritrovamento

Le funzioni di recupero dei telefonini smarriti o rubati sono molto pratiche, ma i criminali informatici le stanno sfruttando per creare trappole davvero notevoli. Joonas Kiminki su Hackernoon ne segnala una che può ingannare molto facilmente perché gioca sulle emozioni.

Joonas era in vacanza a Torino quando gli hanno rubato l’iPhone lasciato in auto. Così ha attivato Trova il mio iPhone, segnando il telefonino come smarrito, in modo da ricevere una mail di avviso se il telefonino tornava online.

Undici giorni dopo ha ricevuto un SMS e una mail di notifica: telefonino trovato. Entusiasta ed emozionato, ha cliccato sul link fornito nella mail, ha raggiunto il sito di Trova il mio iPhone e ha iniziato a digitare le proprie credenziali. Poi, però, si è accorto che si trattava di un sito falso, che imitava quello autentico in tutto e per tutto a parte due elementi importanti ma facili da dimenticare per l’emozione: la sessione non era cifrata (niente lucchetto nella casella dell’indirizzo) e il nome del sito non sembrava uno di quelli solitamente usati da Apple. Joonas si è fermato a un passo dalla trappola.

Il telefonino era bloccato, quindi come hanno fatto i truffatori a trovarne il proprietario? Probabilmente hanno usato la funzione Cartella medica, che consente di accedere ai contatti d’emergenza anche quando il telefonino è bloccato, e hanno cercato il nome su Google, trovando il sito di Joonas Kiminki (aiutati anche dal suo nome piuttosto raro).

Perché l’hanno fatto? Joonas spiega che non è possibile attivare un iPhone se è collegato a un account iCloud, per cui se il ladro vuole attivarlo deve scollegarlo da iCloud, per cui contatta il derubato e si fa dare con un trucco come questo le credenziali di accesso ad iCloud, in modo da scollegarlo e renderlo rivendibile. Ciliegina sulla torta, ruba anche l’identità della vittima.

Morale della storia: non lasciate in auto oggetti di valore, ovviamente, ma soprattutto fate attenzione, in caso di furto del telefonino, ai messaggi che vi avvisano del suo ritrovamento: spesso sono realizzati in modo molto professionale, perché la rivendita di smartphone rubati è un’industria illegale ma remunerativa. Già che ci siete, attivate un backup dei dati che tenete sul dispositivo e mettete una password sulla schermata di accesso.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Link sospetti da verificare? Sbirciateli con UrlQuery.net

Link sospetti da verificare? Sbirciateli con UrlQuery.net

Se vi capita spesso, come capita quasi a tutti, di ricevere mail sospette che contengono inviti a cliccare su link che promettono di darvi un premio o di risolvere un problema con un vostro account sarete probabilmente abituati a riconoscerli e cestinarli subito senza pensarci più. Ma magari vi piacerebbe sapere esattamente cosa si cela dietro questi link.

Cliccarvi sopra è ovviamente fuori discussione: è quello che vogliono i truffatori che vi hanno mandato la mail. Ma c’è un modo per visitare questi link senza mettersi in pericolo: farli visitare a qualcun altro. In questo caso, il qualcun altro non è un vostro amico da sacrificare, ma è UrlQuery.net: vi immettete il link e lui lo interpreta, mostrandovi la sua vera natura e anche un’immagine del suo aspetto.

Per esempio, provo a prendere una delle tante mail di phishing che ricevo, copio un suo link con un clic destro e lo incollo in UrlQuery.net. Il risultato, dopo una breve attesa, è questo:

La cosa più importante, almeno in termini di curiosità, è in alto: il link esaminato e convertito in modo da mostrare la destinazione finale della mail truffaldina, decodificando tutti gli abbreviatori di link e i redirect che servono ai truffatori per nascondere le proprie tracce.

Accanto al link c’è quello che volevamo: una schermata di quello che troveremmo sul sito dei truffatori se seguissimo il link. In questo caso incontreremmo una pessima imitazione di una pagina di login di TIM, ma non sempre la truffa è così evidente. Dettaglio interessante: quella pagina esiste indisturbata dal 2014.

Magari vi chiedete che senso abbia, per i truffatori, creare un’imitazione così malfatta: per cascarci bisognerebbe essere davvero sprovveduti. E i truffatori vogliono vittime facili e sprovvedute. In altre parole, la pessima qualità del sito fa da filtro per selezionare i candidati più appetibili.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Vuoi fare il criminale informatico? Non rubare nel tuo stesso paese

Non tutti i criminali informatici sono dei geni del male: spesso hanno successo semplicemente perché gli utenti e i servizi non prendono nemmeno le precauzioni più basilari. Ma anche i criminali a volte dimenticano le proprie precauzioni, come per esempio non lanciare attacchi che hanno effetto nel paese nel quale risiedono. Per esempio, il malware Mazar per dispositivi Android non si attiva se la vittima ha impostato come lingua il russo.

La ragione principale di questa tecnica è che è molto più facile, per gli inquirenti, rintracciare e arrestare chi commette reati localmente. Se gli attacchi informatici provengono da un altro paese, come capita di solito, i lavori d’indagine e soprattutto gli arresti diventano molto più onerosi da coordinare e le forze dell’ordine sono meno motivate a investire risorse su criminali che non fanno danni locali. Per questo molti reati informatici restano impuniti.

La lezione è stata imparata nel modo più duro di recente in Russia, dove sono state arrestate 50 persone nel corso di 86 perquisizioni in quindici territori russi: si tratterebbe della più grande retata contro il crimine informatico finanziario. La banda è sospettata di aver coordinato il furto di circa 25 milioni di dollari da banche e istituti finanziari russi, operando dal 2011 dapprima colpendo i correntisti usando un trojan denominato Lurk che rubava le credenziali di online banking e poi alzando il tiro con attacchi diretti ai sistemi informatici delle banche stesse.

La tecnica usata era basata sull’invio di mail false accuratamente confezionate che si spacciavano per messaggi della Banca Centrale Russa o dei suoi rappresentanti: chi apriva la mail finiva per infettarsi, aprendo la porta agli intrusi. Un classico, insomma: ma l’errore della banda è stato quello di toccare le banche nazionali, scatenando la reazione degli inquirenti.

Fonte: Sophos.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mail su finti rimborsi Telecom/Tim tentano di rubare le carte di credito

Mail su finti rimborsi Telecom/Tim tentano di rubare le carte di credito

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni di “luigipoll*” e “carlo.fr*”. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Su molte delle mie caselle di mail è arrivato questo messaggio, apparentemente proveniente da servizio.clienti@telecomitalia.it, che m’invita ad accedere al servizio per ottenere un rimborso di 110 euro. Il messaggio è una trappola: non seguite le sue istruzioni.

È un classico tentativo di furto dei codici delle carte di credito: lo segnalo perché è fatto meglio della media (poche sgrammaticature, loghi credibili, mittente apparente molto credibile) e perché ha superato ripetutamente i miei filtri antispam, cosa piuttosto insolita.

Il pulsante Accedi al servizio porta a questa schermata, che in realtà è ospitata presso it-10.com e non presso Tim.it:

Ovviamente lo scopo è quello di convincere l’utente a immettere password di Tim.it e dati della carta di credito, che finiranno così nelle mani dei criminali. Ho pensato di fornire un po’ di quelli di un mio caro collega, il noto giurista immaginario Massimo Della Pena. Anche qui la schermata di Tim.it è imitata piuttosto bene: c’è anche il controllo sulla coerenza del codice fiscale. L’unica nota stonata è quel Dati di client, che però può anche sfuggire per l’emozione di ricevere un (inesistente) rimborso. Ho già segnalato il caso a Netcraft e a Google.

Mi raccomando, occhio a non farvi allettare da chi vi promette qualcosa di goloso: non fidatevi dell’indirizzo del mittente (come vedete qui sopra, si può falsificare), controllate sempre che nella barra dell’indirizzo ci sia il nome corretto del sito insieme all’icona del lucchetto chiuso che autentica il sito. Se ricevete questa mail, cestinatela: se non avete immesso dati, non correte alcun rischio.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mail-truffa fingono di provenire da Facebook e WhatsApp: regole generali di difesa

Mail-truffa fingono di provenire da Facebook e WhatsApp: regole generali di difesa

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/01/22 15:20.

L’allerta diramato a proposito delle finte mail della Polizia Federale svizzera è una buona occasione per ripassare le regole di difesa principali contro questi attacchi molto diffusi, visto che oltretutto è stata segnalata un’ondata internazionale di spam rivolto agli utenti di Facebook e WhatsApp.

Non sono attacchi personali e i truffatori non sanno niente di voi. Sanno soltanto il vostro indirizzo di e-mail, ma non sanno se avete o no WhatsApp o Facebook: vanno a caso. Molte vittime si fidano del messaggio-truffa perché hanno l’impressione che sia rivolto personalmente a loro e pensano che solo i legittimi gestori di questi servizi possano sapere chi è utente e chi no.

ll mittente è quasi sempre un indirizzo che non c’entra nulla con quello legittimo del servizio citato dal messaggio. Per esempio, vedere un messaggio che dice di provenire dal servizio clienti di Whatsapp ma ha come mittente un indirizzo di Yahoo è un chiaro segno truffaldino. Tuttavia alcuni truffatori falsificano bene anche il mittente, per cui un indirizzo anomalo è sicuramente un sintomo d’inganno, mentre un indirizzo autentico non è garanzia di nulla.

Se vedete che da qualche parte nel titolo del messaggio c’è una sequenza di caratteri senza senso, è una trappola. Si tratta solitamente di codici usati dai truffatori per gestire l’ondata di messaggi che inviano.

Non cliccate sui link presenti nei messaggi inattesi che sembrano provenire dal servizio clienti di nessuna azienda. Spesso questi messaggi contengono link che portano a siti-trappola, dove risiede il malware o c’è una pagina che sembra quella legittima nella quale si immette la propria password per accedere a un servizio ma è in realtà una copia gestita dai truffatori. Se non siete stati voi a chiedere di ricevere una mail dal servizio clienti, per esempio perché avete richiesto un recupero password, cestinate tutto.

Non aprite nessun allegato a messaggi di questo tipo. Il malware di solito si annida lì. Se cestinate il messaggio senza aprire il suo allegato o cliccare sui suoi link non dovreste correre pericoli.

Usate applicazioni e sistemi operativi aggiornati e procuratevi un antivirus aggiornato.

– Prevenire è molto più facile che curare. L’attacco che sta bersagliando gli utenti di Facebook, per esempio, convince la vittima ad aprire un allegato. Questo allegato è malware che, spiega Microsoft, scrive nel Registro di Windows in modo da riavviarsi automaticamente ogni volta che viene riacceso il computer, blocca l’accesso ai siti dei produttori di antivirus, così il computer non può scaricare gli aggiornamenti che rivelerebbero l’infezione, e inibisce le notifiche del Centro Sicurezza di Windows. Fatto questo, si mette a rubare dati dal computer infettato.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.