Archivi categoria: Sicurezza

Account Gmail (e Google/Android) in pericolo, ecco come proteggersi!

⚠📣In corso attacchi di phishing su Gmail molto evoluti! 😱 Attivate l’autenticazione in due passaggi con token!

Attenzione perché  l’account Gmail è lo stesso di tutti i servizi Google, quindi può contenere foto, contatti, messaggi, dati sulla vostra posizione e una quantità sterminata di altre informazioni, potenzialmente anche scottanti.

Il meccanismo di attacco

Da un account (A) violato vengono inviate email pressoché identiche a quelle effettivamente scambiate con i propri contatti.

L’utente (B) potrebbe ricevere così una risposta ad un suo messaggio, essa sarebbe molto credibile in quanto doppione per contenuto e oggetto della risposta effettivamente inviata da (A) e con mittente originale.

In allegato, visibile nella finta risposta, vi è un file di immagine opportunamente confezionato per indurre l’utente a cliccare e che anziché mostrare una foto ingrandita apre una pagina identica a quella del login di Google (con un url che potrebbe essere simile a
data:text/html,https://accounts.google.com/ ….
occhio a quello strano data:text/html di cui dovrete sempre diffidare).

Questa pagina serve solo a rubare la password di (B), inducendolo ad effettuare nuovamente il login inserendo i propri dati. Essi non saranno inviati a Google, ma al server di chi vuol carpire nome utente e password.

Una volta rubata la password di (B), l’attacco procede a cascata verso altri utenti (C)(D)(E)…ecc tutti nella cerchia di contatti recenti di (B).

Come proteggersi:

  • Fate sempre attenzione a dove state inserendo i vostri dati di accesso!
  • Attivate l’autenticazione con token sul cellulare! Così anche se vi rubassero la password non potrebbero accedere al vostro account! Infatti la prima volta che accedete da un nuovo dispositivo, oltre a nome utente e password è necessario inserire un codice token generato di volta in volta dal vostro smartphone e che nessuno potrà avere senza accedere al vostro dispositivo. Qui tutte le informazioni e istruzioni ufficiali da parte di Google sull’autenticazione a due passaggi:
    https://support.google.com/accounts/answer/185839
    Per semplicità potete anche seguire le istruzioni fornite direttamente da Google Authenticator, l’applicazione da installare su proprio smartphone (Android, Iphone, ecc.) che trovate gratuitamente su tutti gli store.

Consigli finali importanti:

  • Se attivate il token, salvate in modo sicuro (meglio se li stampate) i dieci codici di emergenza che vi saranno forniti da Google durante la procedura di prima attivazione. Uno di questi è da usare in caso di problemi sul telefono che genera i token (potrebbe rompersi o esser perso);
  • Tenete sempre aggiornato il numero di telefono cellulare associato al vostro account.

Queste due accortezze vi serviranno per poter sempre e comunque accedere al vostro prezioso account Google / Gmail, evitando di restare “chiusi” fuori!

Offerta Wind Crazy o Vodafone Crazy?Attenzione è semplicemente phishing crazy

State attenti, in queste ore su un paio di miei indirizzi email è giunta una mail che promette l’attivazione di una fantomatica nuovo offerta da parte di Wind denominata Wind Crazy. Probabilmente è arrivata in centinaia di migliaia di altre caselle di posta di tutta Italia.

Si tratta di un’email falsa, con cui qualche malintenzionato cerca di indurvi a comunicare vostri dati personali e, in particolare, il numero della carta di credito. Si tratta di un inganno molto diffuso, con migliaia di varianti, denominato phishing.

Mesi fa era circolata in maniera massiccia un’altra offerta falsa, in quel caso era la Vodafone Crazy, ma quotidianamente ne arrivano di tutti i tipi, con proposte di ogni genere.

Vediamo in dettaglio cosa ci propongono oggi:

Aderisci alla nuova promozione “Wind crazy”

Buongiorno utente Wind, ci sono promozioni incredibili che creiamo appositamente per migliorarti la giornata.

Con noi, essere di buon umore, non affatto difficile. Aderisci alla nuova promozione “Wind crazy”; basta effettuare

una ricarica da 10 euro, per ricevere in omaggio: – 40 euro di traffico telefonico, + – 5 Gb di traffico internet wap

sotto copertura Wind, + – 1000 minuti di chiamate verso tutti gli utenti Wind, + – 1000 sms verso tutti i telefonini, anche di altri operatori nazionali.

Incredibile, vero ? Entra subito, ma affrettati, lR42;offerta limitata ! Arrivederci alle prossime incredibili offerte Wind.

Link: http://www.wind.it/it/servizi/scheda23.phtml?promozione10/40

Facendo una rapida ricerca ho scoperto che la stessa Wind, sulla propria pagina Facebook, ha scritto quanto segue:

Ciao ….., fai molta attenzione, quella che riporti non e’ una nostra attivita’ promozionale, ma e’ un tentativo di “phishing”, cioe’ una frode informatica per entrare in possesso dei dati di tuoi mezzi di pagamento. Siamo a tua disposizione per aiutarti. nel frattempo ti puo’ essere utile consultare questo link
http://www.wind.it/shop/pagina106.phtml

Ricopiando manualmente l’url mostrato nella mail, cioè http://www.wind.it/it/servizi/scheda23.phtml?promozione10/40 vediamo che a tale indirizzo sul dominio wind.it la Wind offre informazioni sul credito. Non c’è traccia di alcuna offerta.

Cliccando sull’url invece, anziché essere spediti sull’url visualizzato siamo ingannevolmente condotti all’indirizzo http://www.dewolffproductions.com/wind/elisa.d.p@alice.it e indovinate un po’, cosa c’è in quella pagina? Un finto modulo di ricarica della Wind. Inserendo i dati della carta di credito, dopo qualche ora o qualche giorno, il furbetto che ha creato il sito troverà il modo per prelevare soldi dal vostro conto.

phishing-wind

Come proteggersi dal phishing?
Sull’argomento ci sarebbe da scrivere un libro, non quattro o cinque righi banali in questo post. Esistono dei filtri e dei software che aiutano ad evitare la stragrande maggioranza di tentativi di truffa. A volte però fanno cilecca e tocca a noi essere attenti.
Ad ogni modo, come nella vita reale, non siate ingenui. Se vi propongono cose troppo belle per essere vere, dai milioni di euro vinti alla lotteria, all’offerta super conveniente, oppure se vi parlano di account bloccati, ecc. siate molto attenti. Evitate di cliccare sui collegamenti inseriti nel messaggio e cercate manualmente il sito di cui si parla.
Se proprio vi dovesse capitare di cliccare, prima di inserire qualsiasi dato sensibile, verificate nella barra degli indirizzi che il dominio del sito aperto sia quello che vi aspettavate. Ad esempio nel caso della Wind sia wind.it non qualcosa di diverso.
So di non essere stato pienamente esaustivo, ma se lo ritenete utile vi consiglio di documentarvi cercando su google Phishing oppure lasciate un commento.

Virus in Adsense

Kaspersky segnala Adsense come contenente codice malevolo

Ebbene si, sono le 3:00 di notte, improvvisamente Kaspersky mi segnala su qualsiasi sito contenente Adsense la presenza di codice malevolo in questo script     http://pagead2.googlesyndication.com/pagead/show_ads.js

Virus in Adsense

La prima volta l’avviso era rosso, ora lo blocca in automatico e mostra questo blu.

Sarà Kaspersky a dare un falso positivo oppure è Google che si è fatto bucare?

Siti dei comuni hackerati da spammer per inserire link

pillole-bluUna piccola curiosità dal mondo black hat seo.

Mi è capitato di notare un sito di un comune della mia provincia con dei link a siti vendono le celebri pillole blu anti-impotenza (non le cito per evitare che Google pensi male di questo sito). Ovviamente immagino ci sia stato qualche “hacker” (chiamiamolo così) che ha sfruttato dei bug (classico SQL Injection) del sito per inserire dei link del tutto abusivi.

Date uno sguardo a questa serp e noterete quanti siti di comuni italiani sono stati bucati per inserire dei link su quelle pillole. Sicuramente ne esistono tantissimi anche per altri argomenti.

Fare una ricerca simile alla mia sui vostri siti potrebbe aiutarvi ad individuare link abusivi, inseriti da qualche spammer e spesso causa di penalizzazioni da parte di Google, esattamente come Google stesso suggerisce.

Falsa offerta di lavoro, attenti all’inganno potreste finire in tribunale

Qualora riceveste una mail simile alla seguente, sappiate che queste persone cercano degli ingenui da ingannare.

Offrono un lavoro che consiste nel farsi pagare dai loro clienti su di un conto corrente. Ovviamente i clienti saranno truffati e se non si fanno pagare direttamente su loro conto è proprio per questo.

Perciò passate parola, è un peccato ritrovarsi in tribunale a dover dimostrare la propria buona fede per colpa di questi infami.

Tra l’altro piccolo dettaglio che vale sempre, quando nelle email notate caratteri strani (come questo и) al posto delle lettere accentate, drizzate subito le orecchie, perché quasi sempre significa che si tratta di testo scritto da chi utilizza una codifica differente tipo il cirillico.

La Societа D***E HA****ON SRL cerca per l’Italia un Book-Keeper/Representative

L’attivitа и stata studiata in modo da non gravare sul tuo lavoro
principale e ne comportarti alcuno stress, bensм nell’aiutarti a
risolvere i problemi legati al costo della vita attuale. La D***E HA****ON SRL и una piccola societа che tratta il commercio di differenti
lavori artigianali e artistici, come quadri e sculture, prodotti
artigianali e tessili, provenienti maggiormente dall’Africa e
dall’Asia, cravatte e coloranti. E’ stato riscontrato dalla Societа
un ritardo significativo nei pagamenti da parte delle societа
clienti, che preferiscono effettuare il saldo delle fatture con
assegni bancari e circolari, i quali difficilmente possono essere
incassati al di fuori dell’Europa.5.000 Ђ al mese Ho quindi bisogno di una persona
che ricopra la figura di rappresentante legale della nostra Societа e
che segua tutto il processo dei pagamenti che provengono dai miei vari
clienti, e che avvengono ogni settimana. Questo и il motivo per cui ho
deciso d’incaricare un rappresentante in Italia, che possa aiutare nel
raccogliere i pagamenti, che difficilmente potrei seguire dal paese in cui mi trovo.

Spero di trovare un positivo riscontro da parte Sua. TUTTO CIO’ CHE
DOVRAI FARE E’ RICEVERE I PAGAMENTI DAI MIEI CLIENTI IN EUROPA
(DIPENDE DALLA LOCALITA’ IN CUI TI TROVI) E INCASSARLI NELLA TUA
BANCA. DEDURRAI DALLA CIFRA IL 10%, QUALE COMMISSIONE PER L’ESERCIZIO
DA TE SVOLTO, E TRASFERIRAI IL RESTO AL RAGIONIERE DELLA SOCIETA’ PER
MEZZO DI WESTERN UNION MONEY TRANSFER, ECC.

I pagamenti che arriveranno saranno emessi a nome tuo, cosм come
informerт i miei clienti di fare. La mia precedente rappresentante Paolo Mura si и trasferita con la sua famiglia in Nuova Zelanda
ed и per questo motivo che cerco un altro rappresentante. Avrт
bisogno da parte Sua delle seguenti informazioni:

Nome ________________________________
Cognome_____________________________
Eta_________________________________
Indirizzo / N0_____________________
CAP _________________________________
Citt _______________________________
Provincia __________________________
Cellulare ___________________________
disposizione di un conto corrente (informazione facoltativa).

Se siete interessati a questa offerta e vogliono lavorare per noi, la ringrazio cortesemente fornire le seguenti informazioni via e-mail,

Cordiali saluti,

D***E HA****ON SRL

Navigare anonimi, sicuro per davvero?

Utente anonimoEsistono decine di servizi online, alcuni gratuiti, altri a pagamento, che offrono navigazione “anonima”.

La domanda nasce spontanea: si è anonimi per davvero usando questi siti?
La risposta è per certi versi scontata: su Internet vi possono essere vari gradi di anonimato, ma mai l’anonimato in senso assoluto.

Su siti che gestisco mi è capitato molto spesso di ricevere visite da Anonymouse.org.

In particolare in un caso si trattava di un utente di un forum che voleva inviare insulti  senza essere rintracciabile.
Ma ha solo avuto il merito di stimolare la mia fantasia informatica…

Il metodo che illustro di seguito, ideato da me, ma non escludo possa essere stato usato anche da altri, mi servì a bloccare e  ad individuare quel malintenzionato che giocava a nascondino.

L’esempio sarà sviluppato a grandi linee proprio considerando Anonymouse.org, ma il metodo può essere riadattato, ampliato e impiegato anche per altri servizi.

Analisi del servizio:

Sul sito http://anonymouse.org/ è presente un campo in cui è possibile digitare un qualsiasi indirizzo web da visualizzare in forma anonima.

La pagina web viene dunque richiamata dal server di Anonymouse, che si comporta come un proxy.
Tutti i link all’interno della pagina (link testuali, richiami di css e javascript e immagini) vengono sostituiti con altri filtrati, per evitare che  si perda l’anonimato. Cioè, ad esempio, se si visita una pagina di www.matarrelli.com, i link alla home page contenuti nel codice html diventano tutti di questo tipo:

http://anonymouse.org/cgi-bin/anon-www.cgi/http//www.matarrelli.com/

Così anche cliccando si rimane schermati. Altrettanto vale per tutti i link ad altre pagine e per i richiami javascript e le immagini che diventano del tipo:

http://anonymouse.org/cgi-bin/anon-www.cgi/http//www.matarrelli.com/script.js

http://anonymouse.org/cgi-bin/anon-www.cgi/http//www.matarrelli.com/immagine.jpg

In questo modo navigando si rimane sempre anonimi, anche gli script e le immagini non sono richiamati col proprio ip e con il proprio user agent, ma con quello di Anonymouse..
In parole povere non si lascia mai traccia perché nessuna richiesta è effettuata direttamente dal browser dell’utente al server di destinazione.

Allora come fare a riconoscere l’utente?

Agiamo in maniera ibrida, coniugando operazioni lato server con javascript, che agisce notoriamente lato client.

Le richieste al server fatte da Anonymouse hanno due caratteristiche:

  1. Ip, che però potrebbe cambiare nel tempo. Non ho effettuato verifiche in tal senso;
  2. User Agent, che è sempre lo stesso ed è http://Anonymouse.org/ (Unix);

Soffermiamo la nostra attenzione sullo user agent, che è costante nel tempo.
Possiamo istruire il server affinché lo riconosca e compia delle operazioni “speciali”.
Possiamo, se siamo su piattaforma Apache, impostare l’htaccess affinché ogni qual volta lo user agent contine la parola Anonymouse anzichè mostrare la pagine richiesta, mostri una pagina ad hoc denominata anonimo.php

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} Anonymouse
RewriteRule (.*) anonimo.php

Con questo passaggio abbiamo già inibito l’accesso al sito, in quanto l’utente non vede la pagina richiesta, ma sempre la pagina anonimo.php

Però noi vogliamo fare di più, vogliamo scovare l’ip reale dell’utente. Qui entra in gioco il codice javascript che verrà inserire nel file anonimo.php.

Come anticipato, qualsiasi richiamo javascript viene sostituito nella versione schermata, dunque il codice originale:

<script type=”text/javascript” language=”javascript” src=”http//www.matarrelli.com/script.js” ></script>

viene sostituito:

<script type=”text/javascript” language=”javascript” src=”http://anonymouse.org/cgi-bin/anon-www.cgi/http//www.matarrelli.com/script.js” ></script>

Dobbiamo necessariamente ingannare il bot che effettua le sostituzioni.
Un metodo per farlo, molto semplice ed efficace, consiste nel non scrivere un indirizzo completo di richiamo, ma nel far effettuare il richiamo a javascript stesso, spezzettandolo opportunamente. Ecco cosa intendo:

<script type=”text/javascript” language=”javascript”>
document.write(‘<script type=”text/javascript”‘+’ language=”javascript” s’+’rc=”‘);
document.write(‘ht’+’tp’+’://’+’ww’+’w.’);
document.write(‘matarrelli’+’.com’);
document.write(‘/script.j’+’s” >’);
</script>

In questo caso javascript stesso richiama un altro script, ricostruendone l’indirizzo originale da più pezzetti di stringa. Anonymouse non riuscirà ad individuare l’operazione, che non verrà perciò schermata.

Il richiamo al file script.js viene effettuato direttamente dal browser dell’utente al server che contiene la pagina web. Anonymouse è del tutto bypassato.

Nel file script.js possiamo inserire varie cose, la cosa più semplice è inserire il redirect ad un file che proceda a memorizzare l’ip e lo user agent originale dell’utente:

document.location.href=”http://www.matarrelli.com/log.php”;

Il file log.php può essere costruito molto semplicemente:

<?php

$filename = “anonimi.php”;

//pesca i dati dell’utente
$ua = $_SERVER[“HTTP_USER_AGENT”]; // user agent
$ip= getenv(‘REMOTE_ADDR’); // indirizzo ip

// individua l’esatta ora e data
$giorno= date(“D”);
$data = date(“d”);
$ora = date(“H”);
$minuti = date(“i”);
$mese = date(“F”);
$anno = date(“Y”);

//memorizza i dati nel file di nome $filename
if(!($fp = fopen($filename,”a”))) die (“non riesco ad aprire o creare il file”);
$html = “<p style=\”font-size:9px;\”>”.” “.$data.” “.$mese.” “.$anno.” – “.$ora.”:”.$minuti.” \n”.”  User Agent: “.$ua.” \n”.”  IP: “.$ip.” \n”.” </p>”;
fwrite ($fp, $html);
fclose($fp);

?>

Nel file anonimi.php viene memorizzata la data e l’ora della visita, insieme a ip e user agent originali.

Missione compiuta,  l’anonimo è smascherato.

P.S. grazie all’individuazione dell’ip (non sapete che soddisfazione :-)) l’utente fu bannato dal mio forum sia con il nickname anonimo che aveva creato sia con quello che usava abitualmente per scrivere.

Problemi di sicurezza sul sito 155.it

Sicurezza e privacyDeformazione mentale, o forse esperienza di anni, ma mentre navigo su un qualsiasi sito che conserva mie informazioni personali, mi capita di chiedermi quanto sia sicuro.

Così, dal primo momento in cui mi sono iscritto sul 155.it, non ho potuto fare a meno di accorgermi di alcune sviste, piuttosto banali, che permettono l’accesso ad alcune informazioni riguardanti una qualsiasi linea Wind, anche di utenti non iscritti al sito.

Di questo vi voglio parlare, ma non prima di aver segnalato accuratamente e dato il tempo ai tecnici Wind di sistemare tutto… Ho già inoltrato una richiesta tramite il loro modulo dei contatti.

Perciò l’appuntamento è rinviato ai prossimi giorni…

Kaspersky Virus Removal Tool e il pc è ripulito

Kaspersky AntivirusKaspersky Virus Removal Tool è un utility gratuita progettata per rimuovere tutti i tipi di infezioni dai computer.

Kaspersky Virus Removal Tool integra tutti gli algoritmi di rilevazione presenti in Kaspersky Antivirus e nell’AVZ Antiviral Toolkit.

Kaspersky Virus Removal Tool però non è una protezione in tempo reale, perciò una volta effettuata la pulizia del pc è consigliabile installare un antivirus.

Le funzioni di base sono la rimozione automatica o manuale di: virus, trojan, worm, spyware, adware e rootkit.

Il tutto confezionato in un’interfaccia di facile utilizzo e installabile anche in sistemi infetti, in modalità provvisoria.

Una schermata di Kaspersky Virus Removal Tool

L’ultima versione del tool può essere scaricata qui.

Visto siamo in tema, secondo voi qual è il miglior antivirus?