Cosa è l’email Spoofing

COS’E’ e CHI è coinvolto
L’email spoofing è una tecnica utilizzata dagli spammer che consiste nell’invio di email con l’indirizzo del mittente falsificato. Gli spammer (persone specializzate nella spedizione di messaggi contenenti di solito pubblicità, virus o altri contenuti indesiderati) si servono degli indirizzi contraffatti degli utenti, per inviare messaggi a destinatari che il mittente di solito conosce; lo scopo è di indurli ad aprire le mail e cliccare sui link che contengono. Il titolare della mail, ignaro di tutto, se ne accorge solo dalle notifiche o dalle mail di segnalazione che gli arrivano. Un fenomeno, questo, di cui sono vittima utenti e provider di tutto il mondo.

COME succede?
Le email contraffatte sono spedite in modo massiccio da server usati dagli spammer spesso in modo fraudolento, generalmente situati in Paesi esteri dove le normative sono meno restrittive se non assenti. Le email inviate non hanno alcun contatto con i server dei provider. Ecco perché i provider stessi, come Libero, non possono impedirne l’invio.

LE TECNICHE
Accesso non autorizzato all’account: avviene se ignoti entrano in possesso della password dell’utente. I metodi utilizzati sono molteplici. La password può per esempio essere ricostruita – attraverso appositi software – partendo dalle informazioni personali che gli utenti stessi hanno postato in internet o sui Social Network (Forum, Blog, ecc… ); o magari sottratta, perché il proprietario l’ha utilizzata su più siti e quindi è più facile intercettarla. Ecco perché è fondamentale creare password sicure, cambiarle regolarmente, non usarle su più siti e ricordarsi di fornire le informazioni per il recupero.

Invio indipendente dall’account: in moltissimi casi non c’è violazione dell’account. Gli spammer possono per esempio generare elenchi di mail utilizzando software specifici, e lanciare invii massicci fino a individuare le email valide. Oppure intercettare con vari metodi una mail autentica inviata in precedenza, copiarne l’indirizzo e, tramite loro sistemi, inviare messaggi alle persone che erano in indirizzo o in copia.

CONSEGUENZE PIU’ FREQUENTI
Invio ripetuto di mail dall’indirizzo contraffatto di un utente verso caselle di persone che conosce
Ricezione nella propria casella di messaggi di notifica e errore, che non corrispondono a email effettivamente inviate
Ricezione di messaggi di persone note, che segnalano mail mai inviate
La chiusura di un Account, purtroppo, non incide sul fenomeno. Una casella cancellata non può più inviare la posta, ma le mail con indirizzo falsificato, poiché viaggiano sempre all’esterno dei server del provider proprietario, potranno continuare ad essere spedite.

COSA POSSO FARE?
Controlla il tuo Account:
Cambia la tua password, andando nell’area di Gestione dei tuoi dati personali e annotala subito per non dimenticarla
Elimina i contatti mail che non conosci dalla tua rubrica
Fai un controllo sugli Account secondari che hai sulla tua Webmail ed elimina quelli che non riconosci
Cambia la password dei tuoi Account secondari
Controlla e in caso disattiva la risposta automatica

Controlla il computer che stai usando alla ricerca di virus o malware:
Fai un controllo del tuo computer con un buon antivirus

Verifica la presenza di messaggi falsificati:
Le mail falsificate sembrano provenire dal tuo account email, ma in realtà non partono dal tuo account che non è interessato dalla attività fraudolenta
I provider di mail non possono impedire che i propri nomi di dominio vengano falsificati e non possono fermare l’invio di Spam da sistemi da loro non controllati nè controllabili
Per fermare questo tipo di Spam bisogna rivolgersi al provider che sta inviando i messaggi
Per riconoscere questo tipo di Spam è necessario avere accesso a uno dei messaggi falsificati (ossia ad uno dei messaggi ricevuti, a tua insaputa, dai tuoi contatti) e verificare le informazioni contenute nell’Header. Se ad esempio, la lettura del messaggio avviene sulla Webmail di Libero, occorre aprirlo in lettura, poi cliccare su Altre azioni e quindi su Mostra intestazioni
Nell’ultima delle righe “Received” dell’intestazione completa, prendi nota dell’indirizzo IP di origine che corrisponde all’ISP (Internet Service Provider) del mittente
Cerca l’indirizzo IP in un sito come http://whois.domaintools.com/ per stabilire quale ISP fornisce l’accesso Internet a quel mittente
Contatta il rispettivo ISP tramite un indirizzo Abuse messo a disposizione, per chiedere che il mittente venga bloccato per Spam

Condividi:

e-mail “Ti ringraziamo per l’ordine effettuato di recente” è un VIRUS

In questi giorni ci giungono molte richieste di aiuto per computer che sono stati criptati da un virus, il malcapitato si trova anche la richiesta di riscatto dai 200 ai 500 $ in Bitcoin.

L’attacco inizia con una e-mail ben studiata:


Ciao,

Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver ricevuto i prodotti restituiti.
Il tuo numero di riferimento è: B353370558561436 Leggi tutto "e-mail “Ti ringraziamo per l’ordine effettuato di recente” è un VIRUS"
Condividi:

Phishing: ri-attivare e aumentare la quota di webmail

Ancora una volta sono ad avvertirvi di una nuova mail di truffa hacker, questa volta riguardante la “quota” webmail.

La mail che ci è arrivata è la seguente:

“La quota webmail ha superato la quota stabilita che è 2 GB. è
attualmente in esecuzione su 2.3Gb.
Per far piacere ri-attivare e
aumentare la quota di webmail clicca o copia il link qui sotto
http://upgrademail.ucoz.com/outlook.html   (non è ovviamente un link per riattivare e aggiornare l’account webmail!) Leggi tutto “Phishing: ri-attivare e aumentare la quota di webmail”

Condividi:

ancora una lettera dal Registro Italiano in Internet

Anche oggi una lettera (cartacea!) dal fantomatico Registro Italiano in Internet.

Come abbiamo già spiegato un anno fa (leggi l’articolo di un anno fa sul “Registro Italiano in internet” ) questa azienda non ha alcun “diritto” sul vostro dominio questa lettera è una proposta commerciale, non c’è alcun obbligo di firmare e pagare.

dati personali nella lettera del Registro Italiano internet
clicca sull'immagine per vedere una copia della lettera

L’unico vero Registro italiano è quello gestito dall’Istituto di Informatica e Telematica del CNR di Pisa, che non chiede soldi!

Qui trovate una lista  delle “SOCIETÀ SCORRETTE GIÀ SANZIONATE PER PUBBLICITÀ INGANNEVOLE”

La società dietro a “registro italiano in internet”  è la DAD Deutscher Adressdienst GmbH e la trovate nella suddetta lista .. .

Non lasciatevi ingannare dai vostri dati presenti nella suddetta lettera, sono i dati di registrazione del dominio che sono pubblici!

Se avete dubbi contattate il vostro consulente informatico di fiducia.

Condividi:

Phishing: Storno estratto conto CartaSi

Sono ancora una volta a mettere in guardia da mail truffaldine.

La e-mail che mi è arrivata oggi è questa :

Gentile Titolare,

l’ abbiamo provata a contattare telefonicamente senza nessun esito
la banca dove addebita l ‘ estratto conto ha stornato l addebito del mese corrente
la preghiamo di verificare attraverso i servizi on line i dati che ci ha fornito in fase di registrazione

a seguito verra’ contattato da un nostro operatore con il seguente numero di pratica 776131/09
Leggi tutto “Phishing: Storno estratto conto CartaSi”

Condividi:

AVG: possibile falso positivo – il computer non si avvia

AVG Falso positivo

E’ possibile che alcuni pc non si riavviino dopo spegnimento.

Se avete Windows XP aggiornato al Service Pack 3 con un prodotto AVG, NON riavviate il vostro computer.

Questa mattina il noto produttore di software di protezione ha fatto sapere tramite mail ai suoi rivenditori che eventuali scansioni avrebbero potuto isolare in quarantena un file necessario al corretto avvio di windows, il nome del file non è stato ancora reso pubblico dato che Grisoft sostiene che i test interni non hanno dato prova dell’esistenza del problema.

Di seguito un estratto della mail: Leggi tutto “AVG: possibile falso positivo – il computer non si avvia”

Condividi:

phishing-arriva-tabnabbing

Si chiama “tabnabbing” ed è una nuova forma di phishing che si sta diffondendo sul Web. Questo tipo di attacco sfrutta l’abitudine degli utenti di aprire più schede all’interno del browser durante la normale navigazione Internet per consultarle poi una ad una.

Nel tabnabbing, la vittima clicca su un link trovato su Internet e finisce su una pagina dall’aria del tutto innocua che non gli chiede password o altro e quindi non lo mette sul chi vive, ma ha un contenuto interessante. Così la vittima non la chiude ma passa a un’altra scheda del browser. Quello che l’utente non si aspetta è che la pagina-trappola a questo punto aspetta che nessuno la stia guardando e si trasforma: cambia la propria icona (favicon) e il proprio contenuto, diventando una pagina che richiede l’autenticazione per un servizio adoperato dall’utente: per esempio, la login di Gmail.
La vittima penserà molto probabilmente di aver lasciato aperta una scheda del servizio e crederà di essere stato scollegato dal servizio per mancato utilizzo, come avviene periodicamente, e quindi immetterà nella pagina-trappola le proprie credenziali nel tentativo di fare login, regalando così all’aggressore i propri codici. Per completare il furto con destrezza, l’aggressore può poi trasferire l’utente e le sue credenziali alla pagina vera del servizio, così l’utente farà effettivamente login e non si accorgerà che gli è stata sottratta la password di accesso.

L’attacco può essere perfezionato e personalizzato utilizzando la cronologia memorizzata nel browser.

La trappola, come nota Raskin, si basa sull’idea sbagliata che una scheda sia immutabile e usa il forte richiamo visivo di un’icona. Una dimostrazione di questo tipo di attacco è presente su questa pagina del blog di Aza Raskin, Creative Lead di Firefox. Per vedere come funziona, basta aprire la pagina e poi spostarsi su un’altra tab facendo passare più di 5 secondi. Ritornati sulla pagina di prima, questa si sarà trasformata nella schermata di login di Gmail.

fonti : http://attivissimo.blogspot.com ; http://news.wintricks.it

Condividi:

McAfee : svchost.exe falso positivo w32/wecorl.a, computer bloccato

Come anni fa AVG oggi tocca a McAfee ; Per errore un aggiornamento cancella dei files vitali di windows  e blocca i computer degli utenti .

altre informazioni : http://www.megalab.it/5986/mcafee-blocca-il-pc-degli-utenti

soluzione: http://vil.nai.com/vil/5958_false.htm?elq_mid=2363&elq_cid=277011

Sintomi

potrebbero presentarsi questi sintomi:

  • tema di windows 2000
  • barra della applicazioni (quella con START per capirci) non visibile
  • copia ed incolla dei files disabilitato (l’incolla in realtà è disabilitato)
  • errore all’avvio di skype : “server RPC non disponibile”
  • nessuna scheda di rete presente sul PC
  • impossibilità di utilizzare un “punto di ripristino”

Aggiornamento (ore 11.15) – mail arrivata da McAfee :

McAfee has developed a SuperDAT remediation Tool to restore the svchost.exe file on affected systems.

Q:   What does the SuperDAT Remediation Tool Do?

A:   The tool suppresses the driver causing the false positive by applying an Extra.dat file in c:\program files\commonfiles\mcafee\engine folder. It then restores the svchost.exe by looking first in %SYSTEM_DIR%\dllcache\svchost.exe, if not present it will attempt a restore from %WINDOWS%\servicepackfiles\i386\svchost.exe, if not present it will attempt a restore from quarantine. After the tool is run, the machine needs to be rebooted.

Recommended Recovery SuperDAT Procedure

1.     From a machine that has Internet access, locate and download the Recovery SuperDAT at http://download.nai.com/products/mcafee-avert/tools/SDAT5958_EM.exe and save it to portable media.
2.     Take the portable media to each affected machine and run the tool. If you are not able to run the tool on the affected machine, boot in safe mode
3.     Execute the Recovery SuperDAT tool
4.     Reboot in normal mode
5.     Use the product update to update to 5959

For additional FAQs and information, go to https://kc.mcafee.com/corporate/index?elq_mid=2373&elq_cid=277011&page=content&id=KB68780 which will remain up to date.

================================
UPDATE #4  (7:38pm US/CDT)

McAfee has published recovery procedures for the following two scenarios:

  • Recommended Manual Recovery Procedure using the Extra DAT where DAT 5958 is currently installed
  • Alternate Manual Recovery Procedure using DAT 5959 where DAT 5958 is currently installed

This information has been posted on http://vil.nai.com/vil/5958_false.htm and will be continuously updated as more information and procedures become available.

================================
UPDATE #3 (2:55pm US/CDT)

Emergency DAT 5959 has been posted and is available at http://www.mcafee.com/apps/downloads/security_updates/dat.asp. This file is available in English and is replicating in other languages. For MORE information, go to the 5958 DAT Report on http://vil.nai.com/vil/5958_false.htm.

================================
UPDATE #2 (12:47pm US/CDT)

McAfee is aware that a number of corporate customers have incurred a false positive error due to incorrect malware alerts. Our initial investigation indicates that the error can result in moderate to significant performance issues on systems running Windows XP Service Pack 3.

The 5958 DAT has been removed from McAfee download servers, preventing any further impact to corporate customers. McAfee teams are working with the highest priority to support impacted customers and plan to provide an update virus definition file shortly. You can view information at https://kc.mcafee.com/corporate/index?elq_mid=2373&elq_cid=277011&page=content&id=KB68780 (NOTE: system is currently slow) or the McAfee Community at http://community.mcafee.com/docs/DOC-1374/

We will notify you of an emergency update when available, or in 90 minutes.

================================

ORIGINAL EMAIL (11:06am US/CDT)

McAfee is aware of a w32/wecorl.a false positive with the 5958 DAT file April 21 at  2:00pm (GMT +1). McAfee advises NOT to download this DAT. Please disable pull tasks and update tasks.

Information updates will be sent every 90 minutes to keep you advised.


McAfee Support Notification Service (SNS) provides valuable information to help you maximize the functionality and protection capabilities of your McAfee products.

To manage your SNS email preferences, please go to the SNS Subscription Center at http://my.mcafee.com/content/SNS_Subscription_Center
(
NOTE: This URL ensures your previous preferences are populated for your review).
For Support issues, contact your Support Account Manager (SAM), or go to https://mysupport.mcafee.com.
For McAfee Security Quickstart services, go to http://www.mcafeequickstart.com.
For other questions, go to http://www.mcafee.com/us/about/contact/index.html and select the appropriate contact link.

McAfee, Inc. | 3965 Freedom Circle | Santa Clara, CA | 95054 | 888.847.8766 | www.mcafee.com

McAfee and/or additional marks herein are registered trademarks or trademarks of McAfee, Inc. or its affiliates in the US and other countries. All other registered and unregistered trademarks herein are the sole property of their respective owners. © 2010 McAfee, Inc. All rights reserved.

Condividi:

Cambio password e-mail

La maggior parte dei fornitori di servizi e-mail mette a disposizione dell’utente finale la possibilità di effettuare il cambio della password di accesso alla propria casella  di posta, i passi da seguire sono i seguenti:

  • accedere alla casella di posta elettronica tramite l’interfaccia web
  • accedere alla sezione impostazioni dell’account
  • seguire la procedura per la modifica della password

Di seguito prendiamo un esempio dettagliandolo con i relativi passaggi:

Accedere alla posta elettronica via web tramite il servizio di webmail

Accedere alle Impostazioni in alto a destra della pagina

Selezionare la voce Account e cliccare su Impostazioni account

Nella nuova finestra che si apre, cliccare su Cambia password

Compilare i campi come richiesto e confermare con Cambia password

A questo punto la password è stata cambiata, al primo invio/ricezione sul programma che scarica la posta installato sul vostro Windows vi verrà richiesto di inserire la nuova password.

Condividi:

Cambio password dell’utente windows

Per la sicurezza dei dati, ogni computer dovrebbe permettere l’accesso ad ogni utente con delle credenziali personali e conosciute solo dallo stesso.

Con credenziali si intende un codice identificativo (di solito il nome utente) e una password, la password va cambiata spesso, ogni 3 o 6 mesi, ma come si procede per cambiare una password dell’utente di windows?

Di seguito i passaggi illustrati per guidarvi in questa operazione su Windows XP, su Windows Vista e Windows 7 (la procedura è identica per questi ultimi due).

Come prima cosa dovete fare  accesso a Windows con le vostre credenziali, cioè accendere il computer e inserire nome utente e password.

Una volta collegati dovete premere in sequenza i tasti della tastiera Crtl   Alt   Canc (tenendoli premuti uno dopo l’altro fino all’ultimo tasto)

vi troverete davanti a questa schermata, cliccate su Cambia password…

Inserire i dati inserendo PRIMA la password fino ad ora utilizzata (Vecchia password:)

e SUCCESSIVAMENTE per 2 volte la Nuova password e poi OK oppure “Freccia avanti

A questo punto la password è stata cambiata.

Condividi: