Phishing banca di ...

Solite mail di "phishing"!
Ecco il messaggio con i soliti errori di ortografia:

"Gentile Cliente, Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.Per proteggere suo conto abbiamo sospeso il acceso.Per recuperare il acceso prego di entrare completare la pagina di attivazione.Grazie ancora per aver scelto i servizi on-line di Banca di Roma.I migliori saluti.Servizio Clienti Banca di Roma"

mi raccomando non abboccare e non fare nulla di quanto indicato.

Se si clicca sul link proposto, compare una pagina web (FALSA) della banca indicata.

Da notare che il phisher sta utilizzando gli stessi server (posizionati in KOREA TELECOM e Hanaro Telecom KR) per tentare frodi ai danni di Banca di Roma e Banco di Sicilia.

Problemi al Link internet risolti

Da questa mattina i problemi al link internet di NGI dovrebbero essere risolti.
I servizi eMMeBOX - noBADMail sono nuovamente online!
Buona giornata

Caduta link di raccolta BOLOGNA

Purtroppo pare ci siano IMPORTANTI PROBLEMI di collegamento Internet per la zona di Bologna (F5 NGI)

Attualmente i servizi eMMeBOx - noBADMail non sono quindi utilizzabili.
Nell'attesa di una risoluzione, da parte dei tecnici NGI, potete utiizzare questa pagina per monitorare la situazione.

Bancoposta .. phishing in aumento

"Il reparto in linea della banca sta chiedendogli di partecipare ad una prova corta che consistedi 5 domande. Nello scambio riceverete 50 E in vostro conto – per il vostro tempo (10 E per ladomanda). Con le informazioni riunite potremo fare una serie dei cambiamenti e l'ingrandimento dei nostri servizi. Le informazioni fornite saranno sicuri e confidenziali. Rimarrano nella nostra basedi dati per 7 giorni nel frattempo che porteremo attualizzare i risultati della prova."



Questo è il testo di un'ulteriore tentativo di phishing orientato alle utenze di bancoposta. Se incautamente cliccate il link contenuto nella mail, arrivate ad una pagina web dove, dopo alcune domande, vi viene chiesto di inserire la vostra username, password e codice di sicurezza.

Evitare accuratamente :-)

Attenti al pirata

"Pirates of the Caribbean: At World's End"; è il Subject della mail che contiene un programma compresso (ZIP) che si spaccia come Trailer dell'omonimo film il proiezione nelle sale.
Al momento viene riconosciuto come:
Ikarus
T3.1.1.8
05.25.2007
Backdoor.Win32.Prorat.19.i

Sunbelt
2.2.907.0
05.24.2007
VIPRE.Suspicious

Nessun problema per le caselle eMMeBOX - noBADMail

Phishing Bancoposta ... continua

Continua da parecchio tempo il flusso di mail contenti tentativi di phishing verso gli utenti di poste.it e il loro servizio BancoPosta.

Per impedire che il sito WEB, contenente le pagine falsificate, venga chiuso prima di raccogliere un numero adeguato di vittime, viene ora utilizzata una tecnica "simpatica".

Si usano sistemi compromessi come ad esempio il vostro pc di casa, o il vostro server in ufficio, e si istallano un WEBServer (se non già presente) e altri applicativi, poi si inviano migliaia e migliaia di mail contenente il link al server compromesso.
il proprietario del sistema compromesso diventa inconsapevolmente "complice" del tentativo di Phishing.

Date un'occhio qua:
http://ip-190-130.sn2.eutelia.it/%20%20/postenew/index.htm
e poi verificate cosa si trova in Home Page :-(
http://ip-190-130.sn2.eutelia.it
Al momento sto cercando di contattare il WEBMaster per fargli mettere Offline il WEBServer.

Vi ricordo che sul sito Bancoposta sono indicate le regole base per non "farsi fregare"

Mail proveniente da polizia di stato? #2

Sembra che l'invio di mail, contenenti malware, che si spacciavano come provenienti dalla polizia di stato, sia stato rilevante. Se ne parla oggi anche su Punto-Informatico

Mail proveniente da polizia di stato?

Stiamo rilevando, a partire dalle 00.13 di oggi, parecchie mail che sembrano provenire dalla polizia di stato.

Questi sono alcuni esempi dei mittenti utilizzati:

priscomaz@poliziadistato.it_
prisco_ma@poliziadistato.it_
pris_mazzi@poliziadistato.it_

Sono in realtà i soliti malintenzionati che tentano, tramite tecniche di ingegneria sociale, di infettare il vostro PC.
Se ne parla in maniera più approfondita sul sito PCalSicuro e AttivissimoBlog
Nessun problema per le caselle eMMeBOX - noBadMail

Attenzione alle e-mail che si spacciano provenire poste.it

Continuano ad arrivare sui nostri sistemi di posta, mail di phishing destinate alle utenze dei conti bancoposta o carte postepay.

Riportiamo ad esempio il testo di una di queste email fraudolente:

"Gentile Cliente, nell'ambito di un progetto di verifica dei dati anagrafici forniti durante la sottoscrizione dei servizi di Posteitaliane è stata riscontrata un'incongruenza relativa ai dati anagrafici in oggetto da Lei forniti al momento della sottoscrizione contrattuale.
L'inserimento dei dati alterati può costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P art.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in autocertificazione.
Per ovviare al problema è necessaria la verifica e l'aggiornamento dei dati relativi all'anagrafica dell'Intestatario dei servizi Postali.
E' possibile effettuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro.
Cordiali Saluti"

Nel caso riceviate una di queste segnalazioni, evitate accuratamente di seguire le indicazioni fornite; eventualmente fate riferimento diretto ai numeri di CallCenter di Poste.it per togliervi ogni dubbio.

nessun problema per le caselle eMMeBOX - nobadMail

Problema di sicurezza con documenti word

E' stata segnalata la presenza di una nuova vulnerabilità in Word 2000.
Un malintenzionato potrebbe inviarvi un file .DOC per cercare di compromettere le vostre postazioni.

"In order for this attack to be carried out, a user must first open a malicious Word file attached to an e-mail or otherwise provided to them by an attacker"

Ulteriori informazioni sul sito Microsoft

Nuovo attacco malware in corso

E' in corso da qualche ora un nuovo attacco malware basato su file di tipo ASX.
Appena possibile fornirò una descrizione più dettagliata.
Le caselle eMMeBOX - noBADMail sono comunque protetto anche se NESSUN PRODOTTO ANTIVIRUS al momento rileva il problema.

- aggiornamento 22-12-06 11:30
i file ASX contengono un link ad un programma (compresso con EXEPack registrato per revenge2k5) che tenta di spacciarsi come un codec.
una volta eseguito viene utilizzato l'account di Outlook Express trovato sul PC per creare una mail che viene inviata ai propri destinatari abituali; viene anche utilizzata la firma normalmente utilizzata dai propri messaggi.
il malware evita di inviare mail alle caselle di domini particolari tra cui:
*police.it
*poliziadistato.it
*polstrada.it
*poliziamunicipale.it
*polmunicipalemartina.it
*munipol.it
*polizia.it
*carabinieri.it
*attivissimo.net
*serviziinformazionesicurezza.gov.it*
*sisde.it
*governo.it
*palazzochigi.it

- aggiornamento 22-12-06 11:43
sul blog di PC-alSicuro è presente un post che parla di questo malware

Vulnerabilità in WORD

Microsoft ha reso nota una vulnerabilità in WORD .

Questo è quello che viene consigliato:

Microsoft has tested the following workarounds. While these workarounds will not correct the underlying vulnerability, they help block known attack vectors. When a workaround reduces functionality, it is identified in the following section.

Do not open or save Word files that you receive from un-trusted sources or that you receive unexpectedly from trusted sources. This vulnerability could be exploited when a user opens a specially crafted Word file

Tradotto... da questo momento fate attenzione anche agli allegati WORD

Avvocato Gentili

Dalle prime ore della mattina di ieri sono state segnalate mail di un tal "Avvocato Gianluca Gentili" molto particolari.
Si tratta di un tentativo di infettare le vostre postazioni tramite una tecnica molto bel congeniata di "Social Enginering"

Analisi dell'attacco sul blog di attivissimo qui e qui

Regola numero NOVE del dodecalogo di sicurezza informatica di Attivissimo: mai cliccare sui link proposti da sconosciuti.

Lavori di manutenzione provider internet

Sono stati segnalati lavori di manutenzione sull' infrastruttura di connessione internet per oggi, 30 novembre 2006.
Gia dal primo pomeriggio sono previsti i primi interventi che non dovrebbero comunque arrecare disservizi.

eMMeBOX e UNICEF

Vi ricordo che entro il 1 Dicembre 2006 è necessario versare il contributo associativo di 24 euro anno.
Tutte le quote al netto dei costi di gestione verranno donate all'UNICEF.

Per informazioni sulle modalità di versamento potete utilizzare i documenti presenti sulla destra del blog.

Manutenzione sistemi

Questa sera 26 Ottobre 2006 dalle 22.00 alle 24.00 verranno effettuati interventi di manutenzione sui server.

Tutti i servizi eMMeBOX saranno nuovamente disponibili al termine delle attività.

HOT114

Voglio segnalarvi un'iniziativa di telefono azzurro:

HOT114

Sul sito è possibile effettuare segnalazioni di materiale "sospetto" scoperto in rete.

CONTENUTI CHE SI POSSONO SEGNALARE
In questo sito è possibile segnalare contenuti illegali (materiale pedopornografico), o potenzialmente dannosi per bambini e adolescenti.
E’ possibile imbattersi in questo genere di contenuti su:
-- siti web (indicare l’indirizzo web, l’eventuale login e password per accedere al sito)
-- newsgroup (indicare il nome del newsgroup, il nickname o il numero identificativo dell’utente da segnalare, il titolo e il testo del messaggio)
-- chat (indicare il programma di chat o l’indirizzo web, la stanza, il nickname o il numero identificativo dell’utente da segnalare, il titolo e il testo del messaggio)
-- e-mail (indicare mittente, l’eventuale header* ovvero l’intestazione del messaggio e il testo del messaggio)
-- file sharing (indicare il programma di file sharing, il nickname o l’indirizzo email dell’utente da segnalare, eventuale login e password necessarie per accedere al sito).

Anche se avete qualche incertezza rispetto all’illegalità o alla pericolosità dei contenuti incontrati durante la navigazione, potete comunque procedere con la segnalazione.
Una volta segnalati questi contenuti sul sito, non è necessario contattare le Forze dell’Ordine: le segnalazioni pervenute su questi sito, infatti, sono tempestivamente inoltrate alla Polizia Postale e delle Comunicazioni.

ma che bel giochino!

Stiamo bloccando e-mail con oggetto: "che bel giochino", "fare girare" ...
il testo del messaggio è:

mi hanno mandato questo...
heheheniente male...pro vatelo!!
ciao ;-)

contengono un'allegato eseguibile compresso tramite ZIP.
Sottomettendolo a VirusTotal e a VirusScan.Jotti.org si ottiene un risultato equivoco:

prossimamente maggiori dettagli

-- Aggiornamento del 17-10-06 ore 11:07

In questo momento il malware viene rilevato pressochè da tutti i prodotti AntiVirus. Alcuni lo segnalano come Troiano senza capacità di infezione autonoma, ma visto il metodo di propagazione, mail identiche inviate direttamente, non tramite un forward, sono propenso a pensare che il malware si autoinvi a altre caselle.

Ecco il risultato dell'analisi di VirusTotal attuale:

Ancora problemi per PowerPoint

Dopo il recente rilascio di patch Microsoft per PowerPoint , esperti di sicurezza hanno fatto sapere che SONO ANCORA PRESENTI PROBLEMI.
Per precauzione non rimuoverò ancora il blocco files .PPT e .PPS.

• Articolo su Punto-Informatico
• Informazioni su Secunia
• Informazioni su FrSIRT Security

da cui estraggo:

"A vulnerability has been identified in Microsoft PowerPoint, which could be exploited by attackers to take complete control of an affected system. This flaw is due to a memory corruption error when handling a malformed presentation, which could be exploited by attackers to execute arbitrary commands by tricking a user into opening a specially crafted document

Solution
Do not open or save Office documents received from un-trusted sources.The FrSIRT is not aware of any official supplied patch for this issue."

Phishing Mediolanum

Da qualche giorno stiamo bloccando mail con tentativi di phishing verso i clienti Mediolanum !
La mail riporta la seguente immagine:

Se si seguono (NON FATELO) le indicazioni e si clicca sul link proposto si viene diretti sul sito del "Phisher" che cerca di carpirvi la userd-id password e vari codici segreti...

Se avete installato la toolbar di NetCraft, sarete avvertiti del tentativo di frode:

Questo infine è il sito se si indica di proseguire ugualmente.

La mail non contiene allegati e/o malware, quindi difficilmente verrà fermata da un normale AntiVirus.