-
News minacce informatiche (virus,trojan,spyware,phishing) Update 21/10/2010]
Questo topic si prepone di mantenere sempre aggiornati gli utenti riguardo le ultime minacce in rete, legate a virus e email fraudolente.
MSN Messenger, file .exe con sorpresa
Gira tra gli utenti di MSN Messenger un file RAR autoestraente ( quindi EXE ) contenente al suo interno due worms che, una volta infettato il sistema, si occupano di "rubare" chiavi di registro, creano diverse connessioni IRC e si replicano attraverso risorse condivise in rete oppure mandando messaggi via MSN.
Un aggiornamento dell' antivirus dovrebbe essere sufficiente, in ogni caso vale sempre la solita regola: non aggiungete ai contatti persone "sconosciute" e non prendete da loro caramelle. http://forumtgmonline.futuregamer.it.../icon_wink.gif
Worm si aggira tra le reti P2P
Gira in queste settimane un nuovo worm che sfrutta, ancora una volta, i sistemi P2P facendosi passare per crack di applicazioni e giochi ( qui trovate la lista completa dei suoi molteplici nomi ).
Come molti altri worms, una volta infettato il sistema, si replica nell' hard disk cercando le directory in share dei vari programmi P2P installati, manda messaggi ad utenti via Windows Messenger, cambia la pagina iniziale di Internet Explorer e, infine, installa un webserver per poter essere controllato da remoto.
Aggiornando il vostro antivirus dovreste essere a posto, fermo restando che il P2P e' illegale e se vi beccate un virus, non potete certo lamentarvi...
http://forumtgmonline.futuregamer.it...on_biggrin.gif
Nuovo virus con alta diffusione
Molti di voi avranno letto in giro, persino su Repubblica, di un nuovo Worm chiamato W32.Zotob ( WORM_RBOT.CBQ per Trend Micro ) che si sta diffondendo massicciamente nel mondo.
La variante E ha raggiunto in Italia un valore di diffusione 3 su una scala di 5.
Il Worm sfrutta una vulnerabilita' di Windows patchata il 6 Agosto scorso, qui trovate maggiori informazioni ed i link per scaricare l' Update.
Come molti worms, cerca di connettersi ad un server IRC per ricevere comandi ed in piu' apre un server TFTP per scambiare dati con la macchina infetta, compresi informazioni sensibili.
Qui trovate le istruzioni per la rimozione manuale ma, come sempre, e' meglio prevenire con un buon Antivirus e aggiornando sempre Windows.
Se non volete tenere attivi gli Aggiornamenti Automatici, ricordatevi che le nuove patch e hotfix sono disponibili sul sito di Windows Update ogni secondo Mercoledi' del mese.
Pubblicato l' esito di un test comparativo tra i piu' diffusi software antivirus.
Trovate la tabella comparativa qui.
Tra i primi 3 troviamo:
1) Kaspersky Personal Pro ( a pagamento )
2) Norton Antivirus ( a pagamento )
3) NOD32 ( a pagamento )
La conferma della crescita del Kaspersky e della posizione predominante del Norton Antivirus.
Da qui in poi la scelta dipende da altri fattori, come l' integrazione con il sistema operativo ed il peso sulle risorse del sistema.
Su questo punto, secondo me, ne esce vincitore il NOD32.
-
Re: Avvisi ai naviganti - Update [01/09/05]
Intervista ad un ricercatore Eset sui futuri sviluppi nel campo dei virus e della sicurezza informatica.
Intervista
Molto interessante, compresi i miei commenti... http://forumtgmonline.futuregamer.it..._icons/asd.gif
-
Re: Avvisi ai naviganti - Update [01/09/05]
Citazione:
"Hwupgrade.it"
"Il noto sito AV-Comparatives pubblica la seconda comparativa annuale riguardante l'efficacia della scansione proattiva dei maggiori software antivirus in commercio.”
Come da programma, è stato pubblicato ieri su av-comparatives.org il secondo test annuale riguardante la scansione proattiva dei maggiori software antivirus.
Ricordiamo che la scansione proattiva è una tecnologia che permette ai software antivirus di individuare nuovi virus senza bisogno di aggiornare le firme virali.
La comparativa, effettuata e stilata da Andreas Clementi e considerata una delle più affidabili, non ha messo in evidenza grandi novità.
Nod32 resta in prima posizione, mentre continua a migliorare BitDefender che, grazie alla nuova tecnologia euristica implementata negli scorsi mesi, è riuscito ad ottenere risultati strepitosi.
Tra gli altri antivirus commerciali, rivestono una buona posizione sia McAfee che Kaspersky mentre Norton Antivirus risulta penultimo davanti soltanto al software antivirus AVG.
Per la comparativa completa è possibile visitare il sito
Av-Comparatives.org
Occhio quindi, si tratta della capacita' del motore euristico di riconoscere nuove forme virali senza avere le firme nel suo database. http://forumtgmonline.futuregamer.it.../icon_wink.gif
-
Re: Avvisi ai naviganti - Update [04/01/2006]
Citazione:
"PI"
Windows vittima delle immagini killer
Su Internet stanno circolando delle immagini in formato WMF che, sfruttando una vulnerabilità senza patch, installano in Windows XP cavalli di Troia e altri tipi di malware - UPDATED
Roma - Nella comunità internazionale di esperti di sicurezza è allarme rosso. Ieri, sulla celebre mailing-list di sicurezza Bugtraq, è infatti apparso un advisory che descrive una vulnerabilità di Windows XP zero-day: ciò significa che sebbene il bug sia appena stato scoperto, su Internet già circola un exploit in grado di sfruttarlo.
Il problema è causato da una non corretta gestione, da parte del motore di rendering di Windows XP, di certi file grafici in formato Windows Metafile (WMF): un file WMF malformato può eseguire, una volta aperto, del codice dannoso con i massimi privilegi di sistema.
Va posta attenzione sul fatto che, seppure fra loro molto simili, quella di cui si parla non è la stessa vulnerabilità corretta da Microsoft lo scorso novembre.
A rendere la situazione piuttosto critica c'è il fatto che almeno un paio di siti web stanno già sfruttando la vulnerabilità per diffondere cavalli di Troia e altri tipi di malware. A correre i rischi maggiori sono gli utilizzatori di Internet Explorer, che possono infettarsi semplicemente aprendo una pagina web contenente un file WMF nocivo. Chi usa altri browser, come Firefox e Opera, può infettare il PC solo nel caso in cui autorizzi il proprio browser a scaricare ed eseguire l'immagine WMF: in tale evenienza il file viene aperto con il viewer d'immagini integrato in Windows. Pare tuttavia che le più recenti versioni di Firefox, inclusa la 1.5, associno erroneamente i file WMF al Windows Media Player: dato che questo programma non è in grado di gestire tali file, il codice maligno in essi incluso non viene eseguito.
L'exploit funziona su tutte le versioni di Windows XP e Windows Server 2003, incluse quelle a cui siano state applicate tutte le patch e i service pack (v. update a fine pagina).
È interessante notare come la tecnologia DEP (Data Execution Prevention), introdotta da Microsoft con gli ultimi service pack per Windows XP e Server 2003, sembra in grado di bloccare l'esecuzione del codice dannoso: stando a quanto riportato nel blog dell'Internet Storm Center (ISC), la DEP ha dimostrato la sua efficacia in presenza di un Athlon 64. Il meccanismo di sicurezza dovrebbe tuttavia funzionare con tutte le CPU di AMD e di Intel dotate del famoso "bit NX".
Data la gravità del problema, che Secunia non ha esitato a classificare come "extremely critical", è certo che in Microsoft qualcuno passerà il Capodanno a sviluppare una patch. Nell'attesa, gli esperti raccomandano agli utenti di non aprire file WMF provenienti da fonti non attendibili e di impostare, in IE, il livello di protezione massimo (Strumenti -> Opzioni Internet -> Protezione -> Livello predefinito -> Alta).
Update (ore 12,30) - In questa pagina l'ISC fornisce nuove informazioni aggiornate sulla minaccia e su alcune soluzioni temporanee. L'ISC precisa anche che la tecnologia DEP funziona solo se si imposta il livello massimo di protezione e, anche in questo caso, non risulta sempre efficace. Nelle scorse ore anche Microsoft ha pubblicato un advisory in cui spiega, fra le altre cose, come la vulnerabilità interessi potenzialmente tutte le versioni di Windows (dalla 98 in poi). Il big di Redmond afferma tuttavia che in Windows Server 2003 il problema è mitigato dalle restrizioni applicate di default a IE.
Citazione:
"Attivissimo"
Riassumendo, ecco come contenere il rischio:
* Non usate Internet Explorer, ma sostituitelo con Firefox o Opera, che vi avvisano se aprite un file WMF.
* Non usate programmi di posta che visualizzano automaticamente le immagini.
* Disattivate il componente fallato (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows.
* Disattivate Google Desktop, se lo usate.
* Usate la patch di sicurezza non ufficiale.
* Installate la patch Microsoft appena viene resa disponibile.
La patch e' prevista per il 10, anche se gia' gira una leaked beta ed una patch non ufficiale che in molto consigliano di scaricare, in attesa di quella ufficiale.
Anche se chiamarla patch e' azzardato, diciamo un hotfix.
Per chi vuole, si trova qui.
Consiglio caldamente il controllo del checksum MD5, nel caso l' abbiate scaricata.
-
Re: Avvisi ai naviganti - Update [02/02/2006]
Citazione:
"Punto Informatico"
Domani occhio al worm Kama Sutra
Sta per scadere il conto alla rovescia che, nei sistemi infetti, potrebbe determinare la cancellazione di molti documenti. Sotto con gli scanner antivirus
Domani, 3 febbraio, il worm Kama Sutra farà esplodere la sua prima carica ad orologeria: come conseguenza, in tutti i sistemi dove l'infezione è attiva, verranno sovrascritti e resi illeggibili tutti i documenti e i file compressi aventi certe estensioni.
Come riportato la scorsa settimana, il terzo giorno di ogni mese il worm corrompe i documenti presenti sull'hard disk: ciò significa che in Italia i primi effetti disastrosi del vermone si innescheranno a partire dalla prossima mezzanotte.
I formati di file presi di mira dal vermicello sono i seguenti: ".doc", ".xls", ".mdb", ".mde", ".ppt", ".pps", ".zip", ".rar", ".pdf", ".psd" e ".dmp". Tra le sue altre attività malefiche, il worm provvede anche a cancellare file e chiavi del registro associati ad alcuni dei più diffusi software per la sicurezza.
Kama Sutra, è il caso di dirlo, ha più nomi di Satana: a seconda infatti dell'antivirus utilizzato, il suo codice può essere identificato come Nyxem, BlackMal, Mywife, Blackworm, Grew, Blueworm e con altre denominazioni più o meno esotiche. Microsoft, ad esempio, lo chiama Mywife.E, e per avvisare gli utenti dell'imminente pericolo ha persino pubblicato un
advisory: da quando è stato varato questo servizio, nel maggio del 2005, questa è la seconda volta che il big di Redmond dedica un advisory ad un worm. Va però detto che in passato Microsoft ha più volte utilizzato il proprio sito per fornire informazioni su alcune delle più pericolose minacce per Windows.
L'attenzione riservata da Microsoft a Kama Sutra è del resto ben fondata: secondo alcune stime il worm ha infettato oltre mezzo milione di computer in 150 diversi paesi, esponendo gli utenti al rischio di perdere in modo irreversibile i propri documenti. Per non rischiare il peggio, gli esperti raccomandando agli utenti Windows di effettuare la scansione di tutti i propri computer con un antivirus aggiornato: chi non disponesse di un tale software, o dubitasse dell'efficacia di quello utilizzato, può verificare la presenza del virus utilizzando gli scanner on-line offerti gratuitamente da alcune note società di sicurezza. Symantec fornisce anche un tool di rimozione gratuito scaricabile da
qui.
Trend Micro ha spiegato che, come la maggior parte dei worm, anche Kama Sutra si propaga tramite allegati di posta elettronica e condivisioni di rete, compresi i più diffusi servizi di file sharing P2P. Il metodo di trasmissione via email adotta le consuete tecniche di social engineering promettendo immagini, contenuti pornografici o barzellette per spingere gli utenti ad aprire l'allegato.
-
Re: Avvisi ai naviganti - Update [04/01/2006]
Trojan.Linkoptimizer (By Symantec) Risk Level 2
Discovered: August 24, 2006
Updated: August 25, 2006 04:58:20 PM PDT
Type: Trojan Horse
Infection Length: Varies.
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
È stato riferito che il Trojan.Linkoptimizer può essere installato visitando il sito Web [http://]gromozon.com.
Il Trojan si autoinstalla sui computer esposti ad alcune vulnerabilità...
(queste sono le varie PATCH rilasciate)- The Microsoft Internet Explorer Modal Dialog Zone Bypass Vulnerability
- (descritta in Microsoft Security Bulletin:MS04-025)
- The Microsoft Java Virtual Machine Bytecode Verifier Vulnerability
- (descritta in: Microsoft Security Bulletin MS03-011).
- The Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability
- (descritta in: Microsoft Security Bulletin MS06-006).
- The Microsoft Windows Media Player Plugin Buffer Overflow Vulnerability
- (descritta in: Microsoft Security Bulletin MS06-001).
- The Microsoft Internet Explorer CreateTextRange Remote Code Execution Vulnerability
- (descritta in: Microsoft Security Bulletin MS06-013).
Quando il Trojan è installato, il browser può mostrare il seguente e chidere all'utente di salvare un file chiamato www.google.com:
http://img247.imageshack.us/img247/2456/foto002hm0.jpg
L'eseguibile principale dell'infezione da linkoptmizer cambia nome.
Non si presenta più solo come www.google.com
ma può essere anche
www.weather.com
www.super.com
www.free.com
www.picture.com
Praticamente qualsisasi sito con estensione www.[nome].com
http://img50.imageshack.us/img50/1804/capture2za6.png
Il browser può anche chiedere la conferma di installare il file FreeAccess.ocx.
Una volta eseguito, il Trojan.Linkoptimizer esegue le seguenti azioni:
1.--- Crea i seguenti files:- %Temp%\[NOME CASUALE]1.exe
- %Windir%\[NOME CASUALE]1.dll
2.--- Scarica files dai seguenti indirizzi IP (hard coded):3.--- Tenta di risolvere i seguenti domini:
shiptrop.com
4.---registra le DLL recuperate come Browser Helper Object aggiungendo alle seguenti chiavi nel registro le rispettive sottochiavi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer
\Browser Helper Objects\[ CLASSID CASUALE]
HKEY_CLASSES_ROOT\CLSID\[ CLASSID CASUALE]
5.--- Aggiunge il valore:
"AppInit_DLLs" = "[TROJAN .DLL FILE]"
Alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
6.--- Scarica ed installa componenti aggiuntivi, che includono anche un Rootkit
7.--- Che crea i seguenti files:- %System%\[NOME CASUALE]aa.dll
- %System%\[RESERVED DOS NAME].[ EXT CASUALE]
8.---Può immagazzinare i file elencati sopra dentro ad Alternate Data Streams (ADS):- Note: [RESERVED DOS NAME] Può essere una delle seguenti "DOS device names ":
- com1
- com2
- com3
- com4
- tty
- prn
- nul
- lpt1
9.--- Usa tecniche di Rootkit per nascondere files e sottochiavi del registro
10.--- Aggiunge un nuovo Account "Nome Amministratore" nei computer compromessi usando un nome casuale.
11.--- Può abbassare i privilegi dell'utente loggato, per disabilitare le funzioni di alcuni programmi di sicurezza
12.--- Crea i seguenti files criptati associati all'accaunt del nuovo amministratore e li immagazzina usando il Windows Encrypted File System (EFS):- %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
- %ProgramFiles%\Common Files\System\[LETTERE CASUALI].exe
13.--- Crea una sottochiave del registro e un nuovo servizio associato all'account del nuovo amministratore
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\[NOME CASUALE]
14.--- Tenta di scaricare il seguente file:
%ProgramFiles%\LinkOptimizer\linkoptimizer.dll
15.--- Visualizza Avvertimenti
__________________________________________________ ______
Raccomandazioni:- Disattivare e rimuovere i servizi sconosciuti.
Di default, molti sistemi operativi, installano servizi ausiliari che non sono critici, come un server FTP , telnet, o un Web server.
Questi servizi, se non richiesti, sono vie d'attacco. Se verranno rimossi, le vie d'attacco saranno ridotte e gli aggiornamenti da scaricare sulla sicurezza, saranno minori.- Mantenere il sistema aggiornato,
scaricando le patch rilasciate mensilmente, ( tutti i computer basati su Windows devono avere l'ultimo Service Pack installato.)
usare un firewall; applicare le patch sulla sicurezza menzionate più sopra.- Rafforzare la politica delle Password .
Passwords Complesse rendono difficoltoso alterare files su un computer compromesso.- Configurare l'email server
a bloccare o eliminare quei files comunenmente usati per distribuire viruses, come .vbs, .bat, .exe, .pif and .scr .- Non aprire allegati o file
ricevuti da persone sconosciute, e non eseguire programmi scaricati da internet, fino a quando non saranno stati controllati da un antivirus- Non navigare con Browser vulnerabili
Semplicemente visitando un sito Web compromesso, può causare l'infezione, se certe vulnerabilità non sono prima state corrette ( patched
-
Re: Avvisi ai naviganti - Update [04/01/2006]
Traduzione (libera) dalla pagina di http://www.prevx.com/gromozon.asp
Cos'è Gromozon e come è riuscito a bypassare i programmi di sicurezza installati?
Sfortunatamente Gromozon non è una singola infezione, ma un attacco miscelato e disegnato per aggirare gli strumenti anti-malware tradizionali.Il risultato finale è che la macchinaè contagiata non solo da Trojans sconosciuti ma anche da un Rootkit estremamente pericoloso. Gli Antivirus tradizionali, stanno attualmente trattando le infezioni conosciute ma trascurano il rootkit.
Il percoso dell'infezione è:
• Visitando un sito web che carica un obfuscated JavaScript.
• L'utente è indirizzato su un altro sito che contiene un ulteriore obfuscated JavaScript. Questo si collega a un network di siti web che sono usati per lanciare la routine dell'infezione .Questi siti web cambiano costantemente e dal Maggio 2006 sono diventati molto numerosi
• Uno script dal lato serversi carica per analizzre l' user agent (web browser) che l'utente sta usando. Differenti metodi d'accacco sono poi lanciati, ...dipende se l'utente da usando Opera, Firefox o Internet Explorer.
Per Internet Explorer, alla vittima, si presenta l'opzione di installare un controllo ActiveX chiamato FreeAccess.ocx Che viene effettivamente copiato nella cartella system32 di Windows, come una DLL con un nome casuale.
Firefox e Opera subiscono un pezzo d'ingegneria sociale molto abile. Quello che appare essere un link a www.google.com si presenta alla. Sfortunatamente, questo non è un hyperlink un file intelligemente nascosto con estensione .com. Una volta accettato ed eseguito, una DLL con un nome casuale viene installata nella cartella system32 di Windows.
• Una volta che l'agente DLL è installato, molti tipi di Adware vengono scaricati ed installati nella macchina. Degli esempi sono i Trojans Bravesentry e LinkOptimizer . Il carico reale è poi scaricato nel computer della vittima.. Sia un Rootkit che un nuovo Servizio vengono installati con un account nascosto. Lo scopo principale di questo è permettere al Malware che è stato installato di essere precedentemente nascosto da qualunque strumento Anti-malware sia installato sulla macchina.
-
Re: Avvisi ai naviganti - Update [03/11/2006]
Fonte: Anti-Phishing Italia
Ritorna la Augustis: nuove false offerte di lavoro
http://www.anti-phishing.it/image.ne...ustis.stop.png
La minaccia Augustis e le sue false offerte di lavoro collegate al riciclaggio di denaro sporco sembrano proprio non voler abbandonare l’Italia.
E’ infatti dal 22 novembre scorso che le caselle di posta elettronica degli utenti Internet nostrani sono invase da allettanti, ma altamente pericolose e rischiose, offerte di lavoro inviate da una vecchia conoscenza Sara C. divenuta per l’occasione Sara D.
Anti-Phishing Italia già lo scorso mese si era occupata del caso rilevando come la fantomatica Agustis non sia altro che una clonazione della reale compagnia di assicurazione britannica Esure, la quale inspiegabilmente non ha ancora provveduto ad intraprendere azioni mirate ad arginare il problema il quale non mette in pericolo solo le malcapitate vittime ma lede anche all’immagine della compagnia stessa.
Come già indicato, l’attività della Augustis (www.get-insured.biz) ed il suo lavoro non è altro che uno specchietto per le allodole per nascondere un'attività di riciclaggio di denaro.
Ancora una volta l’avere a disposizione un computer e successivamente un contro corrente sono i requisiti necessari per svolgere l’incarico di "intermediario finanziario" la cui mansione sarà quello di trasferire il denaro accredito dalla Augustis nel proprio conto e trasferirlo verso il "personale" della stessa azienda sparso in tutto il mondo. Il compenso sarà una provvigione che oscilla tra il 7% e 10% della somma trasferita.
Sinceramente un ottimo lavoro, comodo e più che retribuito…. peccato che si tratti dell’ennesima truffa. Infatti il denaro ricevuto proviene da attività criminali quali il phishing, che i truffatori cercano di riciclare e trasferire all’estero nei propri conti senza lasciare traccia.
L’ignaro "lavoratore" inviando il denaro ricevuto partecipa di fatto (inconsapevolmente) ad un'attività di riciclaggio, punibile ai sensi dell'art.648-bis del Codice Penale con la reclusione da quattro a dodici anni. Perché i criminali danno vita a tale attività di riciclaggio?? Il motivo è molto semplice, ma per capirlo è necessario fare un passo indietro nella truffa. (Prendiamo in considerazione una situazione classica)
Nel momento in cui il truffatore entra in possesso della nostra username e password tramite attività di phishing o keylogger ha la possibilità di rubare il nostro denaro ma per farlo è necessario non lasciare tracce o quanto meno rendere difficoltosa l'attività degli inquirenti. Entrano così in gioco le false società con le loro allettanti offerte di lavoro.
Trasferire immediatamente il denaro presente nel nostro conto all'esterno è assolutamente sconsigliato, in primis perché è facilmente individuabile (i trasferimenti di denaro all'estero fatti da una banca durante l'arco di una giornata sono nettamente inferiori a quelli nazioni) poi perché potrebbero insospettire lo stesso personale dell'istituto di credito.
Quindi si preferisce far transitare tali fondi su più conti italiani, con l'aiuto di inconsapevoli "lavoratori" prima di trasferirli definitivamente su conti italiani o esteri appartenenti anche a compiacenti soggetti i quali in cambio di una percentuale che varia dal 15% al 20% del valore finale del trasferimento mettono a disposizione dei truffatori il proprio conto per trasformare quella che sino a poche ore prima era sola moneta elettronica in carta moneta.
Le e-mail utilizzate:
Oggetto: Sei pronto di avere un guadagno meritevole?
Testo:
Salve
La nostra societa multinazionale sta ricercando dei rappresentanti independenti in Italia. Consideriamo dei CV per il posto seguente:
Rappresentante regionale:
Posti vacanti disponibili: 34
Paese di residenza: USA, Australia, Regno Unito, Europa
Guadagno: 450-650 Euro alla settimana (per il primo mese di prova)
Occupazione: a tempo non pieno (2.5-4.5 ore alla settimana)
L'informazione piu dettagliata sul lavoro: Offriamo la possibilita di far carriera e combinare questa attivita con il suo lavoro principale o gli studi. Offriamo lo stipendio di 2000 euro al mese piu commissioni settimanali, orario flessibile, buon ambiente di lavoro. Buona conoscenza di computer (Internet, E-mail), l'accesso all'Internet e la residenza in Italia
(Europa) sono obbligatori. L'incorporazione e immediata e non richiede nessun investimento.
L'incorporazione e immediata e non richiede nessun investimento. Le paghiamo per il tempo dedicato ed i risultati.
Se ritieni di possedere i requisiti richiesti e vuoi candidarti all'
offerta, invia i dati seguenti a questo email: [email protected] Saremo lieti di contattarLa. Non dimentichi di inserire tutti i dati importanti (i punti segnati da asterisco non sono necessari da compilare, gli altri dovrebbero essere comlpilati).
1. Il Suo nome
2. Il suo cognome
3. Il Suo indirizzo (paese, citta, via ecc)
4. Il suo cellulare
5. Il Suo numero di telefono fisso
6. Il Suo numero di telefono di alvoro (fax) *
7. Il suo indirizzo email
8. Per favore specifichi se e pronto a segnare il contratto con la nostra
societa
Se non e interessato all'offerta e non vuole piu ricevere email dalla nostra societa, per favore mand un email a questo indirizzo [email protected]
In attesa di una sua risposta
Distinti saluti
- Sara D.
Oggetto: Un posto vacante nella nostra azienda
Testo:
Salve
La nostra societa multinazionale sta estendendo l'attivita in Italia.
Rappresentante regionale:
Posti vacanti disponibili: 34
Paese di residenza: USA, Australia, Regno Unito, Europa
Guadagno: 450-650 Euro alla settimana (per il primo mese di prova)
Occupazione: a tempo non pieno (2.5-4.5 ore alla settimana)
L'informazione piu dettagliata sul lavoro: Offriamo la possibilita di far carriera e combinare questa attivita con il suo lavoro principale o gli studi. Offriamo lo stipendio di 2000 euro al mese piu commissioni settimanali, orario flessibile, buon ambiente di lavoro. Buona conoscenza di computer (Internet, E-mail), l'accesso all'Internet e la residenza in Italia
(Europa) sono obbligatori. L'incorporazione e immediata e non richiede nessun investimento.
Importante: Il lavoro non richiede nessun investimento da parte Sua. Non ha bisogno di pagare per niente. Lei investe il Suo tempo e lavora per conseguire i buoni risultati.
Se ritieni di possedere i requisiti richiesti e vuoi candidarti all'
offerta, invia i dati seguenti a questo email: [email protected] Saremo lieti di contattarLa. Non dimentichi di inserire tutti i dati importanti (i punti segnati da asterisco non sono necessari da compilare, gli altri dovrebbero essere comlpilati).
1. Il Suo nome
2. Il suo cognome
3. Il Suo indirizzo (paese, citta, via ecc)
4. Il suo cellulare
5. Il Suo numero di telefono fisso
6. Il Suo numero di telefono di alvoro (fax) *
7. Il suo indirizzo email
8. Per favore specifichi se e pronto a segnare il contratto con la nostra
societa
Se non e interessato all'offerta e non vuole piu ricevere email dalla nostra societa, per favore mand un email a questo indirizzo [email protected]
In attesa di una sua risposta
Distinti saluti
- Sara D.
Oggetto: Il modo legale di aumentare il Suo reddito
Testo:
Buongiorno
Ricerchiamo persone ben organizzate, responsabili, desiderosi di guadagnare e far parte di una squadra in sviluppo. Ricerchiamo i candidati per la posizione seguente:
Rappresentante regionale:
Posti vacanti disponibili: 34
Paese di residenza: USA, Australia, Regno Unito, Europa
Guadagno: 450-650 Euro alla settimana (per il primo mese di prova)
Occupazione: a tempo non pieno (2.5-4.5 ore alla settimana)
Piu informazione sull'offerta: E un lavoro a tempo non pieno (2,5-4,5 ore al giorno), con l'orario flessibile ed i guadagni elevati (2000 euro al mese piu commissione settimanale). Nessuna esperienza o formazione speciale sono richiesti. Il sopporto e l'addestramento sono gratuiti. Richieste : Sede di residenza del candidato-Italia (Europa), da 21 a 60 anni, conoscenza di computer (E-mail, Internet), attitudine al lavoro in team ed a operare in un ambiente dinamico ed in forte crescita.
L'incorporazione e immediata e non richiede nessun investimento. Le paghiamo per il tempo dedicato ed i risultati.
Se ritieni di possedere i requisiti richiesti e vuoi candidarti all'
offerta, invia i dati seguenti a questo email: [email protected] Saremo lieti di contattarLa. Non dimentichi di inserire tutti i dati importanti (i punti segnati da asterisco non sono necessari da compilare, gli altri dovrebbero essere comlpilati).
1. Il Suo nome
2. Il suo cognome
3. Il Suo indirizzo (paese, citta, via ecc)
4. Il suo cellulare
5. Il Suo numero di telefono fisso
6. Il Suo numero di telefono di alvoro (fax) *
7. Il suo indirizzo email
8. Per favore specifichi se e pronto a segnare il contratto con la nostra
societa
Se non e interessato all'offerta e non vuole piu ricevere email dalla nostra societa, per favore mand un email a questo indirizzo [email protected]
In attesa di una sua risposta
Cordiali saluti
- Sara D.
Il nuovo sito web della Agustis (www.get-insured.biz):
Il contratto inviato dai truffatori subito dopo aver risposta alle suddette e-mail:
-
Re: Osservatorio minacce informatiche (virus, trojan spyware, phising update [06/01/2
Truffa: ancora false diffide da parte di una nuova variante dell’Avv. Gentile
http://www.anti-phishing.it/image.news/judge.jpgL’Avv. Gentile e la sua falsa diffida per l’invio indesiderato di posta spazzatura sembra proprio non volere mollare. Dopo il primo caso registrato giovedì scorso ed una successiva variante, l’avvocato ritorna oggi con una nuova e-mail ed una schiera di falsi avvocati sparsi in tutta Italia e pronti a mettere nel sacco la vittima di turno.
Per l’occasione l’avvocato ha modificato il suo nome in modo da non destare sospetti e soprattutto per impedire ai più diffidenti di trovare sue informazioni al riguardo, con i seguenti nomi rilevati grazie alle segnalazioni giunteci sino ad ora:
Giuseppe Werner
Giuseppe Rupert
Claudio Henning
Roberto Kasimir
Andrea Frankobert
Marco Dietbrand
Domenico Frodebert
Leonardo Erkenfried
Giovanni Veicht
Alberto Hugo
Pietro Barnd
Francesco Stenka
Simone Otward
Nicola Wendelin
Luca Gerolf
Gianluca Wilmut
Enrico Augustin
Nicola Eberwolf
Antonio Alfons
Stefano Sepp
Lorenzo Winfried
Edoardo Knut
Stefano Marian
Pietro Didi
Angelo Giselmund
Nicola Wendelin
Enrico Augustin
Lorenzo Winfried
Stefano Sepp
Stefano Marian
Pietro Didi
Emanuele Zacharias
Alberto Tristan
Nicola Volkram
Lorenzo Nathanael
Andrea Burk
Antonio Ermenhard
Domenico Willimar
Luca Mathis
Enrico Veit
Domenico Florin
Michele Fridebald
Enrico Giselmar
Nicolò Irmbert
Alessio Klaus
Leonardo Alfons
Jacopo Eginald
Davide Aldo
Nicolò Ingwin
Antonio Burt
Manuel Nordwin
Giulio Marhold
Nicola Raimund
i quali esercitano la loro fantomatica attività presso i seguenti studi:
Stud. Legale
Giuseppe Werner e associati
Corso Magenta 14
Perugia
Studio Legale
Giuseppe Rupert e associati
Via Battindarno 12
Ancona
Ufficio Legale
Roberto Kasimir e associati
Viale Saffi 12
Brindisi
Studio Legale
Andrea Frankobert e associati
Viale Saffi 24
Venezia
Stud. Legale
Marco Dietbrand e associati
Via Battindarno 14
Studio Legale
Domenico Frodebert e associati
Viale Saffi 24
Parma
Stud. Legale
Leonardo Erkenfried e associati
Via Battindarno 16
Lecce
Stud. Legale
Giovanni Veicht e soci
Corso Magenta 53
Venezia
Studio Legale
Alberto Hugo e soci
Via Pascanella 76
Cagliari
Stud. Legale
Pietro Barnd e soci
Via Rossi 16
Lecce
Stud. Legale
Francesco Stenka e soci
Via Rossi 24
Imola
Stud. Legale
Simone Otward e associati
Via Rossi 24
Bari
Studio Legale
Nicola Wendelin e associati
Viale Saffi 12
Ufficio Legale
Luca Gerolf e soci
Corso Magenta 12
Cagliari
Studio Legale
Gianluca Wilmut e soci
Viale Saffi 16
Perugia
Stud. Legale
Enrico Augustin e soci
Viale Saffi 16
Brindisi
Ufficio Legale
Nicola Eberwolf e soci
Via Pascanella 81
Cagliari
Studio Legale
Antonio Alfons e associati
Viale Saffi 53
Parma
Studio Legale
Stefano Sepp e soci
Viale Saffi 53
Lecce
Studio Legale
Lorenzo Winfried e associati
Corso Magenta 14
Arezzo
Ufficio Legale
Edoardo Knut e soci
Via Rossi 76
Cagliari
Stud. Legale
Stefano Marian e soci
Via Pascanella 14
Bologna
Studio Legale
Pietro Didi e soci
Via Pascanella 24
Cagliari
Stud. Legale
Angelo Giselmund e soci
Via Pascanella 53
Firenze
Studio Legale
Nicola Wendelin e associati
Viale Saffi 12
Stud. Legale
Enrico Augustin e soci
Viale Saffi 16
Brindisi
Studio Legale
Lorenzo Winfried e associati
Corso Magenta 14
Arezzo
Studio Legale
Stefano Sepp e soci
Viale Saffi 53
Lecce
Stud. Legale
Stefano Marian e soci
Via Pascanella 14
Bologna
Studio Legale
Pietro Didi e soci
Via Pascanella 24
Cagliari
Studio Legale
Emanuele Zacharias e associati
Via Battindarno 81
Bologna
Studio Legale
Alberto Tristan e associati
Viale Saffi 76
Ancona
Ufficio Legale
Nicola Volkram e associati
Via Rossi 16
Ancona
Ufficio Legale
Lorenzo Nathanael e soci
Via Pascanella 76
Lecce
Studio Legale
Andrea Burk e associati
Via Pascanella 12
Ancona
Stud. Legale
Antonio Ermenhard e associati
Corso Magenta 95
Bologna
Stud. Legale
Luca Mathis e soci
Corso Magenta 12
Ancona
Stud. Legale
Enrico Veit e soci
Via Battindarno 81
Ancona
Studio Legale
Domenico Florin e associati
Corso Magenta 12
Roma
Studio Legale
Michele Fridebald e associati
Via Battindarno 16
Imola
Ufficio Legale
Enrico Giselmar e soci
Via Battindarno 76
Genova
Ufficio Legale
Nicolò Irmbert e soci
Viale Saffi 95
Torino
Stud. Legale
Alessio Klaus e associati
Via Battindarno 76
Bari
Studio Legale
Leonardo Alfons e associati
Via Battindarno 12
Bari
Stud. Legale
Jacopo Eginald e associati
Via Battindarno 81
Arezzo
Stud. Legale
Davide Aldo e associati
Via Pascanella 16
Genova
Stud. Legale
Nicolò Ingwin e soci
Via Pascanella 24
Venezia
Stud. Legale
Antonio Burt e associati
Via Rossi 24
Bari
Ufficio Legale
Manuel Nordwin e soci
Via Rossi 76
Perugia
Ufficio Legale
Giulio Marhold e soci
Viale Saffi 16
Roma
Ufficio Legale
Nicola Raimund e associati
Viale Saffi 81
Perugia
Inoltre il truffatore ha provveduto a registrare una nuova serie di domini web presso i quali effettuare il download del file removal_tool.exe. Il quale dietro la facciata di tool anti-virus nasconde una natura malware infettando di fatto il computer colpito. Un’accurata descrizione sul funzionamento di tale file è stata realizzata da Marco Giuliani responsabile del sito web Pc al Sicuro. - http://www.pcalsicuro.com
Questi i nuovi domini web:
http://www.tenkillerdirect.com
http://www.spyproductkiller.com
http://www.personalspywareremover.com
http://www.killmalaware.com
http://www.addwarekiller.com
http://www.protect-corp.com
Ricordiamo ancora una volta a tutti coloro i quali hanno provveduto ad utilizzare il file removal_tool.exe, che possono utilizzare l’apposito cleaner gratuito realizzato dalla NOD32, in grado di rilevare ed eliminare automaticamente l’infezione causata dal malware: http://www.nod32.it/tools/SPBCLEAN.ZIP
La e-mail utilizzate nel caso odierno:
Gentile utente [indirizzo e-mail],
sono l'avvocato Luca Gerolf proprietario dell'omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo email [indirizzo e-mail] messaggi dal contenuto pornografico.
La rimando a tal proposito a esaminare l'ultimo arrivato, che riporto sotto a questo messaggio.
Non sono un esperto informatico, tuttavia il tecnico del nostro studio sostiene che questi invii da parte sua sono probabilmente involontari e causati da un worm informatico.
Dice inoltre che è possibile rimuovere questo worm con il programma scaricabile da questo sito http://www.addwarekiller.com
Io non ho nè le competenze nè il tempo per verificare l'esattezza di questa supposizione, purtroppo mi trovo cosuretto a DIFFIDARLA dal continuare questi invii non sollecitati alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò per vie legali senza ulteriore avviso.
interrompa questi invii o, se si tratta di un virus worm, ripulisca il suo computer al più presto perchè probabilmente non sono il solo che sta ricevendo questa Spazzatura da lei.
Le ricordo che i reparti di polizia delle telecomunicazioni hanno i mezzi per risalire alla vera identità del proprietario di un indirizzo di posta, per quanto registrato con dati inventati o internazionale. Per cui non creda di poter continuare a infestare la mia casella email con queste pubblicità sconvenienti.
in attesa di un suo urgente riscontro,
migliori saluti
Ufficio Legale
Luca Gerolf e soci
Corso Magenta 12
Cagliari
----- Original Message -----
From: [indirizzo e-mail]
To: 'Luca Gerolf'
Sent: Decembre 4, 2006 10:36
Subject: guarda qui
apri lo zip allegato è un game porno!
provalo e invialo a tutti!!
fatti sentire
[indirizzo e-mail]
Gentile utente [indirizzo e-mail]
sono l'avvocato Giovanni Veicht proprietario dell'omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo di posta elettronica [indirizzo e-mail] messaggi dal contenuto esplicito.
La rimando a tal proposito a visionare l'ultimo arrivato, che riporto in coda a questo messaggio.
Non sono un esperto in materia, tuttavia il sistemista del nostro studio sostiene che questi invii da parte sua sono forse involontari e causati da un virus informatico.
Dice inoltre che è possibile rimuovere questo virus con il software scaricabile da questo sito http://www.personalspywareremover.com
Io non ho nè le competenze nè il tempo per verificare l'esattezza di questa ipotesi, purtroppo mi trovo costretto a DIFFIDARLA dal continuare questi invii non sollecitati alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò a denunciarla senza ulteriore avviso.
interrompa questi invii o, se si tratta di un virus virus, ripulisca il suo computer al più presto perchè forse non sono il solo che sta ricevendo questa immondizia da lei.
Le ricordo che i reparti di polizia delle telecomunicazioni hanno gli strumenti per rintracciare la vera identità del proprietario di un indirizzo di posta elettronica, per quanto registrato con dati fasulli o internazionale. Per cui non creda di poter continuare a inondare la mia casella email con queste cose.
in attesa di un suo sollecito riscontro, migliori saluti
Stud. Legale
Giovanni Veicht e soci
Corso Magenta 53
Venezia
----- Original Message -----
From: [indirizzo e-mail]
To: 'Giovanni Veicht'
Sent: Decembre 2, 2006 15:49
Subject: troppo bello
apri il documento allegato è un flasgame sessuale!
clicca e invialo a tutti!!
fatti sentire
[indirizzo e-mail]
Gentile utente [indirizzo e-mail]
sono l'avvocato Francesco Stenka titolare dell'omonimo studio Legale, mi trovo costretto a riscriverle perchè continuano ad arrivarmi dal suo indirizzo di [indirizzo e-mail] messaggi dal contenuto sconveniente.
La rimando a tal proposito a visionare l'ultimo arrivato, che riporto in coda a questo messaggio.
Non sono un esperto informatico, tuttavia il sistemista del nostro studio sostiene che questi invii da parte sua sono probabilmente non volontari e causati da un virus informatico.
Dice inoltre che è possibile rimuovere questo worm con il programma scaricabile da questa url http://www.killmalaware.com
Io non ho nè le competenze nè il tempo per verificare l'esattezza di questa supposizione, purtroppo mi trovo cosgretto a DIFFIDARLA dal continuare questi invii seccanti alla mia posta di lavoro. Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò a denunciarla senza ulteriore avviso.
Sospenda questi invii o, se si tratta di un virus worm, lo disinstalli al più presto perchè probabilmente non sono il solo che sta ricevendo questa Spazzatura da lei.
Le ricordo che i reparti di polizia informatica hanno gli strumenti per rintracciare la vera identità del proprietario di un indirizzo di posta elettronica, per quanto registrato con dati di fantasia o internazionale. Per cui non creda di poter continuare a infestare la mia casella email con queste promozioni.
in attesa di un suo cortese riscontro,
cordiali saluti
Stud. Legale
Francesco Stenka e soci
Via Rossi 24
Imola
----- Original Message -----
From: [indirizzo e-mail]
To: 'Francesco Stenka'
Sent: Decembre 4, 2006 12:59
Subject: giochino
apri lo zip allegato è un flasgame erotico!
clicca e invialo a tutti!!
ciao!
Fonte anti-phishing Italia
-
Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2
Falla WMF/EMF in OpenOffice.org
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gifSecunia Advisoryhttp://www.tweakness.net/immagini/news/spacer.gifBug Issue 70042http://www.tweakness.net/immagini/news/spacer.gifOpenOffice.org 2.1
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/openoffice3.jpgSecunia ha segnalato l'esistenza di una vulnerabilità in OpenOffice.org, la suite per ufficio libera multipiattaforma e multilingua open-source. Il problema di sicurezza, classificato dall'azienda come "altamente critico", affligge tutte le versioni meno recenti del software OpenOffice 1.0.x, OpenOffice 1.1.x e OpenOffice.org 2.x escluse le build 2.1.x, e potrebbe essere sfruttato per compromettere un sistema vulnerabile.
Secondo quanto riporta Secunia la vulnerabilità è causata da alcuni integer overflow nella funzione di processing dei file WMF/EMF. Il bug può essere sfruttato per causare un heap-based buffer overflow, inducendo l'utente per esempio ad aprire un file WMF/EMF modificato ad arte per lo scopo.
Se condotto con successo l'exploit della falla permette ad un attacker di eseguire codice arbitrario da remoto. Secunia raccomanda a tutti gli utenti della suite di aggiornare alla versione 2.1 del prodotto che include un fix per il problema. Contestualmente alcuni sviluppatori hanno rilasciato dei binary fix per OOo 1.1.5, disponibili via FTP. Bisogna segnalare che anche Red Hat ha rilasciato delle patch specifiche per proteggere i suoi clienti dal problema di sicurezza. Questo update è disponibile via Red Hat Network. Sun ha rilasciato una patch per il problema in StarOffice/StarSuite 7 Product Update 8.
Si tratta della seconda vulnerabilità degna di nota che affligge OpenOffice. Ad Aprile 2005 il gruppo di sviluppatori open-source era stato costretto a rilasciare un fix di emergenza per un buffer overflow che metteva gli utente a rischio di attacchi di code execution.
Ricordiamo che a Dicembre OpenOffice.org aveva annunciato la disponibilità di OpenOffice.org 2.1 (OOE680_m6). L'aggiornamento, terza release del prodotto nel 2006, introduce vari miglioramenti per le applicazioni della suite e segna, secondo il gruppo, un significante passo avanti rispetto a tutte le versioni precedenti. Ad Ottobre scorso OpenOffice.org aveva festeggiato il sesto anniversario della nascita del progetto, rilasciando contestualmente l'update 2.0.4.
http://www.tweakness.net/immagini/links.gif OpenOffice.org 2.1 Disponibile
Novità in OpenOffice.org 2.1: Impress, l'applicazione per le presentazioni, supporta la visualizzazione di più immagini diverse su più monitor, e la persona che presenta ha la possibilità di scegliere su quale visualizzare la presentazione e su quale le note. Calc, l'applicazione per la gestione dei fogli elettronici, oltre a essere molto più veloce nella gestione dei fogli di grandi dimensioni, offre una funzionalità di esportazione HTML che usa gli stili per ricreare nel browser l'aspetto originale del documento. Base, l'applicazione per la gestione dei database, supporta in modo migliore i file di Microsoft Access. Quickstarter, l'applicazione che viene lanciata all'accensione del sistema e che permette di avviare rapidamente i singoli moduli della suite, è disponibile per gli utenti Linux come applicazione GTK. Inoltre la funzionalità di aggiornamento automatico può essere attivata e configurata dall'utente, e questo consente di avere sempre – automaticamente – il prodotto più aggiornato. Il supporto per le lingue di OpenOffice.org è stato esteso a cinque nuove localizzazioni. Changelog completo.
Ricordiamo infine che ad inizio Dicembre Novell, uno dei principali supporter del progetto OpenOffice, ha annunciato che integrerà nella principale alternativa open-source a Microsoft Office il supporto per i nuovi formati Office Open XML di Office 2007, per la lettura e la creazione di file .DOCX. Lo scopo di Novell, che supporterà Open XML anche negli altri suoi prodotti, è quello di incrementare l'interoperatività tra OpenOffice.org e la nuova generazione di Microsoft Office, iniziativa che rientra nello storico accordo tra l'azienda e il colosso di Redmond siglato ad inizio Novembre.
-
Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2
Microsoft "Pre-Patch Day" GEN06
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/..._Patch_Day.jpgIl 9 Gennaio prossimo Microsoft rilascerà 8 nuovi bollettini di sicurezza con relative patch per correggere varie falle nei suoi software. Per quanto riguarda la sicurezza è previsto anche il consueto aggiornamento per lo strumento di rimozione malware per Windows. Gli update rientrano nel programma mensile di aggiornamento di protezione dei suoi prodotti, fissato per il secondo Martedì di ogni mese.
3 aggiornamenti interesseranno il sistema operativo Windows, e saranno di livello aggregato "critico", altri 3 aggiornamenti di protezione riguarderanno invece Microsoft Office sempre con livello aggregato "critico", ed 1 bollettino "importante" interesserà entrambi i prodotti dell'azienda. L'ultimo bollettino riguarderà invece Windows e Microsoft Visual Studio ed anche questo è classificato come importante. Il colosso rilascerà anche due aggiornamenti non di sicurezza ad alta priorità su Microsoft Update (MU) e Windows Server Update Services (WSUS).
Ricordiamo che, secondo il sistema di rating del colosso del software, un problema di sicurezza è "critico" quando consente la realizzazione di un worm o altro codice nocivo in grado di diffondersi o attaccare senza richiedere intervento dell'utente. I problemi "importanti" invece si riferiscono alle vulnerabilità che possono essere sfruttate per compromettere la riservatezza, l'integrità e la disponibilità di dati e risorse di processing.
Nelle sue Security Bulletin Advance Notification Microsoft, come regola, non rivela in anticipo i dettagli sulle vulnerabilità che saranno poi corrette con i rilasci "Patch Day". Tuttavia ricordiamo che il software Microsoft Word era stato preso di mira solo nelle prime due settimane di Dicembre scorso da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute nel software (descritte in news precedenti). È probabile che il prossimo Patch Day porterà correzioni per questi problemi di sicurezza.
L'ultimo codice exploit rilasciato in-the-wild per Word sfrutta una vulnerabilità nel modo in cui Word gestisce i dati che descrivono la formattazione del testo nei documenti (carattere in uso, grassetto, etc); modificando alcune delle strutture dati usate per contenere queste informazioni un attacker è in grado di eseguire codice nell'ambito del processo dell'applicazione (rilasciare ulteriori codici nocivi, installare una backdoor, etc). Le altri due vulnerabilità di Word erano state svelate qualche giorno prima del Patch Day di Dicembre. Secunia, nota azienda di security monitoring, aveva classificato entrambi i problemi di sicurezza (SA23232 e SA23205) come "estremamente critici", il massimo livello di pericolosità usato nel suo sistema di rating, evidenziando che un exploit condotto con successo consente agli eventuali attacker di eseguire codice arbitrario ed eventualmente compromettere un sistema vulnerabile.
-
Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2
File PDF all'attacco: porte aperte ai malware, phishing, truffe, sottrazione di dati….
http://www.anti-phishing.it/image.news/pdf.pngCi piacerebbe dire che si tratta della classica vulnerabilità per potervi rassicurare. Ma sarebbe falso. Il problema esiste ed è grave perchè questa volta è sufficiente aprire un file PDF da un sito legittimo (banche, scuole, google, istituzioni, il vostro sito personale) per dare vita a quella che probabilmente rappresenta una delle più pericolose vulnerabilità scoperte che non svanirà semplicemente rilasciando patch o software aggiornati.
Il problema presente nei plugin di Acrobat Reader è stato scoperto dall’italiano Stefano di Paolo in collaborazione con Stefano Fedon. Presentato al mondo durante il 23esimo CCC (Computer Chaos Club) Congress,consente di condurre attacchi definiti Universal XSS semplicemente aprendo con il proprio browser i famosi file PDF, i quali non obbligatoriamente devono risiedere in appositi siti maligni ma come già annunciato possono essere sfruttati quelli presenti in qualsiasi sito web, come dimostreremo meglio nei prossimi esempi. Questa volta non è il sito web ad essere vulnerabile ma il nostro browser.
La vulnerabilità nasce dall’utilizzo degli Open Parameter (ulteriori dettagli nella guida ufficiale di Adobe), parametri che consentono di aprire file PDF tramite URL e far eseguire loro specifici comandi. In particolare i parametri utilizzati sono FDF, XML e XFDF.
Tuttavia come lo stesso Di Paolo ha riportato nel suo sito web Wisec (www.wisec.it) la vulnerabilità non consente solo di condurre attacchi XSS (Cross-Site Scripting), ma anche:
Attacchi Universal CSRF (Cross-Site Request Forgery) o session riding tramite Internet Explorer, Mozilla Firefox ed Opera. Attraverso i quali un malintenzionato può far eseguire ad un ignaro utente autentico in uno specifico sito, operazioni più o meno legali a sua insaputa, semplicemente attraverso il seguente URL:
http://site.com/file.pdf#FDF=http://...ex.html?param=...
Esecuzione di codice remoto. Mentre l’utente visualizza il testo di un file PDF un codice maligno entra in funzione nel suo sistema, azionato non dal pirata informatico ma dalla stessa ignara vittima. Il problema è attivo solo attraverso Mozilla Firefox.
http://site.com/file.pdf#FDF=javascript:document.write('jjjjj...') ;
Attacchi Denial of Service (DoS) contro se stessi attraverso Internet Explorer. Il sistema va semplicemente in crash. Pericolo zero, disturbo tanto, soprattutto per la perdita dei lavori non salvati.
http://site.com/file.pdf#####...(Molti '#')
Torniamo adesso al problema principali ossia gli attacchi XSS eseguibili esclusivamente attraverso Mozilla Firefox (pertanto se utilizzate Internet Explorer almeno questo problema non sussiste) i quali possono essere sfruttati per condurre attacchi di phishing, sottrarre i cookie contenenti username e password o qualunque altra azione illegale. Lo spazio di manovra aperto da questa nuovo bug è limitato solo dalla fantasia distruttiva dei pirati informatici.
Alcuni esempi partendo dall’apposito URL in grado di innescare il problema:
http://sito.com/file.pdf#FDF=javascript:codice
-utilizziamo il codice realizzato da Jean-Jacques Halans per la newsletter di APWG (Anti-Phishing Working Group) sfruttando un PDF presente nel sito web Repubblica.it: Clicca qui
L’esempio è innocuo ma sfruttato da malintenzionati potrebbe dare vita ad un caso di phishing o furto d’identità digitale.
-Due PDF dei principali obiettivi del phishing nazionale nel 2006: Poste Italiane e Banca Intesa. Viene visualizzato un piccolo messaggio di avviso.
-Il sito web GNUCITIZEN (http://www.gnucitizen.org) propone invece di sfruttare il bug per eseguire del codice javascript direttamente nel sistema colpito. Qualcuno giustamente adesso si porrà la domanda “è impossibile sapere dove l’utente conserva i suoi file PDF”. Giustissimo. Peccato che nel momento in cui si installi Acrobat Reader, questo carichi nella cartella "Resource" il file ENUtxt.pdf (C:\Programmi\Adobe 7.0\Resource\ENUtxt.pdf)
Ecco un esempio, realizzato per coloro che utilizzano Adobe Reader 7.0 – clicca qui
Soluzioni
Avvertita del problema lo scorso 15 ottobre la Adobe ha risolto il problema con la versione 8.0 del suo Reader. Scaricabile al seguente indirizzo: clicca qui – http://www.adobe.com/products/acrobat/readstep2.html
Una soluzione di ripiego, anche se è comunque consigliato effettuare il download della versione aggiornata del programma, almeno per Mozilla Firefox può essere effettuata modificando le impostazioni per il download dei file:
1) Menu Strumenti --> Opzioni
2) Selezionate il menu Contenuti e cliccate su Gestione
3) Selezionate la voce PDF e cliccate su Cambia Azione
A questo punto selezionate l’opzione Aprili con l’applicazione predefinita
Cliccate su OK, Chiudi ed avete finito.
Ripetete quest’ultima azione anche per il file FDF/XFDF/XDP e XFD.
Nonostante l’ultima versione di Adove Reader o la soluzione appena descritta, il problema non sparisce definitivamente. Questo è dovuto alla lentezza di molti utenti nell’effettuare gli aggiornamenti dei propri software, ed alla sempre più scarsa attenzione attribuita alla sicurezza informatica nel nostro paese. Che quasi sembra diminuire in relazione all’aumento delle minacce informatiche.
Pertanto c’è da scommette che il bug di oggi che lo ritroveremo troppo spesso tra i piedi.
Ulteriori informazioni: Wisec.it
da Anthiphising - Italia
-
Re: Osservatorio minacce informatiche (virus,trojan,spyware,phishing) Update [06/01/2
Opera Software e varie aziende di sicurezza hanno pubblicato nuovi advisory relativi a due vulnerabilità che affliggono il browser Opera 9.x, originariamente scoperte e segnalate da iDefense Labs a Novembre e corrette "in segreto" dall'azienda norvegese nella versione Opera 9.10 rilasciata il mese scorso. I due bug di protezione non erano infatti menzionati nel chengelog ufficiale pubblicato con la nuova release.
Si tratta di due vulnerabilità permettono di "esecuzione codice". Secunia classifica il problema di sicurezza come "altamente critico", mentre Opera Software nei suoi advisory riporta un rischio "moderato" per entrambe le falle. Secondo Opera almeno uno dei due exploit per le vulnerabilità è alquanto complesso da realizzare, in forma "affidabile".
Il primo problema risiede in una vulnerabilità del createSVGTransformFromMatrix Object Typecasting, in grado di causare un crash del browser. Passando un oggetto non corretto alla funzione createSVGTransformFromMatrix è possibile mandare in crash Opera ed eventualmente accedere all'esecuzione di codice arbitrario sul sistema affetto. Durante il processing delle richieste createSVGTransformFromMatrix il browser non esegue una validazione appropriata del tipo di oggetto passato alla funzione.
Per sfruttare il bug un attacker dovrebbe prima di tutto creare un sito web contenente codice JavaScript nocivo e poi indurre un utente a visitare questo sito. In questo modo è possibile sfruttare il buco di sicurezza del browser ed eseguire codice con i privilegi dell'utente locale.
Nota: Secondo quanto riportato in rete, questa falla affligge anche Opera per Wii, versione di prova del browser per la console Nintendo Wii. Questa versione del software è infatti basata su Opera 9.02. Attualmente non sembrano esserci commenti ufficiali dell'azienda a riguardo. (discussione su Digg).
Advisory createSVGTransformFromMatrix Object Typecasting: Opera Software iDefense Labs
La seconda vulnerabilità risiede in un errore del processing dei file JPEG che può essere sfruttato per causare un heap-based buffer overflow tramite un file immagine con un marker DHT modificato ad arte nell'header. Il DHT marker viene usato per definire la Huffman Table, utile al decoding dei dati immagine. Un numero non valido di index bytes nel marker provoca un heap overflow con dati parzialmente "user controlled". L'immagine malformata da sola causa solo un crash del software. Per sfruttare il buco di sicurezza, un attacker deve prima di tutto caricare nella memoria del computer codice di attacco, un operazione alquanto complessa e di difficile realizzazione. Ad ogni modo la falla permette potenzialmente l'esecuzione di codice arbitrario nel contesto di sicurezza dell'utente corrente. Anche in questo caso l'immagine-exploit può essere ospitata su un sito web programmato ad arte per attaccare i visitatori.
Advisory "JPG Image DHT Marker Heap Corruption": Opera Software - iDefense Labs
Opera Software ha rilasciato Opera 9.1 il 18 Dicembre scorso. La nuova versione del web browser gratuito introduce, oltre ad una serie di bugfix e miglioramenti in performance, una tecnologia di Protezione Anti-Fronde che sfrutta i servizi offerti da GeoTrust e PhishTank. Come preannunciato, la nuova tecnologia di protezione fornisce funzionalità simili a quelle già integrate in Firefox 2.0 e Internet Explorer 7, ma sfrutta unicamente un approccio real-time.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [08/01/2007]
eBay Italia sotto attacco. Nuova variante di phishing
http://www.anti-phishing.it/image.news/ebaylogo.007.jpgIl 2007 è decisamente nato sotto una cattiva stella per gli utenti di eBay Italia, i quali a distanza di pochi giorni dall’ultimo doppio tentativo (phishing e keylogger) si ritrovano ora possibili vittime di una nuova variante mai utilizzata prima in Italia.
L’e-mail truffa, elemento fondamentale del phishing, questa volta non riproduce o cerca di rassomigliare ad una vera comunicazione da parte del noto sito d’aste on-line con loghi e particolari formattazioni del testo, ma si limita semplicemente ad un'informativa in merito al rilascio della fattura. Emessa in seguito ad aste o l’utilizzo di servizi offerta dalla stessa eBay.
Nonostante la presenza di piccoli errori di italiano, e quel "Gentile Cliente," in fondo al testo che quantomeno dovrebbe suscitare qualche perplessità, l’e-mail risulta credibile e potrebbe realmente mettere nel sacco molti venditori e non solo, visto che di fronte ad un e-mail che informa del rilascio di una fattura, in molti, cercando di ottenere maggiori informazioni, non esiteranno a visitare ed utilizzare il clone, fornendo così sul "piatto d’argento" le proprie credenziali d’accesso, insieme ai dati personali, al truffatore di turno.
Questa è l’e-mail utilizzata:
Il sito clone risultata ospitato fisicamente in Russia.
http://www.anti-phishing.it/phishing...08.01.2007.png
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [08/01/2007]
Microsoft ha rilasciato 4 nuovi bollettini di sicurezza nell'ambito del suo programma di aggiornamento di protezione realizzato su base mensile, per correggere 10 falle nei suoi software, classificate quasi tutte come critiche. Si contano 3 bollettini "critici" ed 1 "importante"; i bollettini critici includono due aggiornamenti di protezione per Office, uno per Outlook, l'altro per Excel (che coprono 8 delle 10 patch corrette in tutto). Il terzo aggiornamento critico riguarda Windows (Vector Markup Language). L'ultimo bollettino, classificato come importante, corregge un problema del correttore ortografico (Brasiliano Portoghese) di Microsoft Office 2003.
Microsoft non ha rilasciato nessun aggiornamento di protezione per Microsoft Word, software che era stato preso di mira nelle prime due settimane di Dicembre scorso da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute nel software (descritte in news precedenti). Ricordiamo che Microsoft aveva modificato la schedule dei bollettini per il primo Patch Day del 2007. Rispetto a quanto annunciato precedentemente nella sua Security Bulletin Advance Notification, Microsoft ha ridotto il numero dei nuovi bollettini di sicurezza da 8 a 4. Nessun dettaglio è stato rilasciato riguardo le motivazioni di questi tagli. In tutto il colosso ha eliminato dalla schedule di release 2 aggiornamenti per Windows, 1 bollettino "importante" per entrambi i prodotti Windows e Office e 1 bollettino relativo a Windows e Microsoft Visual Studio, questo classificato come importante. Verosimilmente questi aggiornamenti saranno rimandati al Patch Day successivo di Febbraio.
Uno dei problemi di sicurezza più preoccupanti è rappresentato da una serie di vulnerabilità in Microsoft Excel (in tutto 5) che possono consentire l'esecuzione di codice arbitrario su un sistema affetto [MS07-002]. La scoperta della "Excel Malformed Record vulnerabilità" si deve al Fortinet Security Research Team (FSRT) che ha rilasciato un advisory dedicato al problema di sicurezza, contestualmente al rilascio della patch da parte di Microsoft. Anche Secunia, nota azienda di security monitoring, ha pubblicato un advisory sulle vulnerabilità di Excel, classificando il problema come "altamente critico".
Il bollettino [MS07-003] offre invece correzione per tre vulnerabilità in Microsoft Outlook, almeno due sfruttabili per eseguire codice e prendere potenzialmente il controllo di un sistema vulnerabile. L'altro bollettino critico [MS07-004] include una patch per una vulnerabilità della implementazione Vector Markup Language (VML) di Windows, sfruttabile tramite una pagina web programmata ad arte, o una e-mail HTML, per eseguire codice da remoto. Si tratta della seconda falla importante in VML che affligge Windows negli ultimi mesi. A Settembre 2006 alcuni cybercriminali attaccato un altro bug in VML per installare codici rootkit e spyware sulle macchine vulnerabili, costringendo Microsoft a rilasciare una patch out-of-cycle per IE.
IMPORTANZA RISCHIO C = Critica
I = Importante [RCE] = Remote Code Execution
[EoP] = Eevation of Privilege SISTEMI RECENTI AFFETTI SP2[x]/x64[x] = Presente anche in Windows XP SP2/x64 (con "x" = importanza relativa)
SP2()/x64() = Almeno una componente di Windows XP SP2/x64 affetta
- MS07-001 Vuln. in Microsoft Office 2003 Brazilian Portuguese Grammar Checker [RCE] (921585) I
- MS07-002 Vulnerabilità in Microsoft Excel [RCE] (927198) C Anche Excel 2003
- MS07-003 Vulnerabilità in Microsoft Outlook [RCE] (925938) C Anche Outlook 2003
- MS07-004 Vulnerabilità in Vector Markup Language [RCE] (929969) C SP2[C] x64[C]
Rilasciato anche il consueto aggiornamento per lo strumento di rimozione malware per Windows (KB890830), v.1.24, che include informazioni di rilevamento e rimozione per Win32/Haxdoor e WinNT/Haxdoor. L'8 Febbraio avremo notizie sul Patch Day di Febbraio 2007, previsto il giorno 13.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [10/01/2007]
Sophos, società leader a livello mondiale nel settore della sicurezza informatica, ha reso nota la classifica del malware e dei falsi allarmi che hanno dominato la scena nel mese di Dicembre 2006. I dati, raccolti dalla rete globale dei centri di monitoraggio Sophos, registrano il ritorno in classifica del codice nocivo noto all'azienda come "Dref", conosciuto da tempo, grazie a due sue nuove varianti che stanno causando problemi agli utenti della rete in tutto il mondo.
Distribuito in massa mascherato da cartolina d'auguri elettronica, il worm Dref-V è stato identificato negli ultimi giorni di Dicembre 2006 e nell'arco di un solo giorno ha rappresentato il 93,7% di tutte le mail infette in circolazione. Questa percentuale ha consentito a Dref, avvistato per la prima volta a Luglio 2005, di scalzare Stratio (aka Warezov), il worm più dannoso dello scorso mese, dalla vetta della classifica. Attualmente in quarta posizione, Stratio rappresenta ormai solo il 7,8% di tutti i malware in circolazione.
links e news Attenti ai Malware di "Fine Anno" - Worm: Happy New Year e Cartolina
A fine Dicembre avevamo già segnalato la diffusione di codici di attacco malware che sfruttavano il tema delle festività come vettore di social engineering. In particolare, le aziende di sicurezza hanno monitorato una serie di attacchi spam su larga scala che includevano nei messaggi di posta un allegato nocivo presentato come una cartolina di auguri per il nuovo anno. A quanto pare era stata F-Secure ad isolare per prima un secondo attacco spam su vasta scala, caratterizzato da messaggi brevi (senza testo, e con il solo oggetto "Happy New Year!") con allegato un file chiamato solitamente postcard.exe. L'allegato nocivo (comunque variabile) è stato classificato da F-Secure come Trojan-Downloader.Win32.Tibs.jy o Luder.A.
Si tratta dello stess codice nocivo identificato da Sophos come Dref-V, un e-mail worm, che rilascia un trojan downloader ed un file infector nel sistema vittima. Secondo F-Secure la componente file infector esegue lo scan di tutti i dischi fissi e di rete in cerca di file da infettare (hta, txt, htm, exe, scr, rar) eseguendo l'inject di una porzione di codice per il redirect dell'entry point che si occupa di richiamare una copia del worm (questo processo non è privo di bug e può causare la corruzione dei file in fase di infezione). Il worm è anche in grado di terminare alcuni processi legati a soluzioni antivirus.
La Top Ten del malware di Sophos per il mese di dicembre 2006 è la seguente: 1. Dref (35,2%), 2. Netsky (22,2%), 3. Mytob (10,7%), 4. Stratio (7,8%), 5. Bagle (5,2%), 6. Zafi (4,8%), 7. MyDoom (3,3%), 8. Sality (2,8%), 9. Nyxem (1,3%), 10. StraDl (0,9%), Altri (5,8%).
"Consigliamo di fare molta attenzione, negli ultimi giorni Dref è stato inviato in massa, gli utenti che rientrano al lavoro corrono il rischio, nella fretta di smaltire le e-mail natalizie, di aprire inavvertitamente l'allegato malevolo", ha dichiarato Carole Theriault, senior security consultant di Sophos. "Le sue tattiche di ingegneria sociale non rappresentano una novità, quindi la maggior parte delle aziende dovrebbe già disporre di una protezione adeguata per fronteggiare il worm. È sorprendente che, pur essendosi diffuso per pochissimo tempo nel corso dell'intero mese, Dref si sia piazzato in cima alla classifica delle minacce più diffuse". Il volume di mail infette continua tuttavia a mantenersi basso: una sola mail infetta su 337, pari allo 0,30% di tutte le mail in circolazione. Durante il mese di dicembre, Sophos ha identificato 6.251 nuove minacce.
La classifica dei falsi allarmi e delle catene di Sant'Antonio per Dicembre 2006 è la seguente: 1. Hotmail hoax (23,1%), 2. Olympic torch (9,4%), 3. Elf Bowling (5,6%), 4. Applebees Gift Certificate (4,4%), 5. Sainsbury's gift vouchers (3,7%), 6. Bonsai kitten (3,3%), 7. A virtual card for you (3,0%), 8. ATM Theft (2,3%), 9. Meninas da Playboy (2,2%), 10. Budweiser frogs screensaver (2,1%), Altri (40,9%).
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [10/01/2007]
xploit per Falla Critica in VML
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif LINK: http://www.tweakness.net/immagini/news/spacer.gifBollettino MS07-004http://www.tweakness.net/immagini/news/spacer.gifBollettino MS07-003http://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin3.jpgUn codice exploit funzionante per una vulnerabilità ad alto rischio, corretta tre giorni fa da Microsoft con il rilascio di uno dei bollettini relativi al Patch Day di Gennaio, è stato reso disponibile da una azienda di sicurezza. Cresce quindi il livello di urgenza per l'applicazione della patch da parte degli utenti finali. L'exploit, che consente il takeover di un PC con Windows XP SP2, è stato pubblicato da Immunity nell'ambito del programma dedicato ai partner tramite il quale l'azienda offre informazioni aggiornate su nuove vulnerabilità ed exploit ad altre aziende IDS (intrusion detection companies) e di penetrating testing.
Il codice exploit reso disponibile riguarda un bug "critico" nell'implementazione di VML (Vector Markup Language) in Windows, ed è stato testato con successo su Windows XP SP2 e Windows 2000, con l'installazione predefinita di Internet Explorer 6.0. Kostya Kortchinsky, ricercatore di Immunity, commenta: "Si tratta di un exploit totalmente funzionate, che offre totale accesso per fare qualsiasi cosa sulla macchina attaccata". Dal bollettino MS07-004: "Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web appositamente predisposta o un messaggio di posta elettronica in formato HTML in grado di consentire potenzialmente l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, è possibile assumere il pieno controllo del sistema interessato".
A quanto pare il codice di attacco per la falla è stato creato e testato in meno di tre ore dopo la release del bollettino MS07-004 da parte di Microsoft, un aspetto che conferma la riduzione del gap tra la release della patch e il full deployment sulle reti enterprise. Dal punti di vista del clienti, Microsoft sfrutta il meccanismo Aggiornamenti Automatici per distribuire gli aggiornamenti di protezione, nelle imprese tuttavia le patch devono passare rigorosi test per avere garanzia che non ci siano conflitti con applicazioni aziendali mission-critical. Mediamente ci può volere un intero mese per testare completamente ed installare gli aggiornamenti su ogni desktop, laptop, server o dispositivo mobile presenti in una rete aziendale.
Kortchinsky ha affermato che l'exploit sarà ottimizzato per tentare di ottenere una condizione di esecuzione codice su Internet Explorer 7.0, la nuova versione del browser di Microsoft. Secondo il bollettino MS07-004, IE 7.0 su Windows XP e Server 2003 è effettivamente vulnerabile al problema. Microsoft ha affermato che la falla era stata originariamente segnalata tramite il suo processo di "responsible disclosure", ma una nota nell'advisory conferma che l'esistenza di attacchi zero-day precedenti al Patch Day. Al momento non ci sono informazioni pubbliche su questi attacchi zero-day, Microsoft non aveva neanche rilasciato un advisory pre-patch per avvertire i clienti riguardo questi rischi. Il team MSRC (Microsoft Security Response Center) incoraggia gli utenti di Windows ad applicare le patch al più presto, come aggiornamento ad alta priorità. In una intervista con eWeek, Mark Griesi, security program manager di MSRC, ha affermato che il rischio è alto perchè esiste un vettore di attacco non autenticato che offre ad una attacker un modo di eseguire l'hijack di un sistema vulnerabile senza interazione da parte dell'utente.
Microsoft ha inoltre invitato gli utenti a prestare particolare attenzione al bollettino MS07-003 che corregge tre serie falle nell'applicazione Microsoft Outlook. Una delle falle di Outlook, classificata come critica, permette ad un attacker di usare record VEVENT malformati per lanciare codice eseguibile durante la gestione le routine di file parsing. Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato, riuscendo quindi a installare programmi e visualizzare, modificare o eliminare dati oppure creare nuovi account con diritti utente completi. Outlook non esegue una convalida dei dati adeguata quando elabora i contenuti di una convocazione riunione iCal. Se in Outlook viene aperta una convocazione riunione .iCal appositamente predisposta e viene analizzata una richiesta VEVENT non valida, la memoria di sistema può essere danneggiata in modo da permettere a un utente malintenzionato di eseguire codice non autorizzato.
Il colosso ha rilasciato, nell'ambito del Patch Day di Gennaio, 4 bollettini per la correzione di 10 buchi di sicurezza in Outlook, Excel e Windows. Microsoft non ha rilasciato nessun aggiornamento di protezione per Microsoft Word, software preso di mira nelle prime due settimane di Dicembre da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/01/2007]
Ancora phishing e keylogger per eBay Italia. Rischio elevato
http://www.anti-phishing.it/image.news/ebay-2006.JPGScatta nuovamente l’allarme rosso per eBay Italia ed i suoi utenti colpiti ancora una volta dalla doppia combinazione phishing/keylogger in un unico attacco. In grado di ledere anche gli utenti più sospettosi o curiosi.
Seguendo lo stesso modus operandi dello scorso 7 gennaio, l’e-mail dall’italiano tradotto e confuso, con una impaginazione improvvisata che dovrebbe ricordare una vera comunicazione proveniente dal colosso delle aste on-line, informa la potenziale vittima che l’utente smstores2006 ha già effettuato il pagamento, ed invita a cliccare sul link sottostante per visualizzare i dettagli del pagamento.
Dopo aver cliccato l’utente viene inizialmente trasportato in un primo sito web ospitato fisicamente negli Stati Uniti, la cui unica funzione è quella di spostarlo nel vero sito trappola situato in Polonia e contenete una copia clone del vero sito web di eBay Italia.
http://www.anti-phishing.it/phishing...01.2007_01.png Oltre alla trappola del sito clone, le malcapitate vittima sono anche esposte al malware Backdoor.Win32.Hupigon.bv, un malware in grado di installarsi automaticamente nei sistemi non protetti o con l’aiuto dello stesso utente, ed una volta dentro ricevere ordini da remoto (dal truffatore) per operare come un keylogger, ossia un programma in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio computer. (nella sua versione più semplice n.d.r.), sottrarre file dal computer colpito o importare altri malware.
Se a cadere vittima del sito clone sono soprattutto gli utenti più distratti, creduloni o disinformati, il rischio keylogger può colpire anche quegli utenti più diffidenti, che sospettando della falsità della comunicazione ricevuta nella propria casella di posta, preferiscono comunque visitare il sito clone per dissipare ogni dubbio, senza sapere che potrebbero rimanere vittime della troppa sicurezza, visto che l’installazione del malware si avvia semplicemente aprendo la falsa copia di eBay Italia.
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [14/01/2007]
Quando il phishing colpisce anche i software. Il caso DVD Shrink
http://www.anti-phishing.it/image.news/dvd.rip.jpgQuesta volta non si tratta del solito caso di phishing, o meglio la truffa c’è, ma i classici componenti che danno vita al raggiro hanno un nome diverso, l’e-mail è sostituita da Google, mentre l’obiettivo che solitamente è una banca, società finanziaria o sito d’aste on-line è sostituto da un software molto noto di natura gratuita che improvvisamente si ritrovare a pagamento: DVD Shrink.
Capace di effettuare con estrema semplicità una copia di back-up dell’ultimo DVD acquistato, DVD Shrink è divenuto famoso anche grazie ad un suo uso illegale, il quale ha di conseguenza provocato una reazione da parte delle major cinematografiche, costringendo il suo creatore a non pubblicare nel sito web ufficiale del programma un link diretto per il suo download e a sospendere gli aggiornamento del software stesso.
Il quale a quanto pare è comunque andato avanti grazie all’intervento di un truffatore, che proponendo la versione 2007 di DVD Shrink, cerca di sottrarre con l’inganno i soldi a tutti quegli utenti che da anni aspettano il rilascio di una nuova versione, ma che una volta pagato si ritroveranno con una copia del programma che hanno già installato nel loro PC e che era gratuitamente scaricabile da Internet. Visto che il tutto è semplicemente una truffa e l’edizione 2007 non esiste.
Cercando DVD Shrink con Google, il primo risultato, per giunta sponsorizzato, che appare è il seguente:
Cliccando sull’apposito link, l’utente è trasportato in un apposito sito che riproduce illegalmente il nome e logo del vero software e propone il download di DVD Shrink 2007.
Per evitare di destare sospetti, il truffatore non propone direttamente il pagamento del programma, ma invita l’utente a sottoscrivere un abbonamento per il download di apposite guide che lo aiuteranno passo dopo passo nell’installazione del software, oltre alla possibilità di effettuare il download di programmi, musica e quant’altro il tutto senza più sborsare un euro. Attenzione. La stessa modalità di truffa è anche disponibile per Acrobat 7, il quale dal sito web del suo produttore può essere prelevato gratuitamente e nell’ultima versione numero 8.
http://www.anti-phishing.it/phishing...dshrink.03.png http://www.anti-phishing.it/phishing...dshrink.04.png
Dopo aver fornito i dati il truffatore provvede al download della fantomatica versione 2007, la quale come già annunciato non è altro che l’edizione rilasciata qualche anno fa dal dal vero produttore del software e che per giunta è scaricabile gratuitamente dalla Rete. Tuttavia non è da escludere che a questo punto il truffatore non si limiti solo a sottrarre denaro per la fornitura software, ma visto che adesso possiede i dati della nostra carta di credito, la utilizzi per ulteriori attività illecite.
http://www.anti-phishing.it/phishing...dshrink.05.png
Il messaggio presente nel vero sito web di DVD Shrink che informa del rischio truffa:
Fonte: Anti-Phishing Italia – www.anti-phishing.it
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
Truffe: Poste Italiane ancora vittima del phishing
http://www.anti-phishing.it/image.news/poste.005.gifSembra proprio non esserci pace per Poste Italiane ed i suoi utenti per i quali ancora una volta risuonale l’allarme phishing con l’ultimo sito clone appena rilevato, che tenta di sottrarre con l’inganno username e password posti a difesa del conto on-line della vittima di turno.
Il truffatore, non deludendo le attese, anzi ci si aspettava un’ulteriore attacco in questi giorni, riutilizza l’apposito dominio web Posteit, che a prima vista sembrerebbe legato al gruppo Poste Italiane, già impiegato nel precedente attacco dello scorso 12 gennaio, unica differenza l’estensione dal .net a .us. In pratica il truffatore prima di abbandonarlo cerca di sfruttare tutte le possibili estensioni libere, ecco perché l’attacco di oggi non risulta inaspettato.
Il sito clone utilizzato:
Fonte: Anti-Phishing Italia - www.anti-phishing.it
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
alse offerte di lavoro: denunciato un perito informatico per riciclaggio
http://www.anti-phishing.it/image.ne...inieri.112.jpgDa oltre un anno Anti-Phishing Italia cerca di mettere in guardia i propri utenti dal rischio connesso alle false offerte di lavoro, giunte direttamente nelle caselle e-mail e capaci di allettare le potenziali vittime con guadagni da capogiro settimanali, le quali tuttavia nascondono una realtà ben diversa.
Sono infatti la "punta dell’iceberg" di un raggiro telematico in grado di mettere in serio pericolo gli "aspiranti lavorati" coinvolti a loro insaputa in un’attività di riciclaggio di denaro, così com’è accaduto ad un perito informatico originario di Plaghe in provincia di Sassari, denunciato in stato di liberta per riciclaggio, il quale ora potrebbe rischiare dai 4 ai 12 anni di reclusione secondo l’art.648 bis del codice penale.
Vediamo nel dettaglio i fatti attraverso l’articolo di Gianni Buzzoni pubblicato oggi sul quotidiano La Nuova Sardegna:
SASSARI. Un perito informatico di 23 anni, originario di Ploaghe, è stato denunciato dai carabinieri per riciclaggio. Il giovane avrebbe fatto transitare nel suo conto corrente bancario somme di denaro che, poi, sono state trasferite a quattro persone residenti in Ucraina (delle quali non è stata accertata l’identità). Quei soldi appartenevano a un signore di Cagliari che, solo dopo qualche settimana, si è reso conto che qualcuno a sua insaputa gli stava prosciugando il conto in banca. L’indagine è ancora in pieno svolgimento.
Il perito informatico è stato individuato grazie agli accertamenti effettuati dai militari della compagnia e della stazione, guidati dal maggiore Nicola Losacco e dal luogotenente Giovanni Canu. E quando il giovane è stato convocato in caserma ha raccontato la storia, fornendo giustificazioni che, però, non gli hanno evitato la denuncia in stato di libertà per riciclaggio. Agli investigatori, l’intraprendente ventitreenne ha raccontato di avere risposto all’e-mail di una società olandese che proponeva percentuali interessanti per la gestione - sul proprio conto - di somme versate da clienti e da trasferire, con una semplice operazione, all’estero.
I requisiti richiesti erano davvero minimi: possesso di un computer con collegamento internet e titolarità di un conto corrente bancario. E siccome il giovane non aveva, fino a quel momento, attivato un conto personale, ha colmato subito la lacuna recandosi in una filiale dell’Unicredit.
Le verifiche effettuate dai carabinieri hanno permesso di accertare che - dopo pochi giorni - così come annunciato, sul conto del giovane di Ploaghe è arrivato il primo bonifico da mille euro. E insieme al denaro anche le istruzioni per inviare la somma a due persone in Ucraina, ovviamente anche il codice di sblocco che permette di mandare a buon fine l’operazione. A lui, come pattuito, la percentuale del 5 per cento, ovviamente trattenuta nel momento in cui viene perfezionato il transfer money.
Seconda operazione pochi giorni più tardi. Stesse modalità, cambiano però i destinatari ai quali girare il denaro, anche se stanno sempre lì, in Ucraina. Hanno un numero ma non una identità a cui si può risalire. Nel frattempo, però, il direttore della banca segnala al correntista di stare attento e di verificare la provenienza di quei bonifici che arrivano sul suo conto fresco di apertura. Ormai la truffa è già in fase avanzata. E a Cagliari, un signore di mezza età si accorge che dal conto corrente in banca sono state prelevate somme a sua insaputa. Presenta quindi denuncia ai carabinieri, e le indagini si incrociano. I militari di Sassari accertano che alcune di quelle somme sono già state gestite dal perito informatico di Ploaghe che - per avere messo a disposizione il suo conto come «piattaforma di rilancio» - ha ricevuto una provvigione. Chiusa la prima parte delle verifiche, parte l’informativa alla procura della Repubblica e la denuncia del giovane per riciclaggio. Una accusa neanche tanto leggera.
Le giustificazioni che fornisce non servono a modificare la sua situazione. Racconta di essere finito, senza rendersene conto, nella rete di una organizzazione internazionale che realizza truffe via e-mail. La realtà non è nuova. Il pianeta informatico è pieno di offerte (quasi tutte lanciate da fantomatiche società straniere) che mettono sul piatto guadagni facili - dal 5 al 20 per cento delle somme transitate sul proprio conto - senza la necessità di effettuare alcun investimento. L’altro requisito richiesto è quello della riservatezza, un silenzio prezioso che consente alle organizzazioni criminali di portare avanti la truffa e dileguarsi facilmente prima che possa scattare l’intervento delle forze dell’ordine.
L’attività dei carabinieri ha, finora, permesso di rilevare anche un’altra iniziativa nella provincia di Sassari che aveva coinvolto un giovane di Ossi. La sua opera di trasferimento di denaro all’estero, però, non è mai cominciata. Al momento di ricevere il primo bonifico, infatti, si è recato in banca, ha parlato con il direttore e ha fatto scattare l’allarme con la denuncia ai carabinieri. L’indagine non è ancora conclusa e si intreccia con le verifiche già in atto da parte dell’Interpol per risalire all’organizzazione internazionale che gestisce la truffa.
Ulteriori informazioni:
Italia- lavoro: ritorna il pericolo riciclaggio legato alle false offerte di lavoro
Archivio delle False Società
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
Nuovo "inabboccabile" phishing per Banca di Roma. Vietato farsi raggirare
http://www.anti-phishing.it/image.news/banca.roma.pngCon una nuova e-mail di difficilissima lettura ed ancora peggiore comprensione i phisher ci riprovano contro l’istituto di credito capitolino ed i suoi clienti, che in queste ore potrebbero ricevere nelle loro caselle e-mail uno dei peggiori tentativi di truffa mai visti.
Frutto di software di traduzione automatici, il testo informa la potenziale vittima che a causa di una serie di aggiornamenti di sicurezza, proprio per evitare il verificarsi di frodi telematiche (furto di tecnica bancaria di internet) è necessario aggiornare i propri dati nell’apposito sito trappola, il quale riproduce una copia fedele del vero sito web di Banca di Roma.
Statisticamente è opportuno segnalare che nonostante Banca di Roma sia uno degli istituti di credito nazionali meno colpiti dal phishing, i suoi utenti hanno sempre potuto "contare" su e-mail truffa redatte sullo stile di quella odierna, quindi facilmente riconoscibile anche da utenti distratti o disinformati.
Questa è l’e-mail truffa:
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
MIRT: Antivirus Performance Top20
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Top20Antivirus.jpgI malware si sono evoluti molto negli ultimi mesi ed anni, sia nel numero di varianti di codice nocivo immesse sulla rete, sia nella tipologia di attacco per la quale vengono appositamente programmati. Abbiamo visto malware mirati DDoS, come quelli che hanno colpito i siti di Gmer (noto rootkit detector) e di Joe Stewart (senior security researcher di SecureWorks), malware "Web Attacker" vulnerability-based, mini downloader, botnet, nuovi rootkit di ogni tipo, etc.
Secondo il gruppo di ricerca Gartner: "entro la fine del 2007, il 75% delle imprese sarà infettato con malware non rilevato, programmato a scopo finanziario, nell'ambito di attacchi mirati, condotti evadendo il tradizionale perimetro di protezione e le difese residenti. L'ambiente di rischio sta cambiando – gli attacchi financially-motivated e mirati stanno aumentando, e i kit automatici di malware-generation consentono la semplice e rapida creazione di varianti – ma i nostri processi e tecnologie di sicurezza non sono al passo".
Questa situazione, afferma Pedro Bustamante di PandaResearch, non viene evidenziata correttamente dai media e dalle pubblicazioni IT, che non hanno scelto o trovato sistemi adeguati per verificare i rate di rilevamento malware da parte dei vari software di sicurezza. Il MIRT (Malware Incident Reporting and Termination) guidato da Paul Laudanski, già fondatore del noto sito di sicurezza internazionale CastleCops, e Tom Shaw hanno recentemente pubblicato interessanti risultati relativi ad uno studio sulle capacità di malware tracking delle principali soluzioni antivirus. Dal 2 Dicembre 2006 ad oggi un totale di 672 campioni di codice nocivo, "nuovi o recentemente creati", sono stati analizzati usando il servizio di malware scanning online VirusTotal. I risultati sono particolarmente interessanti: la media di detection rate tra tutti i motori antivirus testati è solo del 30%. Il peggior performer (eTrust-InoculateIT) in questo tipo di verifica ha rilevato solo il 5% dei 672 campioni di codice inviati.
In rete è disponibile un grafico aggiornato ogni ora , e anche una pagina con informazioni dettagliate per motore AV. "Quando un codice malware viene rilevato dal team Malware Incident Reporting & Termination (MIRT), viene caricato su VirusTotal per l'analisi. I dati di performance dei 29 motori antivirus su tutti i malware rilevati vengono salvati e vengono aggiornate le statistiche da OITC". Questo tipo di statistiche indica la capacità dei sistemi antivirus di rilevare le infezioni 0-Day e quindi di proteggere da queste minacce. Ovviamente questi dati non rappresentano le performance globali di un sistema di protezione.
Dai dati raccolti emerge una conclusione interessante: i motori antivirus tradizionali non sono sufficienti conto i nuovi malware. Sembra infatti che i sistemi di protezione, che sfruttano solo signature e funzioni euristiche, non sia più adeguati per proteggere dalla nuova generazione di codici nocivi. L'uso di tecniche di behavioural analysis e altri sistemi di protezione proattiva appaiono invece sempre più essenziali, sebbene attualmente sia difficile realizzare dei test adeguati per misurarne le performance.
Tenendo ben presente i termini di validità di questa ricerca, ecco quali sono stati gli antivirus migliori "performer": Fortinet(62%), Panda(56%), eSafe(51%), AntiVir(51%), BitDefender(45%), Prevx1(44%).
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
Exploit Pubblico per Falla " Aggiornamento KB929969 per XP SP2http://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/fallawin3.jpgUn nuovo codice exploit che sfrutta la vulnerabilità ad alto rischio nell'implementazione VML di Windows, corretta pochi giorni fa da Microsoft con il rilascio di uno dei bollettini relativi al Patch Day di Gennaio, è stato rilasciato pubblicamente in rete su milw0rm, ampio sito/database di codici exploit. Cinque giorni fa avevamo segnalato un altro codice exploit per la stessa falla, reso disponibile privatamente da Immunity nell'ambito del programma dedicato ai partner tramite il quale l'azienda offre informazioni aggiornate su nuove vulnerabilità ed exploit ad altre aziende IDS (intrusion detection) e di penetrating testing. Con la disponibilità pubblica del nuovo exploit cresce ulteriormente quindi il livello di urgenza per l'applicazione della patch da parte degli utenti finali e delle aziende.
Il codice exploit reso disponibile riguarda un bug "critico" nell'implementazione di VML (Vector Markup Language) in Windows. Il bug preso di mira risiede nella componente Windows chiamata "vgx.dll" che gestisce i documenti VML. Dal bollettino MS07-004: "Un utente malintenzionato potrebbe sfruttare la vulnerabilità creando una pagina Web appositamente predisposta o un messaggio di posta elettronica in formato HTML in grado di consentire potenzialmente l'esecuzione di codice in modalità remota. Sfruttando questa vulnerabilità, è possibile assumere il pieno controllo del sistema interessato".
Microsoft ha affermato che la falla era stata originariamente segnalata tramite il suo processo di "responsible disclosure", ma una nota nel suo advisory conferma l'esistenza di attacchi zero-day precedenti al Patch Day. Al momento non ci sono informazioni pubbliche su questi attacchi zero-day, Microsoft non aveva neanche rilasciato un advisory pre-patch per avvertire i clienti riguardo questi rischi. Finora tuttavia il codice exploit non era disponibile pubblicamente in rete. Un portavoce del colosso commenta: "Microsoft è a conoscenza che un codice exploit dettagliato è stato pubblicato su Internet, in grado di sfruttare un vulnerabilità corretta con il bollettino MS07-004 … L'azienda incoraggia tutti i clienti ad applicare gli aggiornamenti di sicurezza più recenti".
La funzionalità dell'exploit pubblico appare comunque limitata, secondo quanto riporta Symantec in un alert emesso per gli utenti del suo servizio di security intelligence DeepSight. Symantec non è stata in grado di eseguire con successo l'attacco sulle versioni in lingua inglese di Windows XP e Windows 2000. L'exploit pubblico è infatti stato testato su XP SP2 versione coreana (fully patched eccetto kb929969) e IE 6.0. L'exploit potrebbe ad ogni modo rappresentare un "starting point" per altri cybercriminali, afferma Symantec: "L'autore ha pubblicato l'esatta location della falla, mostrata in uno screenshot di un binary analyzer, e questo aumenta la probabilità che altri exploit vengano realizzati in futuro". Tutte le più recenti versioni di Windows sono vulnerabili al problema di sicurezza VML, sfruttando come vettore qualsiasi versione di IE, incluso IE 7. Windows Vista invece non è affetto dal bug.
Si tratta della seconda falla importante in VML che affligge Windows negli ultimi mesi. A Settembre 2006 alcuni cybercriminali avevano attaccato un altro bug in VML per installare codici rootkit e spyware sulle macchine vulnerabili, costringendo Microsoft a rilasciare una patch out-of-cycle per IE. Bisogna notare che il nuovo codice exploit sfrutta parte del codice di attacco pubblico rilasciato per MS06-055.
Il colosso aveva rilasciato, nell'ambito del Patch Day di Gennaio, 4 bollettini per la correzione di 10 buchi di sicurezza in Outlook, Excel e Windows. Con le release di Gennaio Microsoft non ha invece rilasciato nessun aggiornamento di protezione per Microsoft Word, software preso di mira nelle prime due settimane di Dicembre da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute (descritte in news precedenti
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
Kyrill: Attenti allo Storm-Worm
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gifTroj/Small-DOR @ Sophoshttp://www.tweakness.net/immagini/news/spacer.gifSmall.DAM @ F-Securehttp://www.tweakness.net/immagini/news/spacer.gifF-Secure Blog
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/StormWorm.jpgLe notizie sul ciclone Kyrill, che sta colpendo il Nord Europa in maniera drammatica, sono state sfruttate in queste ore come vettore di social-engineering per un attacco spam su vasta scala tramite il quale è stato diffuso un pericoloso codice Trojan, lo hanno segnalato varie aziende di sicurezza.
Il messaggio di posta elettronica arriva nelle caselle dei utenti malcapitati con una serie di oggetti tra cui: "230 dead as storm batters Europe" , "British Muslims Genocidi", "Naked teens attack home director", "A killer at 11, he's free at 21 and kill again!", "U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel". Il messaggio include in allegato un file eseguibile camuffato da documento informativo con dettagli sul tempo o da filmato sulla calamità, che include il codice nocivo: Full Clip.exe, Full Story.exe, Full Video.exe, Read More.exe o Video.exe.
Il Trojan è stato classificato da Sophos come "Troj/DwnLdr-FYD" e "Troj/Small-DOR" e da F-Secure come "Small.DAM (Storm-Worm)". Sophos ha segnalato che intercetterà le future varianti in maniera proattiva come Mal/EncPk-B usando la sua tecnologia Behavioral Genotype Protection. Quando viene lanciato, il codice infetta il PC dell'utente. Storm-Worm è capace di scaricare ulteriori codici nocivi sul sistema vittima, trasformando per esempio la macchina infetta in uno spam zombie e rubando informazioni e dati personali. Le infezioni ha visto una impennata la scorsa notte, le e-mail infette si sono moltiplicate fino a rappresentare 1 messaggio di posta su 200 tra tutti quelli in transito in rete.
Graham Cluley, Sophos technology consultant, ha affermato in una statement: "Chiunque ci sia dietro questa campagna di spam è riuscito a generare un 'tempesta' aggressiva di e-mail nelle ultime 12 ore, e alcune inbox potranno percepire la devastazione dell'inondazione … I cybercriminali stanno deliberatamente sfruttando l'interesse pubblico nelle notizie dell'ulti'ora come questa con l'intento di infettare in maniera silente i PC di ignari utenti".
Questa particolare tecnica di social engineering che sfrutta le notizie sulle calamità naturali non è per nulla nuova. I cyber criminali avevano già sfruttato i disastri del Dicembre 2004 (terremoto e tsunami) in Asia, camuffando le loro e-mail nocive da messaggi legati alla crisi umanitaria nella regione. Simili attacchi avevano poi sfruttato l'uragano Katrina e l'attentato terroristico di Londra nel 2005.
La particolarità di questo nuovo attacco, come evidenziato da F-Secure, è il tempismo della diffusione dei messaggi, avvenuto solo poche ore dopo l'effettivo verificarsi dell'evento. Questo ha permesso una rapida estensione delle infezioni in particolare nei territori colpiti dal ciclone Kyrill. F-Secure ha reso disponibile un filmato che mostra graficamente la diffusione delle infezioni nelle prime ore dalla scoperta del malware.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [17/01/2007]
Phishing: ancora un caso per Poste Italiane, forse l'ultimo
http://www.anti-phishing.it/image.news/poste.002.JPGSembra non esserci pace per Poste Italiane e la sicurezza dei suoi clienti ancora una volta minacciati, è il secondo caso nella sola giornata di oggi, da un ulteriore tentativo di phishing il quale tuttavia non giunge inaspettato.
Il phisher infatti utilizza ancora una volta l’apposito dominio web Posteit, apparentemente collegato al gruppo Poste Italiane, che sino ad oggi è stato sfruttato con le estensioni .net .us e l’ultima .biz, pertanto dovrebbe aver terminato, anche se non è da escludere la possibilità che vengano utilizzate estensioni particolari o appartenenti a paesi stranieri.
L’e-mail truffa ancora una volta informa l’utente di una nuova gamma completa di servizi online, che potranno essere utilizzati solo dopo essere divenuti utenti verificati, accedendo all’apposito sito clone ospitato per l’occasione in un server rumeno, ed aver fornito altre ai propri dati personali e componenti riservato anche il numero della carta di credito.
L’e-mail utilizzata:
L’apposito sito clone:
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [20/01/2007]
KB925524 v2 "Fix" per Excel 2000
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gifMS07-002http://www.tweakness.net/immagini/news/spacer.gifExcel 2000 KB925524 v2http://www.tweakness.net/immagini/news/spacer.gifMSKB KB931183
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/mskb.jpgMicrosoft ha rilasciato nuovamente un aggiornamento reso disponibile nell'ambito del Patch Day di Gennaio, per correggere un problema che impediva a Excel 2000 di processare correttamente le informazioni. Microsoft ha annunciato che le "re-release mirata" del bollettino MS07-002 si è resa necessario per correggere un bug che affligge esclusivamente Excel 2000 nel processing delle informazioni fonetiche integrate nei file creati usando Excel in modalità executable in coreano, cinese e giapponese. La release originale del bollettino era stata rilasciata il 9 Gennaio scorso nell'ambito dell'appuntamento mensile con i bollettini e le patch di sicurezza. Il problema è descritto nell'articolo MSKB KB931183.
"Dopo aver installato la patch potreste non essere più in grado di aprire alcuni file creati usando qualsiasi versione di Excel", avverte Microsoft. Il colosso evidenzia che se non si sta eseguendo Excel 2000 non sarà necessaria alcuna operazione. In caso contrario gli utenti dovranno re-installare l'aggiornamento che sta venendo distribuito sugli stessi canali di distribuzione della patch originale.
MS07-002 corregge 5 vulnerabilità nel software Excel ed è classificato globalmente come critico da Microsoft. Tutte le vulnerabilità interessate da questo bollettino possono consentire esecuzione di codice in modalità remota.
Microsoft riporta nell'advisory originale: "Se un utente è connesso con privilegi di amministrazione, un utente malintenzionato che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato, riuscendo quindi a installare programmi e visualizzare, modificare o eliminare dati o creare nuovi account con diritti utente completi. Pertanto, gli utenti con account configurati in modo da disporre solo di diritti limitati sono esposti all'attacco in misura inferiore rispetto a chi operano con privilegi di amministrazione".
È interessante ricordare che Microsoft aveva modificato la schedule dei bollettini per il primo Patch Day del 2007. Rispetto a quanto annunciato precedentemente nella sua Security Bulletin Advance Notification, Microsoft ha ridotto il numero dei nuovi bollettini di sicurezza da 8 a 4. Nessun dettaglio è stato rilasciato riguardo le motivazioni di questi tagli. In tutto il colosso ha eliminato dalla schedule di release 2 aggiornamenti per Windows, 1 bollettino "importante" per entrambi i prodotti Windows e Office e 1 bollettino relativo a Windows e Microsoft Visual Studio, questo classificato come importante.
Microsoft aveva citato problemi di "qualità" con le release, che verosimilmente saranno rimandate al Patch Day successivo di Febbraio. Non si tratta dei primi problemi con il "controllo qualità" incontrati da Microsoft in questi mesi. Ad Ottobre 2006 il colosso aveva rilasciato un aggiornamento per un bollettino relativo a Windows 2000 ed altre tre re-release si era rese necessarie dopo il Patch Day di Agosto, di una di queste sono state rilasciate ben tre revisioni.
http://www.tweakness.net/immagini/links.gif Microsoft Rinvia 4 Patch Annunciate - Microsoft Patch Day Gennaio 2007 - Altre
Nell'ambito del Patch Day di Gennaio, Microsoft non ha rilasciato nessun aggiornamento di protezione per Microsoft Word, software preso di mira nelle prime due settimane di Dicembre da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [20/01/2007]
Cassazione e MP3: siamo proprio sicuri che non sia reato?
http://www.anti-phishing.it/image.news/1909.jpgLa recente sentenza della Cassazione n. 149/2007, depositata lo scorso 9 gennaio ha indotto più di qualcuno a gridare con condivisibile gioia "scaricare non è più reato se manca il fine di lucro!".
Con il provvedimento indicato, la suprema corte aveva infatti assolto due studenti torinesi che nel 1999 avevano realizzato un server tramite il quale, con collegamenti telematici FTP era possibile condividere contenuti multimediali (musica, film, immagini ed altre utilità), fra i quali molti erano protetti dal diritto d’autore.
Ebbene, quanto vanno sostenendo diversi sedicenti esperti –fra questi c’è cascato anche l’ex Ministro dell’Interno, quindi presumibile esperto in materia penale, Roberto Maroni –è una colossale panzana. Spesso l’entusiasmo per una decisione auspicata, sperata, bramata da anni può indurre a non vedere la realtà dei fatti.
E la realtà dei fatti è molto semplice, la Cassazione ha assolto gli studenti perché ha applicato la legge vigente all’epoca dei fatti (risalenti al 1999) che è nettamente diversa da quella in vigore oggi.
- Il fine di lucro
Prima del 2000, la normativa in tema di diritto d’autore (che prevede sanzioni anche penali per i trasgressori) puniva la duplicazione (così come la diffusione, la riproduzione, trasmissione etc.) non autorizzata di opere dell’ingegno qualora tali condotte fossero realizzate con lo specifico fine di lucro. Ci si chiese, cosa vuol dire fine di lucro? Alcuni interpretavano tale concetto estensivamente, facendoci rientrare anche il semplice utilizzo gratuito di un prodotto senza licenza.
Altri invece erano per una interpretazione più restrittiva. Poi, verso la fine degli anni novanta, accadde che una imprenditrice fu assolta dal reato di illecita duplicazione di opere protette (aveva masterizzato ed installato su diversi pc della propria azienda un sistema operativo ed una suite di software per ufficio che erano dotati di licenza monoutente). Sostennero i giudici in quel caso che “fine di lucro” significa aver realizzato le condotte previste dalla legge sul diritto d’autore con l’espresso intendo di realizzare un guadagno economico, ovvero di incrementare il proprio patrimonio con introiti illeciti derivanti dall’utilizzazione commerciale delle opere protette.
Le Majors del settore corsero ai ripari: ma come, una legge del genere ci metterà tutti in ginocchio con la diffusione di internet! Ed in effetti, l’esplosione del fenomeno Napster (chiuso nel 2000, dopo almeno un biennio di intensa attività ed uno storico, e per certi versi drammatico, contenzioso giudiziario) dimostrò come fosse ampia la propensione a duplicare, riprodurre, diffondere e trasmettere opere dell’ingegno da parte degli italiani. Niente di moralmente riprovevole, s’intende.
Anzi, un’attestazione, se vogliamo, dell’incredibile anelito di conoscenza e di curiosità che anima i cittadini del Belpaese. Ma qualcosa bisognava fare, sembravano sussurrare le teste d’uovo delle multinazionali di casa nostra.
- Il fine di trarre profitto
Ed in effetti qualcosa fecero. Fu cambiata la legge, per proteggere le opere contro la “pirateria”, si disse, e fu votata dal parlamento la legge n. 248/2000. Così, con un tratto di penna, nella descrizione delle condotte criminose in tema di diritti d’autore, venne cancellata l’espressione "fine di lucro", introducendo l’espressione "fine di trarre profitto".
Che cosa significava ciò? Presto detto, mentre il lucro, secondo l’interpretazione dei Tribunali, significa realizzare un incremento economico, il profitto significa realizzare una qualche. Utilità che può certamente essere rappresentata dal risparmio di spesa realizzato duplicando, riproducendo, diffondendo o trasmettendo opere protette senza pagare i relativi diritti.
Poi è arrivata una direttiva comunitaria che venne recepita dal Decreto Urbani unicamente come un incentivo ad inasprire le sanzioni (mentre in realtà prevedeva anche alcuni aspetti innovativi, come il possibile superamento della tutela unica della SIAE). La sanzioni penali vennero intensificate e le sanzioni amministrative incrementate.
Oggi, chi duplica CD rischia – per quanto riguarda le sanzioni amministrative – di dover pagare una somma molto salata “Ferme le sanzioni penali applicabili” recita l’articolo 174 bis della legge n. 633/1941 “la violazione delle disposizioni previste nella presente sezione è punita con la sanzione amministrativa pecuniaria pari al doppio del prezzo di mercato dell' opera o del supporto oggetto della violazione, .in misura comunque non inferiore a euro 103,00. Se il prezzo non è facilmente determinabile, la violazione è punita con la sanzione amministrativa da euro 103,00 a euro 1032,00. La sanzione amministrativa si applica nella misura stabilita per ogni violazione e per ogni esemplare abusivamente duplicato o riprodotto”.
Capito? Se avete un centinaio di mp3 nel vostro pc, rischiate una sanzione che può arrivare anche fino 100 mila euro!
Fermo restando, s’intende l’illecito penale. E allora, vai con l’articolo 171 bis “Chiunque abusivamente duplica, per trarne profitto, programmi per elaboratore o ai medesimi fini importa, distribuisce, vende, detiene a scopo commerciale o imprenditoriale o concede in locazione programmi contenuti in supporti non contrassegnati dalla Società italiana degli autori ed editori (SIAE), è soggetto alla pena della reclusione da sei mesi a tre anni e della multa da lire cinque milioni a lire trenta milioni.
La stessa pena si applica se il fatto concerne qualsiasi mezzo inteso unicamente a consentire o facilitare la rimozione arbitraria o l'elusione funzionale di dispositivi applicati a protezione di un programma per elaboratori. La pena non è inferiore nel minimo a due anni di reclusione e la multa a lire trenta milioni se il fatto è di rilevante gravità”. Qualcuno ha letto fine di lucro da qualche parte? Io no, ma forse l’ex Ministro Maroni da quando indossa i suoi nuovi occhialini fashon vede dove noi umani non riusciamo ad arrivare.
- Lucro o profitto, ma dov’è l’equivoco?
Sostiene la sentenza della Cassazione “è stato esattamente evidenziato in proposito dalla difesa del R. che l'espressione “fini di lucro”, contenuta nel testo attuale dell'articolo 171ter, comma 1, della legge 633/41 è stata dapprima sostituita con quella “per trarne profitto” dall'articolo 1 comma 2 del Dl 72/2004, convertito con modificazioni dalla legge 128/04, e successivamente reinserita al posto di quella “per trarne profitto” dall'articolo 3 comma 3quinquies, del Dl 7/2005, convertito con modificazioni dalla legge 43/2005”.
Il problema è che vengono in rilievo almeno tre articoli della legge sul diritto d’autore che nel corso degli anni hanno subito diverse modiche: l’art. 171-bis, l’art. 171-ter e l’art. 174 ter.
La prima delle norme citate punisce chiunque ponga in essere determinate condotte illecite (duplicazione, diffusione, trasmissione, etc.) con riferimento a programmi per elaboratore o opere sprovviste del bollino SIAE. E la punibilità si configura quando tali condotte venogono poste in essere con il fine di trarre profitto (oggi), mentre all’epoca dei fatti oggetto della sentenza quando v’era lo scopo di lucro.
L’art. 171-ter, invece, si preoccupa di colpire le stesse condotte quando hanno ad oggetto opere dell'ingegno destinate al circuito televisivo, cinematografico, della vendita o del noleggio, dischi, nastri o supporti analoghi ovvero ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento. Perché si configuri questo reato è necessaria la sussistenza del fine di lucro.
Infine l’art. 174-ter prevede semplicemente l’applicazione di una sanzione amministrativa, che, seppur pesante, è priva di rilevanza penale.
Precisa, la Cassazione “l'articolo 174ter, come da ultimo modificato dall'articolo 23 del D.Lgs 63/2003 non attribuisce rilevanza penale alla duplicazione, riproduzione, acquisto o noleggio di supporti non conformi alle prescrizioni della medesima legge a fini meramente personali, allorché, cioè, la riproduzione o l'acquisto non concorrano con i reati previsti dall'articolo 171 e ss. e non sia destinato all'immissione in commercio di detto materiale (cfr. Su, 47164/05 Marino). Nella ipotesi esaminata viene, infatti, escluso dall'ambito della fattispecie criminosa il comportamento dettato dalla mera finalità di un risparmio di spesa, che indubbiamente deriva dall'acquisto di supporti duplicati o riprodotti abusivamente.
Va ancora rilevato che la condotta attribuita agli imputati è attualmente descritta in termini più puntuali dall'articolo 171ter comma 2 lettera abis), della legge 633/41, introdotto dall'articolo 1 comma 3 del Dl 72/2004, convertito con modificazioni della legge 128/04, ma sempre con la delimitazione della soglia di punibilità mediante il riferimento all'ipotesi che il fatto venga commesso “a fini di lucro”.
- Morale? Attenti ai falsi profeti
In conclusione ci sentiamo in dovere di mettere in allarme tutti i nostri lettori dai facili trionfalismi. La Cassazione ha assolto quei ragazzi perché il fatto non costituiva reato all’epoca in cui era avvenuto. Ma oggi lo costituirebbe senz’altro. Ed inoltre le sanzioni amministrative sono sempre decisamente salate, anche in caso di supposta depenalizzazione.
Eppoi, nulla vieterebbe ad un giudice di decidere un caso analogo in modo difforme da come deciso dalla Cassazione nella sentenza n. 149, come noto non c’è il principio del precedente vincolante nel nostro ordinamento.
Ma che dire di tutti i giornali e di tutti gli opinionisti che avevano titolato “scaricare senza fine di lucro non è più reato”, e di tutti coloro che entusiasticamente avevano preannunciato – lusingandoci, s’intende-l’alba di una nuova era dorata fatta di Mp3 liberi e di libero downloading? La mamma degli incauti è sempre incinta
Avv. Luca Bovino
Responsabile area tecnica
Anti-Phishing Italia
www.anti-phishing.it
Fonti:
- La sentenza http://www.overlex.com/leggisentenza.asp?id=858
- L’articolo entusiastico di Punto Informatico http://punto-informatico.it/p.aspx?id=1854433 .
- Scaricare rimane illegale http://punto-informatico.it/p.aspx?id=1857111&r=PI
- L’articolo del Corriere.it http://www.corriere.it/Primo_Piano/C...o/20/web.shtml
- Le precisazioni del FIMI http://www.fimi.it/dettaglio_documen...po_documento=1
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [20/01/2007]
Nuovo rischio phishing e keylogger per gli utenti di eBay Italia
http://www.anti-phishing.it/image.news/asta.ebay.jpgAnti-Phishing Italia ha rilevato la circolazione in Rete di un nuovo caso di phishing ai danni degli utenti di eBay Italia, il quale ripercorre una tecnica già più volte vista questo mese, capace di esporre le potenziali vittime non solo al rischio del furto dei propri dati personali e credenziali di autenticazione, ma anche a quello di un pericoloso malware.
L’e-mail ancora una volta estremamente spartana e dall’italiano tradotto, trasporta gli utenti che decideranno di considerarla come una vera comunicazione proveniente dal noto sito d’aste on-line, in primo sito web la cui unica funzione è quella di condurre la vittima nel vero sito clone, all’interno del quale è riprodotta una falsa copia di eBay Italia.
Utilizzando un sistema non aggiornato o semplicemente rendendosi carnefice di se stessi, l’utente può infettare il propri Pc con il malware Backdoor.Win32.Hupigon.bv, in grado di ricevere ordini da remoto (dal truffatore) per operare come un keylogger, ossia un programma in grado di intercettare tutto ciò che l’utente digita sulla tastiera del proprio computer,sottrarre file dal computer colpito o importare altri malware.
Attenzione. Anche semplicemente visitando il sito clone si può rimanere vittime del malware, pertanto tutti coloro i quali dovessero ricevere la sopra indicata e-mail, sono invitata a cestinarla immediatamente.
Il sito clone:
http://www.anti-phishing.it/phishing...01.2007_01.png http://www.anti-phishing.it/phishing...01.2007_02.png
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [20/01/2007]
Il phishing italiano si allarga: colpita la Banca del CentroVeneto
http://www.anti-phishing.it/image.ne...ntroveneto.pngAbbandonando i classici istituti di credito i phisher sorprendo tutti attaccando la Banca del CentroVeneto ed i suoi clienti, i quali probabilmente non si aspettavano di divenire le ultime vittime del phishing.
Tuttavia a smorzare l’attacco ancora una volta ci pensa l’e-mail, elemento fondamentale in questo tipo di truffa, che con il classico italiano tradotto, ossia frutto di software di traduzione automatica, rendono la comunicazione di difficile lettura e quindi poco credibile. Basti pensare che la stessa Banca del CentroVeneto è riportata nell’e-mail come Banca del CentroVento.
Non è la prima volta che i phisher ci provano contro un istituto di credito minore, non per importanza o serietà ma esclusivamente per il numero di potenziali vittime raggiungibili con questo tipo di attacco, nell’agosto 2005 l’obiettivo divenne la CARIM – Cassa di Risparmio di Rimini, tuttavia oggi come allora tali attacchi sono destinati a rimanere isolati e limitati esclusivamente per ragioni statistiche.
L’e-mail utilizzata:
Il sito clone ospitato fisicamente in un server tedesco non risulta raggiungibile.
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [20/01/2007]
Abboccano al phishing e dai loro conti spariscono 30mila euro
http://www.anti-phishing.it/image.news/pc%20crash.jpgLa spiacevole vicenda è accaduta a tre professionisti teramani clienti abituali del noto sito d’aste on-line eBay, che vedendosi recapitare nella propria casella e-mail una comunicazione (falsa) dallo stesso sito non hanno esitato a considerarla vera ed a fornire i propri dati e numeri di carte di credito. Adesso alleggerite in totale di ben 30mila euro.
Il fatto denunciato presso il compartimento abruzzese della polizia postale diretta dal Vice Questore Alessandro Grilli, rappresenta un classico caso di phishing, basti pensare che nel solo mese di gennaio i tentativi di truffa diretti esclusivamente ai danni di eBay Italia sono la metà di quelli registrati in tutto il 2006, con gli ultimi attacchi legati anche al rischio keylogger presente nell’apposito sito clone.
A far cadere in trappola i tre un e-mail che li avvertiva del rischio che il loro account fosse stato violato, e che pertanto era necessario verificare i propri dati, semplicemente cliccando sul link proposto all’interno della stessa e-mail, il quale ha trasportato i tre in una copia del vero sito web di eBay all’interno del quale hanno inconsapevolmente provveduto a fornire i propri dati, finiti così nella mani dei truffatori.
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [20/01/2007]
Storm Worm Attacca su Vasta Scala
http://www.tweakness.net/immagini/news/spacer.gifPeacomm @ Symantechttp://www.tweakness.net/immagini/news/spacer.gifF-Secure Bloghttp://www.tweakness.net/immagini/news/spacer.gifSymantec Security Response Blog
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/StormWorm2.jpgIl cosiddetto codice malware "Storm Worm" (o Storm Trojan) continua a diffondersi via spam in tutto il mondo, con svariante ondate di attacchi e nuove varianti riportate negli ultimi giorni.
http://www.tweakness.net/immagini/links.gif Kyrill: Attenti allo Storm-Worm
La prima ondata di attacco spam su vasta scala aveva sfruttato, con grande tempismo, come vettore di social-engineering le notizie sul ciclone Kyrill, che ha colpito il Nord Europa in maniera drammatica. Il messaggio di posta elettronica è arrivato nelle caselle dei utenti malcapitati con una serie di oggetti come "230 dead as storm batters Europe". Il messaggio includeva in allegato un file eseguibile camuffato da documento informativo con dettagli sul tempo o da filmato sulla calamità, che include il codice nocivo: Full Clip.exe, Full Story.exe, Full Video.exe, Read More.exe o Video.exe.
Nelle successive ondate di attacco si è rilevata una modifica dei titoli dei messaggi, tra cui tentativi di camuffamento da notizie su missili cinesi o russi contro gli USA, sulla morte di Fidel Castro, di Hugo Chavez o di Putin, o anche sulla scoperta di Saddam Hussein ancora vivo, o su un attentato terroristico nucleare. F-Secure ha pubblicato una lunga lista dei nuovi oggetti e-mail pericolosi. L'attacco più recente sembra invece essere a tema amoroso, con frasi che sembrano copiate dall'archivio di "Romantic Cards" del sito 2000greetings.com.
Nell'ambito di ciascuna ondata di spam è variato diverse volte anche il nome dei file allegati, che comunque in genere sono file di estensione EXE. Contestualmente è stato aggiornato anche il codice stesso del malware che ora fa uso di tecniche rootkit kernel-mode per nascondere i suoi file, le sue chiavi di registro e le connessioni di rete attive. Secondo quanto riporta Symantec che sta seguendo gli attacchi sul blog ufficiale Security Response, sembra che i malware writer abbiano accelerato lo sviluppo del codice nocivo per rilasciare in-the-wild le nuove varianti il più velocemente possibile, tanto che alcune delle funzionalità della componente rootkit non sono state inizialmente implementate in maniera corretta. Anche la porta UDP di comunicazione bot è stata modificata dalla 4000 alla 7871. Il malware sembra essere anche in grado di patchare il file tcpip.sys di sistema per nascondere le porte usate dai comandi come netstat.
Secondo Symantec lo scopo di questa attività spam infettiva è principalmente quello di creare una botnet in grado di inviare una enorme quantità di spam. Questa botnet sfrutta anche la tecnologia P2P in modo da non avere un unico server centralizzato, e proteggere la propria rete. Symantec ha anche riportano interessanti dati estrapolati dall'analisi fatta dalle sue soluzioni antispam. Dai dati degli ultimi 30 giorni emerge che il "Storm Worm" aka "Peacomm" (Symantec) ha già ampiamente sorpassato il worm "happy new year" (W32.Mixor.Q@mm) per quanto riguarda la percentuale di e-mail spam inviate. I due codici nocivi sembrano inoltre essere legati, cioè le ultime varianti di Mixor.Q (mass-mailer che si occupa di generare i messaggi spam autonomamente) sembrano eseguire il dropping di Peacomm.
Come nota a margine è interessante notare che entrambi i campioni di "Storm Trojan", non-rootkit e rootkit, non riescono ad installarsi su Windows Vista con la funzione UAC abilitata. Sebbene non si conosca il numero preciso di computer colpiti dal worm, secondo F-Secure, si tratterebbe di svariate centinaia di migliaia di computer potenzialmente affetti.
Ulteriori risorse: F-Secure Blog, Symantec Security Response Blog, Mcafee Avert Labs Blog
Dettagli malware: CME-711 [Common Malware Enumeration], TROJ_SMALL.EDW [Trend Micro], Small.DAM [F-Secure], Downloader-BAI [McAfee], Troj/Dorf-Fam [Sophos], Peacomm [Symantec]
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [20/01/2007]
eeting Segreto Anti Cyber-Crimine
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gifInternet Security Operations and Intelligence IIhttp://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/...zza_online.jpgGli esperti di sicurezza internet si incontreranno nel fine settimana in una conferenza "privata" per disegnare la strategia più adeguata per la lotta al cyber-crimine nei prossimi anni. Il meeting "Internet Security Operations and Intelligence II" si terrà Giovedì e Venerdì ai quartieri generali di Microsoft a Redmond, e raccoglierà i rappresentanti di aziende di sicurezza e dirigenti governativi e delle forse dell'ordine, a cui si uniranno altre figure di peso coinvolte nel settore della network security. All'ordine del giorno sono stati inseriti il problema delle botnet e altre problematiche di sicurezza correlate, che gli esperti vedono attualmente come le minacce più pericolose su Internet. Gadi Evron, "evangelist" dell'azienda di sicurezza Beyond Security ed organizzatore dell'evento, commenta: "Al contrario della maggior parte delle conferenze sulla sicurezza, offriamo accesso solo ai membri dei principali gruppi, e discutiamo del crimine organizzato e delle minacce a largo respiro … con particolare attenzione a come possa essere possibile migliorare le cose". Le botnet sono reti di computer in hijack, chiamati comunemente "zombie". I "cybercrook" sfruttano queste reti per dirottare spam, mettere offline siti web, distribuire spyware e svolgere altri crimini. Microsoft ha tempo fa indicato gli "zombie" come la minaccia "top" per i PC Windows.
Nella battaglia tra cybercriminali e coloro che tentano di difendere Internet, i cattivi sono spesso un passo avanti rispetto ai rivali. Le autorità stanno usando la mano pesante e hanno fatto segnare successi negli ultimi anni per quanto riguarda la cattura, e l'arresto dei "phisher" e dei "bot herder". Tuttavia i criminali si stanno organizzando sempre meglio e stanno adottando tattiche sempre più sofisticate, tra cui l'uso delle tecnologie P2P nei loro software bot. Il gathering di questa settimana vuole rappresentare un momento di incontro e di coalizione tra i "buoni".
Dave Jevans, chairman del Anti-Phishing Working Group, che interverrà durante l'evento, commenta: "Questi eventi hanno rappresentato un ottimo modo per creare fiducia nell'ambito della community di sicurezza, e questo può portare a collaborazione e condivisione di dati. L'evento contribuisce allo sforzo globale di lotta al cyber-crimine". Il meeting di due giorni si svolgerà a porte chiuse, afferma Evron, sia per una questione di praticità sia per creare un ambiente più sicuro per la condivisione ed il lavoro tra i vari gruppi del settore. Evron commenta: "Non tutto potrà essere di dominio pubblico, se davvero vogliamo aver una chance di vittoria contro queste minacce". Questi incontri "confidenziali" non sono comunque inusuali, Microsoft tiene regolarmente meeting presso il suo campus che prevedono un "nondisclosure agreement" verso l'esterno.
Tra le presentazioni in programma per questa settimana, segnaliamo due sessioni condotte da Microsoft in cui si tratteranno le vulnerabilità di sicurezza prive di patch, le falle "zero-day" es il problema della risposta dei produttori di software a questo tipo di minacce che negli ultimi mesi hanno visto una impennata ed una rapidità di attacco senza precedenti. Microsoft presenterà dati e statistiche riguardo il processo di security response e offrirà una recensione delle tendenze di exploitation delle vulnerabilità, con particolare attenzione all'uso delle falle zero-day contro i clienti. Il colosso si è detto inoltre orgoglioso di poter sponsorizzare il workshop, offrendo una opportunità di confronto nella community, su tendenze di sicurezze e piani strategici futuri.
In altre sessioni saranno affrontati più nel dettaglio i problemi delle botnet, dei codici Trojan, dei nuovi tipi di attacco denial-of-service, spam e phishing e delle debolezze delle tecnologie di protezione come le sandbox e le virtual keyboard per i siti di banking. Tra gli altri, Douglas Otis di Trend Micro parlerà di come la tecnologia di autenticazione e-mail Sender ID possa essere abusata per lanciare attacchi denial-of-service, mentre Jevans di Anti-Phishing Working Group presenterà una overview pluriennale sulle statistiche relative al phishing, offrendo uno sguardo alle nuove tendenze nelle tecniche di scam per furto di dati (uso di sottodomini, attacchi man-in-the-middle, e modifica dei pattern di attacco per colpire bersagli più piccoli). Alex Shipp, senior antivirus technologist di MessageLabs, ha in programma di affrontare la problematica dei codici Trojan che mirano ad un ristretto numero di aziende o anche singole entità (attacchi mirati): un aggiornamento di una presentazione già offerta dal ricercatore alla conferenza Virus Bulletin l'anno scorso. Questi codici sono particolarmente pericolosi perché sono in grado di evadere i tradizionali schemi di protezione tarati per attacchi noti e su vasta scala.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [20/01/2007]
Allerta: Quarta Falla 0-Day in Word
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/Word_Falla3.jpgSecondo i ricercatori di sicurezza di Symantec, i cybercriminali hanno iniziato a sfruttare una nuova vulnerabilità grave in Microsoft Word, applicazione software preso di mira nelle prime due settimane di Dicembre 2006 da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute (descritte in news precedenti) e prive di patch.
http://www.tweakness.net/immagini/links.gif Allerta: Terza Falla 0-Day in Word - Altre
Dal blog del Security Response di Symantec: "Abbiamo visto molte minacce che sfruttano vulnerabilità basate sui documenti Microsoft Office durante l'anno scorso, quindi sorprende il fatto di aver recentemente osservato nuovi campioni di una nuova minaccia che segue il medesimo schema. Questo codice nocivo chiamato Trojan.Mdropper.W sfrutta la nuova Microsoft Word 2000 Unspecified Code Execution Vulnerability (BID22225) per eseguire il drop di ulteriori codici sul computer compromesso. Quando un documento Word infetto viene aperto, utilizza una tecnica exploit per rilasciare alcuni file sul computer. Questi file sono Trojan backdoor usati per guadagnare accesso remoto al computer vittima". Il codice crea anche un documento Word vuoto chiamato "Summary on China's 2006 Defense White paper.doc" e si connette al dominio pop.newyorkerworld.com tramite la porta TCP 80 per eseguire comandi specifici, che possono includere il log dei tasti premuti sul computer e documenti privati che vengono inviati al server remoto. Altri dettagli tecnici su Trojan.Mdropper.W.
La nuova vulnerabilità inoltre non sembra essere correlata con le precedenti tre falle scoperte in Word precedentemente. Il problema affligge Office XP, 2000 e Office 2003 su Windows 95, NT, 98, Me, 2000, Server 2003 e XP. Word 2007 non sembra essere vulnerabile. Quando l'attacco viene lanciato contro Word 2003 o XP, le risorse della CPU vengono completamente consumate fino ad una condizione di denial-of-service. L'exploit permette l'esecuzione di codice arbitrario ma i dettagli della tecnica e del problema non sono ancora trapelati in rete.
Symantec consiglia agli utenti di proteggersi da queste minacce non accettando file e documenti ricevuti in maniera inattesa riguardo argomenti "interessanti", e non aprendo gli allegati di posta a meno che non siano atteso e provenienti da fonti conosciute e fidate.
Un portavoce di Microsoft ha affermato che "l'azienda sta attualmente investigando su nuovi report pubblici riguardo una possibile vulnerabilità Microsoft Word", evidenziando che "ci sono stati report pubblici molto limitati cu tentativi si sfruttare la falla per il momento". Al momento della stesura di questa news non è ancora disponibile un commento ufficiale sul blog del Microsoft MSRC sulla problematica, né un Security Advisory dedicato (entrambi comunque attesi nelle prossime ore). Anche l'United States Computer Emergency Readiness Team (US-CERT) sta indagando sulla vulnerabilità. Secunia, che ha rilasciato un advisory dedicato al problema (SA23950), riporta: "Una vulnerabilità è stata isolata di Microsoft Word, che può essere sfruttata da malintenzionati per compromettere il sistema di un utente. La falla è causata da un errore non specificato durante il parsing di documenti Word e può essere sfruttato per eseguire codice arbitrario sul sistema vittima". Secunia evidenzia che la vulnerabilità sta venendo attivamente sfruttata in-the-wild.
Microsoft Word era stato preso di mira solo nelle prime due settimane di Dicembre scorso da almeno tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute nel software. Tra questi exploit il più recente rilasciato in-the-wild sfrutta una vulnerabilità nel modo in cui Word gestisce i dati che descrivono la formattazione del testo nei documenti (carattere in uso, grassetto, etc); modificando alcune delle strutture dati usate per contenere queste informazioni un attacker è in grado di eseguire codice nell'ambito del processo dell'applicazione (rilasciare ulteriori codici nocivi, installare una backdoor, etc). Le altri due vulnerabilità di Word erano state svelate qualche giorno prima del Patch Day di Dicembre. Secunia, nota azienda di security monitoring, aveva classificato entrambi i problemi di sicurezza (SA23232 e SA23205) come "estremamente critici", il massimo livello di pericolosità usato nel suo sistema di rating, evidenziando che un exploit condotto con successo consente agli eventuali attacker di eseguire codice arbitrario e compromettere un sistema vulnerabile.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [20/01/2007]
Webroot Critica Windows Defender
http://www.tweakness.net/immagini/news/spacer.gifhttp://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/...spysweeper.jpgWebroot Software, azienda che sviluppa soluzioni di sicurezza, ha criticato la tecnologia di protezione antispyware integrata nell'ormai imminente Windows Vista, definendola "inefficace e debole", lo riporta InformationWeek. Gerhard Eschelbeck, chief technology officer di Webroot, ha affermato: "Applaudiamo Microsoft per i sostanziali miglioramenti in Vista … Tuttavia vogliamo assicurarci che i clienti capiscano i limiti di questo sistema operativo, avvertendoli che le applicazioni predefinite di malware blocking e antivirus potrebbero non proteggerli in maniera completa". Webroot è una azienda conosciuta in particolare per la linea anti-spyware Spy Sweeper, che l'anno scorso è stata aggiornata con capacità di scansione antivirus. Spy Sweeper compete sul mercato con Windows Defender, software add-on antispyware gratuito per Windows XP che troveremo integrato in Windows Vista. Eschelbeck commenta: "Se si guarda ai dati, questi parlano da soli … Defender non ha bloccato l'84% dei malware testati. Questo non è il livello di performance che gli utenti desiderano". Un team di Webroot ha testato Defender con una serie di Trojan horse, adware, keylogger, system monitor, ed altri programmi non desiderati, tutti provenienti da minacce in-the-wild. Spy Sweeper al contrario del software di Microsoft ha bloccato il 100% di queste minacce.
Eschelbeck ha anche criticato Windows Defender, e di riflesso anche Vista, per gli aggiornamenti poco frequenti. Secondo Webroot, Microsoft attualmente rilascia aggiornamenti per le definizioni spyware ogni 7/10 giorni. Webroot invece identifica circa 3.000 nuove "tracce spyware" ogni mese. "Gli utenti non possono aspettare una settimana o più per aver le loro definizioni aggiornate", ha commentato Eschelbeck. Inoltre Vista non include protezione anti-virus integrata. Windows Live OneCare, la suite del colosso dedicata alla salute del PC (anti-virus scanning, backup, e tune-up), ormai pronta in versione 1.5, costa $49.95 per un anno di abbonamento in licenza per 3 PC. Webroot ha integrato funzioni di anti-virus scanning in Spy Sweeper a fine Ottobre 2006, dopo aver preso in licenza la tecnologia dell'azienda antivirus spagnola Sophos. Spy Sweeper con AntiVirus costa $29.95 con licenza annuale per un PC, o $39.95 per tre PC.
Sebbene i dati provengano da una azienda senza ombra di dubbio interessata a mettere in cattiva luce il rivale, Eschelbeck spiega: "Chiunque può verificare questi dati. Non stiamo promuovendo il nostro prodotto, ma solo presentando dei dati di fatto. Le persone devono poter prendere le loro decisioni sui software di sicurezza … Non stiamo dicendo che Defender è inutile, ma solo che non è alla pari con il resto del settore della sicurezza". Vari analisti hanno da tempo previsto la fine dei software stand-alone anti-spyware, a causa di Windows Defender, gratuito ed integrato in Windows Vista, e della release di suite all-in-one, da parte di aziende come Symantec e McAfee, che integrano anche rilevamento spyware. Eschelbeck respinge questo tipo di analisi: "Ci siamo significativamente espansi oltre l'anti-spyware, in particolare con l'aggiunta della componente antivirus l'anno scorso. Negli ultimi tre mesi del 2006 Webroot ha fatto segnare il miglior trimestre nella storia dell'azienda". Webroot è comunque un'azienda provata e non rilascia dati finanziari che possono confermare questa affermazione. Microsoft non sembra per ora aver risposto ufficialmente alle affermazioni di Webroot.
Sempre in tema antispyware, segnaliamo un'altra recente notizia pubblicata da News.com. La Anti-Spyware Coalition, consorzio che riunisce alcuni dei più importanti produttori software, software developer, e vendors anti-spyware, ha rilasciato due nuovi documenti con l'intento di definire linee guida e tattiche utili per la lotta contro i malware. Il primo documento "Best Practices" include un set di tecniche raccomandate basate sulla precedente definizione e classificazione di "spyware" pubblicata dalla stessa ASC, che offre una descrizione dettagliata del procedimento di analisi e rilevamento delle minacce spyware, con particolare attenzione ai clienti finali. Il secondo documento "Conflicts Resolution" tratta invece i problemi di incompatibilità o conflitto tra diverse soluzioni di protezione. L'obiettivo di ASC rimane quello di rendere più trasparenti le pratiche di ciascun vendor anti-spyware, e l'interazione stessa tra le aziende, a vantaggio dell'utente. I nuovi documenti, che sono stati realizzati nell'arco di un anno di lavoro, sono disponibili sul sito web della Anti-Spyware Coalition, e saranno soggetti ad aggiornamento in base al feedback che sarà fornito tramite il sito.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [29/01/2007]
IE: Falla DoS ActiveX, Anche IE7
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gifIE ActiveX bgColor Property DoShttp://www.tweakness.net/immagini/news/spacer.gifMicrosoft Security Advisory (932114)http://www.tweakness.net/immagini/news/spacer.gif
http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/immagini/news/spacer.gif http://www.tweakness.net/imgarchive/ie7_falla.jpgSecondo quanto riporta l'azienda di sicurezza Determina, tutte le versioni del browser Microsoft Internet Explorer sono affette da una vulnerabilità che mette gli utenti a rischio di attacchi di tipo "denial of service". Determina Security Research ha scoperto una falla DoS in diversi controlli ActiveX istallati in maniera predefinita con Internet Explorer su Windows 2000, XP, 2003 e Vista.
L'azienda di sicurezza ha contatto Microsoft riguardo la problematica il 16 Gennaio scorso ed ha ottenuto una risposta dal colosso circa una settimana fa. Microsoft afferma: "Abbiamo confermato che questo problema può essere usato per causare il crash di una istanza di Internet Explorer durante la visualizzazione di una pagina web modificata ad arte. Abbiamo anche verificato che non ci sono possibilità di sfruttare questo bug per fare altro, cioè nello specifico per eseguire codice". Microsoft non ritiene particolarmente gravi le vulnerabilità che consentono solo attacchi DoS contro i suoi software, e ha classificato il nuovo bug come un problema di stabilità. Il problema sarà trattato come tutti gli altri bug riportati tramite il sistema di Online Crash Analysis.
Secondo quanto riporta Determina nel suo Advisory dedicato, rilasciato 3 giorni fa, la vulnerabilità è stata isolata da un "fuzzer" che si occupa di creare le istanze di tutti i controlli ActiveX sul sistema e di enumerare le loro proprietà. Utilizzando questa tecnica Determina ha scoperto che vari controlli andavano in crash producendo una eccezione di accesso alla memoria quando certe proprietà di oggetto venivano richiamate tramite JavaScript. La maggior parte dei controlli vulnerabili si trovano nel file MSHTML.DLL (giffile, htmlfile, jpegfile, etc.) e sono sfruttabili su tutte le versioni Internet Explorer. Altri due controlli nel file TRIEDIT.DLL sono attaccabili allo stesso modo senza richiedere interazione da parte dell'utente, ma solo su Internet Explorer 5 e 6.
Più in particolare, tentando di accedere alle proprietà bgColor, fgColor, linkColor, alinkColor, vlinkColor o defaultCharset di questi controlli si ottiene un errore di NULL pointer dereference e una violazione di accesso alla memoria non gestita. Determina non è riuscita ad isolare la causa originale di questo problema, che comunque, come confermato da Microsoft, non sembra poter portare ad una condizione di esecuzione codice da remoto. Determina ha anche incluso nel suo advisory un codice PoC estremamente semplice, a dimostrazione del bug.
Ricordiamo che in IE7 Microsoft ha introdotto la nuova funzione di sicurezza ActiveX Opt-In che riduce la superficie d'attacco della piattaforma grazie alla disattivazione di default della maggior parte dei controlli, attivabili manualmente tramite la Information Bar. La funzione impedisce ai controlli potenzialmente vulnerabili di essere esposti direttamente ad attacchi. Tuttavia è interessante notare che i controlli MSHTML.DLL vengono caricati in maniera predefinita anche da IE7 su XP e Vista, che quindi risulta vulnerabile a questo tipo di attacco DoS. Alexander Sotirov, ricercatore di Determina, spiega: "Abbiamo lavorato con Microsoft sul bug durante la scorsa settimana .. e abbiamo concluso che si tratta di un problema di stabilità e non di sicurezza … Credo che si tratti di un problema che doveva essere isolato dal loro team QA prima della release del browser, ma ad ogni modo non è qualcosa che necessita una correzione con aggiornamento di protezione a questo punto".
Ricordiamo che Microsoft sta lavorando in questi giorni sulla correzione di una ennesima vulnerabilità critica in Microsoft Word, software preso di mira nelle prime due settimane di Dicembre 2006 da almeno altri tre diversi attacchi malware zero-day legati a vulnerabilità ancora non conosciute e prive di patch. Quest'ultimo bug di Word sta già venendo sfruttato dal codice Trojan.Mdropper.W in-the-wild per eseguire codice. Al momento della pubblicazione della news dedicata a questa quarta falla zero-day in Word Microsoft non aveva ancora rilasciato commenti ufficiali sul problema. Poche ore dopo il colosso ha rilasciato un Security Advisory (932114) dedicato, in cui comunque non ha rilasciato dettagli aggiuntivi sulla vulnerabilità o particolari workaround temporanei di protezione.
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [29/01/2007]
SMS Truffa: attenti ai messaggini ruba soldi
http://www.anti-phishing.it/image.news/sms_alert.jpgSi presenta come un messaggio inviato dalla segreteria telefonica per informare l’arrivo di nuove comunicazioni, ma in realtà quando la malcapitata vittima chiama il numero proposto vede scalare il suo credito telefonico di ben 15euro.
A lanciare l’allarme su questa nuova truffa legata ai messaggi SMS è la Federconsumatori di Roma e del Lazio in seguito alla segnalazione di alcuni utenti che hanno visto comparire sul display del proprio cellulare in maniera inattesa ed assolutamente indesiderata il seguente testo: "Ci sono messaggi per te! Chiama da telefono fisso il numero 899 e segui la voce guida…".
Un messaggio che a prima vista dovrebbe quanto meno mettere in allarma gli utenti più attenti e diffidenti, anche se non è da escludere la possibilità che in molti cadano delle rete del truffatore, scambiandolo per un vero messaggio, magari proveniente dal proprio operatore di telefonica mobile.
Tuttavia dalle prime segnalazione apparse in siti web e blog italiani, tra cui quella di un blogger napoletano, il raggiro sembrerebbe collegato al sito web messaggionline.eu, visto che il testo completo dell’SMS truffa reciterebbe così: "Ci sono messaggi per te! Chiama da telefono fisso 89-955-45-35 e segui la voce guida. Info e costi di iscrizione www.messaggionline.eu"
Da notare come il numero 899 sia stato abilmente modificato per cercare di non destare sospetti e rassomigliare ad un prefisso locale, nella fattispecie quello della provincia di Salerno anche se in realtà è 089 e non semplicemente 89.
Nonostante le truffe via SMS non rappresentino una novità in Italia, è opportuno prestare sempre la massima attenzione verso tutti i messaggi proveniente da soggetti sconosciuti ed utilizzare la massima cautela nel fornire il proprio numero di cellulare in siti web, forum o blog di dubbia natura o che non forniscano un adeguata informativa sul trattamento che verrà riservato ai nostri dati personali.
Fonte: Anti-Phishing Italia – www.anti-phishing.it
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [29/01/2007]
Phishing e Poste Italiane: 2 nuovi attacchi
http://www.anti-phishing.it/image.news/poste.pacco.jpgUtilizzando la medesima e-mail e continuando un pericoloso trend ormai attivo da gennaio, i phisher ci riprovano contro i clienti italiani di quello che è ormai senza dubbio l’obiettivo nazionale numero uno legato alle nuove truffe digitali: Poste Italiane.
Segnalati ad Anti-Phishing Italia rispettivamente nella giornata di ieri ed in quella odierna, gli ultimi due nuovi casi utilizzano rispettivamente un server canadese all’interno del quale il truffatore posiziona abusivamente il suo sito clone, e l’apposito nome a dominio http://banco-poste-it.com, apparentemente collegato al servizio di home-banking di Poste Italiane.
L’e-mail utilizzata per entrambi i casi:
Il primo sito clone ospitato fisicamente in Canada:
Il secondo sito clone presente negli Stati Uniti:
http://www.anti-phishing.it/phishing....02.2007_1.png
Fonte: Anti-Phishing Italia
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [29/01/2007]
ssuno chiude il sito clone ed il phisher ci riprova contro eBay Italia
http://www.anti-phishing.it/image.news/ebay.006.jpgIncredibile ma purtroppo è vero. Il medesimo sito clone ospitato in un server statunitense e già utilizzato lo scorso 28 gennaio in precedente caso di phishing, ritorna alla ribalta visto che nessuno, neanche la stessa eBay, si è preoccupata di chiuderlo, spingendo così a il truffatore riutilizzarlo per un tentativo di frode ai danni degli clienti italiani del noto sito d’aste on-line.
A gettare acqua sul fuoco tuttavia ci pensa ormai la solita sgrammaticata ed improponibile finta comunicazione proveniente da eBay, la quale informa la potenziale vittima che l’oggetto (??) è già stato pagato, insieme ai sistemi anti-phishing in grado ormai di riconoscere senza problemi la natura truffaldina del sito nel quale l’utente è trasportato cliccando sul link presente nell’e-mail ricevuta.
Sperando di non dover più raccontare fatti di questo tipo, chiudere in tempi brevi un sito clone è fondamentale per limitare i danni ed evitare che ulteriori utenti forniscano nella trappola del phisher, il consiglio ancora una volta è quello di tenere sempre gli occhi aperti e non abbassare mai la guardia.
L’e-mail truffa:
Il sito clone:
http://www.anti-phishing.it/phishing...01.02.2007.png
Ulteriori informazioni: Truffatori ancora all'attacco di eBay Italia. Nuovo caso di phishing
-
Re: News minacce informatiche (virus,trojan,spyware,phishing) Update [29/01/2007]
Caso Tiscali, replicano gli indagati «i veri truffati siamo noi»
http://www.anti-phishing.it/image.news/tiscalilibre.jpgSta assumendo davvero i contorni del giallo il caso dei finti contratti ADSL attivati da un finto centro servizi per conto della Tiscali. Ora parlano gli indagati e rispediscono le accuse al mittente. «Ma quali truffatori di Tiscali, siamo stati noi in primi ad essere stati frodati», sostengono i due mantovani ritenuti gli artefici dei raggiri perché titolari del centro servizi incriminato, che ha sede legale-fiscale a Vicobellignano.
Le indagini svolte dalla Polpost di Cagliari e Mantova hanno portato all’identificazione di D.R., 38 anni di Mantova, e M.P., 40enne di Castel Goffredo (Mn) i quali sono stati denunciati per truffa e sostituzione di persona, ma non ci stanno a vestire i panni dei rei.
Un loro legale afferma «All’incirca alla metà di dicembre i miei assistiti hanno presentato una denuncia nei confronti di terzi che li hanno, verosimilmente, truffati». In sostanza, la difesa degli imputati si tramuta in un’accusa per la procura procedente. «I contratti seguiti direttamente dal Centro servizi — continua l’avvocato — sono tutti in regola. Irregolari, invece, sono quelli delle società subappaltanti che hanno orchestrato il tutto all’insaputa dei nostri assistiti».
Come noto, il Centro servizi, avrebbe procacciato effettivamente contratti per conto di Tiscali. La società dei due mantovani, però, avrebbe delegato tali incombenti ad altri soggetti, agenti di commercio, procacciatori d’affari o collaboratori autonomi.
Chiarito questo gli affondi dei difensori degli indagati si fanno più seri «il passo successivo è stata la denuncia-querela verso i terzi. presentata fra l’altro in data anteriore a quella di Tiscali Italia. Purtroppo, la Procura di Brescia, presso la quale è stata presentata la querela, non risulta aver dato inizio all’indagine, a differenza di quella di Cagliari. Il risultato è che sono stati sottoposti alle indagini anche i due mantovani, che invece risultano le vittime degli illeciti». I legali proseguono senza tregua sostenendo: «Il Centro servizi ha pagato a quelle persone tutte le commissioni. Quindi è il primo gravemente danneggiato».
Secondo il comandante della polizia postale di Mantova, invece, l’inchiesta era partita proprio da una denuncia della Tiscali alla polizia postale di Cagliari, con cui si segnalavano telefonate di lamentele di clienti che si erano visti recapitare a casa i bollettini per il versamento della cifra di un abbonamento che non avevano mai sottoscritto.
Molti di loro, però, avevano riferito agli operatori della società sarda di aver ricevuto proposte telefoniche e di non averle prese in considerazione. Il ‘trucco’ era lì: ai potenziali clienti veniva proposto il servizio. Davanti al rifiuto, con i dati ottenuti attraverso un questionario, veniva compilato il modulo del contratto per l’installazione dell’Adsl e della linea telefonica, che poi spedivano a Tiscali.
Il sistema di pagamento era sempre il bollettino postale. E così si incassavano le provvigioni da Tiscali. Secondo la polizia postale a incassare erano i due mantovani, che a loro volta giravano le provvigioni agli altri cinque finiti sotto inchiesta, tra cui la titolare di un call center di Desenzano.
Ma chi effettivamente ha truffato chi? Questo è l’inquietante e suggestivo interrogativo al quale sarà chiamato a rispondere il Tribunale lombardo nei prossimi mesi (o forse anni).
Ulteriori informazioni: Maxi-truffa ai danni di Tiscali con contratti Adsl fantasma: 7 denunce
Caso Tiscali: «Siamo noi i truffati»
Fonte: Anti-Phishing Italia