RSS

I Risultati della Ricerca per: ‘phishing’

Phishing maldestro e pericoloso

In un messaggio con oggetto per rafforzare l’immunita, un phisher che si presenta con il mittente Medicinali mi scrive:

phish20090630

A parte la traduzione approssimativa e ridicola, non oso – nemmeno per curiosità – cliccare sul link che mi propongono, per non rischiare di riempire il mio PC di porcherie e schifezze varie. E voi che leggete, mi raccomando… occhio ai link selvaggi, c’è ancora gente che ci casca mani e piedi. E ricordate: con i medicinali acquistati via web senza alcun supporto medico, c’è stato anche chi ci ha lasciato le penne.

 
2 commenti

Pubblicato da su 30 giugno 2009 in Internet, security, truffe&bufale

 

Mail-sondaggio del Governo: è phishing

Ieri ho ricevuto via mail questo messaggio:

votogoverno

L’italiano tarzanesco di questo invito sarebbe già sufficientemente sospetto per classificare questa mail come phishing. A questo aggiungo che il falso link non conduce al portale del Governo, ma ad un sito apparentemente nato ieri che la mia installazione di Firefox ritiene contraffatto.

Infine, come sottolinea il New Blog Times, il Governo ha smentito ufficialmente di aver inviato la mail:

Le e-mail che molti cittadini stanno ricevendo con un invito ad esprimere la loro opinione sul governo attraverso il sito http://www.governo.it sono completamente false.

Non è stato mai pubblicato un sondaggio on-line sul sito del Governo.

E’ stata inoltrata formale denuncia alla Polizia postale per l’uso fraudolento del logo Presidenza del Consiglio dei Ministri e del sito http://www.governo.it.

Ergo: non selezionate quel link, non rispondete alla mail (l’indirizzo e-mail del mittente dichiarato fa capo all’inesistente dominio votagoverno.it), ma cestinatela immediatamente.

 
3 commenti

Pubblicato da su 27 marzo 2009 in news

 

Phishing stramaldestro

Per la serie ‘ndo cojo cojo, ecco un bel paio di esempi di messaggi truffaldini confezionati in modo molto maldestro. Eccovi il primo:

Vaimosi? Ma l’oggetto in che lingua è scritto? E che c’entrano le borse di studio con i Rolex Daytona del mittente? Comunque anche il testo del messaggio è meraviglioso. Ma passiamo al secondo:

Questo ha capovolto la situazione: l’oggetto parla di quasi orologi di pregio, il mittente scritto in tarzaniano parla di borse (di studio? della spesa?), mentre il testo parla di… di… sacchi? Magari borse? Mah.

Inutile dire che per entrambi i messaggi il mittente è stato spoofato (falsificato), mentre i link e il destinatario principale (il mio nome non c’è mai) sono stati mascherati dal sottoscritto.

Per il resto, che dire di questi messaggi, scritti ancor peggio di quello inviato da Elena a MCC? So che qualcuno ci casca ancora, ma si tratta – come nei casi precedentemente segnalati (e milioni di altri che ignoro) – di inviti da evitare senza indugi, perché finalizzati a veicolare messaggi pubblicitari di fuffa mascherata da merce pregiata, o confezionati per carpire le vostre credenziali di autenticazione o accesso ai vostri conti correnti (nel caso di banche). Quindi ignorateli, cestinateli, oppure collezionateli per ridere sopra il disinvolto utilizzo di traduttori automatici che, spesso, danno risultati a dir poco esilaranti. Insomma, fate tutto ciò che volete, ma non rispondete, ne’ cliccate sui link che vi propongono.

 
1 Commento

Pubblicato da su 30 agosto 2008 in Buono a sapersi, Internet, truffe&bufale

 

Phishing dell’altro mondo

Secondo voi, il mittente di questa mail (cliccare sull’immagine per ingrandire):

  1. è un’organizzazione extraterrestre
  2. è Oronzo Canà
  3. è uno sfigato

posteitaliene.jpg

Come ho già avuto modo di dire in occasioni del genere… non serve aggiungere che Poste Italiane non manda questo genere di messaggi con link assurdi, vero?

UPDATE: forse queste ridicolaggini presto spariranno e il phishing ci spiezzerà in due.

 
2 commenti

Pubblicato da su 25 febbraio 2008 in Internet, truffe&bufale

 

Chicche di phishing

Mail ricevuta stamattina:

Ciao,

La nostra società desidera offrire la seguente posizione: Assistant Manager.

Questo è a tempo parziale, a casa a base di posizione. Non devi denaro e non speciale competenze per iniziare. Questo lavoro richiede solo poche ore durante la settimana ed è disponibili su tutto il territorio del suo paese. Puoi facilmente combinare con il tuo principale occupazione.

Se siete interessati e volete saperne di più sulla nostra società e la posizione offerte, si prega di me una goccia di linea: (segue link ad un indirizzo e-mail che non riporto, ndD).

Grazie.

Hanno un bel giorno.

Tradotto con l’accuratezza di un lemure, questo messaggio mi sembra un bell’esempio di mail da cestinare: una ricerca personale degna di questo nome, se fatta da una società seria, oltre a dare una spiegazione un pochettino più esauriente dovrebbe essere scritta in modo almeno decente, in termini di grammatica e traduzione.

Certo, se sareste interessati, scriveteci pure eh 😉

 
Commenti disabilitati su Chicche di phishing

Pubblicato da su 28 gennaio 2008 in news

 

C’è anche il phishing scaltro

Che cos’è il phishing? Per utilizzare la definizione utilizzata da Anti-Phishing Italia, il phishing è una frode on-line ideata per sottrarre con l’inganno numeri di carte di credito, password, informazioni su account personali. Attuato generalmente tramite e-mail si basa sull’invio da parte di un utente malintenzionato di e-mail che sembrano provenire da siti web autentici o noti i quali richiedo all’ingenuo utente l’inserimento di informazioni personali.

Accanto ai numerosi esempi di phishing maldestro, che agli utenti più sgamati o smaliziati danno motivo di sorridere (e talvolta anche di ridere), ci sono anche quelli di phishing scaltro, ossia che ha buone probabilità di far cadere un po’ di persone nel proprio tranello.

Ecco la mail che ho ricevuto poco fa:

phpostemobile.jpg

Il phisher si dimostra al passo con i tempi e – oltre ad aver preparato una mail scritta in modo abbastanza credibile – finge di proporre al cliente Postepay o BancoPosta l’adesione all’offerta PosteMobile, che è l’operatore di telefonia mobile alternativo lanciato a fine novembre da Poste Italiane. Il link ovviamente porta ad un sito fasullo (che fa capo ad un dominio “postemobile.cc”, che non è quello ufficiale), quindi statene alla larga se non volete cadere nell’ennesima truffa online che carpisce i vostri dati riservati (come le credenziali di accesso al conto).

 
3 commenti

Pubblicato da su 15 dicembre 2007 in news

 

Tag: ,

Phishing maldestro e cacofonico

I conti correnti online sono una realtà consolidata, al punto che oggigiorno uno su tre è online, gestito su Internet o per telefono. E, come scrive Punto Informatico oggi, “sono passati i tempi della grande diffidenza alimentata dalla cattiva stampa”.

Non sono però passati i tempi dello spam e soprattutto del phishing, antipatica pratica truffaldina che consiste nell’inviare mail a clienti in buona fede che, spinti appunto da una (in)consapevole sfiducia verso la tecnologia, sono indotti a cascare nel tranello di chi, con le scuse più varie, chiede loro conferma dei dati personali e riservati. Consegnando do fatto le proprie credenziali di accesso ai conti correnti e correndo il rischio di vederseli prosciugare.

Anche il phishing maldestro prospera ancora. E continuo a chiedermene il motivo. Voglio dire: come si fa a dare credibilità a messaggi e-mail scritti così male? Ne ho ricevuti due poco fa, da due istituti di cui non sono mai stato cliente. Ovviamente non me l’hanno spedito gli istituti bancari nominati nelle mail, che qui oscurerò. Per il resto, il copia+incolla è fedele, inclusi gli svarioni grammaticali che rendono i messaggi un’autentica buffonata:

Gentile Cliente,
Il codice segreto del suo conto on-line e stato inserito incorretto piu di tre volte.
Per proteggere suo conto abbiamo sospeso il acceso.
Per recuperare il acceso prego di entrare (qui ci sarebbe un link truffaldino, ndr) e completare la pagina di attivazione.

Grazie ancora per aver scelto i servizi on-line di Banca XXXXXXXXXXXX.
I migliori saluti.

Servizio Clienti Banca XXXXXXXXXXXX

****************************************************************
VUOLE CONTESTARE SU UNA SPESA?

Easy Claim и il servizio che fa per lei!

****************************************************************
DOCUMENTO DI SINTESI
Banca XXXXXXXXXXXX INDIVIDUALI (altro link, ndr)

Inviato ai sensi del Provvedimento in materia di trasparenza delle operazioni e dei servizi finanziari emanato il 25 luglio dalla Banca d’Italia su delibera CICR del 04/04/2003.
****************************************************************

Per favore, non risponda a questa mail: per eventuali comunicazioni, acceda al Portale Titolari e ci scriva attraverso ‘Lo sportello del Cliente’: e’ il modo piu’ semplice per ottenere una rapida risposta dai nostri operatori.
Grazie della collaborazione.

E’ anche il modo più semplice per non scoprire che è una truffa. Ma questo è ancora scritto decentemente (svarioni a parte). Ma quelli scritti in lingua straniera e malamente tradotti da un software sono insuperabili:

Caro Cliente XXXXX XXXXXX,

Perche il Internet e la tecnologia dell’informazione ci permettono di espandere i nostri servizi, ci commettiamo ad effettuare i clienti di fiducia abbiamo disposto in noi per la protezione la segretezza e della sicurezza delle informazioni che abbiamo circa voi. Per per proteggere le vostre informazioni da accesso, dal furto di identitа e dalla frode non autorizzati di cliente. XXXXX XXXXXXX deve identificare il vostro cliente delle informazioni immediatamente all’interno di 24h.

Per continuare fai click qui

Ringraziamenti per vostra pazienza,
XXXXY XXXXXXX

Per diffidare di questi messaggi basta veramente poco. Occhio.

 
Commenti disabilitati su Phishing maldestro e cacofonico

Pubblicato da su 27 novembre 2007 in Mondo

 

Tag:

Uno stop al phishing Bancoposta?

Dal sito della Guardia di Finanza:

Arresti per Phishing

La Guardia di Finanza di Milano ha arrestato 26 persone per associazione a delinquere per lo sfruttamento di dati personali degli utenti dei servizi bancari informatici. I componenti dell’organizzazione appartenevano a due associazioni collegate (composte da 18 italiani e 8 cittadini dell’Est europeo).

L’hacker, di soli 22 anni, inviava i messaggi di posta elettronica come se fossero provenienti dalle Poste italiane. I dati acquisiti dai destinatari delle e-mail truffa confluivano su un server operante all’estero. Entrato nei conti correnti degli utenti truffati, li svuotava trasferendo le somme su carte postepay attivate da membri dell’organizzazione. Le somme di denaro venivano “monetizzate” acquistando fiches in diversi casinò in Italia e all’estero.

Le indagini sono state coordinate dal sostituto procuratore di Milano Francesco Cajani e costituiscono “il primo tentativo di affrontare in modo organico sul piano investigativo e anche contestando reati associativi, il fenomeno delle organizzazioni criminali dedite sistematicamente all’attività di phishing” come evidenziato nell’ordinanza emessa dal Gip Guida Salvini.

Vedi comunicato stampa

 

(via il Disinformatico)

 

Questa notizia mi conforta perché, sinceramente, ero parecchio stufo di ricevere mail fasulle da Poste Italiane o Bancoposta che mi segnalavano presunti accessi fraudolenti, nuovi servizi antispam, Premi fedeltà solo per carpirmi le credenziali di accesso, peraltro inesistenti (non sono cliente delle Poste, se non per la corrispondenza che ricevo o spedisco).

 

Non so se la rottura di queste mail finira, ma non c’è pace, comunque. Ora infatti mi arrivano nuovi messaggi, che sparano nel mucchio con miglior mira, giocando sul fatto che molti di noi possiedono almeno una carta di credito (cliccate per ingrandire):

phishingcartasi.jpg

 

E’ il caso di ricordare che CartaSi non c’entra nulla con mail di questo genere? No, vero?

 

 

 

 
3 commenti

Pubblicato da su 17 luglio 2007 in news

 

Tag: , ,

Il phishing maldestro

Un utente mediamente preparato dovrebbe tranquillamente ignorare tentativi di phishing come questo (se cliccate sull’immagine la vedete meglio):

mail di phishing ricevuta dal sottoscritto

L’autore del phishing, solitamente, tenta di far abboccare gli utenti, inducendoli a rivelare credenziali di accesso riservate, allo scopo di farne un uso fraudolento. Chi ha scritto questo messaggio, però, è paragonabile a un pescatore che come esca usa un cubo di rubik.

 
4 commenti

Pubblicato da su 8 giugno 2007 in Senza categoria

 

Tag: ,

[Internet] Firefox 2, la vendetta (contro il phishing)

La prossima release di Firefox, ossia la 2.0, integrerà un tool anti-phishing. Più o meno al pari dell’altrettanto nascituro MS Internet Explorer 7 e del già consolidato Opera 8.

Il team che sta lavorando allo sviluppo del browser del panda rosso dichiara, per bocca di Mike Shaver, che l’anti-phishing integrato sarà il risultato della collaborazione tra la Mozilla Foundation e terze parti, tra le quali spicca il nome di Google.

 
Commenti disabilitati su [Internet] Firefox 2, la vendetta (contro il phishing)

Pubblicato da su 13 marzo 2006 in Senza categoria

 

Tag:

[Sicurezza] Con il Phishing si ricicla il denaro sporco

C’è un bellissimo servizio di Alessandro Longo che merita davvero attenzione. Si intitola “Phishing, il denaro delle truffe “ripulito” da ignari navigatori” e fa capire molte cose.

Tutto nasce con un’e-mail che contiene un annuncio di lavoro e può finire con un paio di manette ai polsi. Accusa: riciclaggio di denaro sporco, dai quattro ai 12 anni di galera. Può capitare a qualsiasi utente italiano: per abboccare e finire nei guai basta un pizzico di ingenuità e, anche, una certa difficoltà a trovare i soldi per arrivare a fine mese. Si tratta di una nuova variante del Phishing (truffe online) e sta bersagliando l’Italia con forza crescente.
All’origine del fenomeno c’è l’esigenza di riciclare il denaro carpito agli utenti tramite altre truffe online. I truffatori inviano quindi e-mail di massa (spam), in inglese o in italiano, che contengono un annuncio di lavoro per il ruolo di cassiere di una fantomatica azienda internazionale, di cui c’è anche un sito web. L’utente dovrà fornire gli estremi del proprio conto corrente: non serve altro. Lì comincerà ad arrivare denaro, che poi l’utente dovrà girare, con bonifico, ad altri conti correnti, trattenendo per sé una percentuale (dal 5 al 20 per cento).

Il bello è che il sistema funziona, i truffatori sono in un certo senso onesti con l’utente contattato: non gli diranno che il denaro è sporco, ma lo verseranno davvero sul conto e gli permetteranno di trarne guadagno. Si diventa così, consapevoli o no, complici di un sistema di truffa internazionale.
“Diventa più difficile difendersi, perché le e-mail di questo tipo sono ora più sofisticate che in passato e i truffatori usano tecniche più raffinate, come abbiamo rilevato per la prima volta la settimana scorsa”, dice Giovanni Lillo, responsabile di Anti-Phishing Italia, l’associazione no-profit che ha lanciato l’allarme a livello nazionale.

“Stava per capitare a un nostro utente, una signora di Roma”, racconta Lillo. “Ha abboccato all’annuncio e si è vista telefonare dal direttore della sua banca: stavano arrivando bonifici sospetti sul conto, da un signore di Grosseto”. I primi arresti per questo tipo di truffe sono avvenuti ad agosto, a Milano: 28 persone coinvolte, di cui solo quattro non italiani (tre russi e un nigeriano).
La rete di bonifici, di cui si avvalgono i truffatori, “serve a depistare le forze dell’ordine”, spiega Lillo. Lo scopo è fare arrivare agli organizzatori il denaro ottenuto con le attività di Phishing internazionale. “Un singolo bonifico verso alcuni Paesi dell’Europa dell’Est – sede di molti degli organizzatori delle truffe – darebbe però subito nell’occhio. Ecco che quindi si è pensato di fare rimbalzare il denaro su una serie di conti correnti nazionali”.
Secondo Anti-Phishing Italia, oltre al nostro Paese è soprattutto la Germania a essere bersagliata da questi annunci di lavoro truffaldini. Alla fine della catena, ci sarà un bonifico internazionale, ma avrà alle spalle un giro molto complesso da analizzare per la polizia. “Oppure, per l’ultimo anello della catena i truffatori chiedono a uno dei correntisti coinvolti di recapitare il denaro sotto forma di contanti”.
Ma se l’utente si presta in buona fede a questo gioco, credendo di svolgere un’attività legale, rischia lo stesso la galera? “Se lo sono chiesti anche gli avvocati che partecipano alla nostra associazione”, dice Lillo. “La risposta sarà in mano ai giudici, che analizzeranno caso per caso”. Ancora, non ci sono esempi di sentenze in Italia per questo fenomeno di complicità a truffa online. C’è insomma una nuova giurisprudenza da costruire. È nato del resto da pochi mesi, su Anti-Phishing Italia, l’elenco delle false società che propongono questi annunci di lavoro e quasi tutte le rilevazioni sono di settembre e ottobre. Si tratta perlopiù di pseudo compagnie di assicurazione.

“In un caso, una finta agenzia matrimoniale dell’Europa dell’Est inviava e-mail in italiano. Sempre per il lavoro di cassiere”. Man mano che il fenomeno diventa noto, però, cresce l’astuzia dei truffatori: “Prima era facile smascherare questi annunci”, aggiunge Lillo, “poiché erano senza fronzoli, chiedevano subito gli estremi del conto corrente. Adesso danno invece un’aria di professionalità, chiedono prima il curriculum, fanno finta di privilegiare chi ha una laurea e esperienza nel campo. La richiesta degli estremi del conto arriva in seguito”.
Come difendersi, allora? “Per prima cosa, non fidarsi di e-mail che promettono lauti guadagni in cambio solo dell’uso del conto corrente”, dice Lillo. “Nel dubbio, è possibile scrivere a noi per chiarire casi di e-mail sospette”.
Un altro campanello di allarme viene dalla forma di queste e-mail: di solito, sono sgrammaticate. “Consigliamo inoltre di usare la toolbar di Netcraft: riesce a segnalare quando un sito nasconde una potenziale truffa, analizzandone per esempio il server che lo ospita”.

Un altro trucco per difendersi di andare su un motore di ricerca e digitare il nome dell’azienda citata nell’e-mail sospetta. “Di aziende fantasma non troveremo molto. Purtroppo però i truffatori hanno adesso imparato un sistema raffinato per confondere le idee degli utenti: clonano i siti di aziende vere”, spiega Lillo.
Il primo esempio rilevato è della settimana scorsa e riguarda la (vera) compagnia di assicurazioni Kemper Isurance Companies. L’e-mail di Phishing si spaccia come proveniente da quell’azienda, indicando però come sito di riferimento un clone di quello ufficiale: www.kemperins.net invece di www.kemperinc.com. È uguale, eccetto che per la pagina degli annunci di lavoro; nella pagina alterata ci sono l’annuncio e gli indirizzi scritti nell’e-mail truffaldina.
Un’altra strategia, scoperta da Anti-Phishing Italia nei giorni scorsi, è spacciarsi, nel messaggio, per una vera azienda (AQuantive Inc, nell’esempio rilevato) e poi in fondo indicare un’e-mail fasulla da usare per candidarsi a quell’offerta di lavoro. L’e-mail non fa parte di quelle aziendali di AQuantive, ma è controllata dai truffatori. Così, se l’utente ricercherà informazioni sulle aziende citate nell’e-mail, non troverà niente di sospetto. Il consiglio è quindi di raddoppiare i controlli, dubitando di offerte di lavoro che piovono dal cielo. Il che può non essere facile in tempi di magra: truffe di questo tipo trovano un terreno fertile nella crisi economica e nel boom di lavori precari.

Fonte: repubblica.it

 
Commenti disabilitati su [Sicurezza] Con il Phishing si ricicla il denaro sporco

Pubblicato da su 1 novembre 2005 in news

 

Tag:

Smishing, se lo conosci lo eviti

Il caro, vecchio SMS, che ormai nessuno usa più a livello personale, è uno strumento ancora ampiamente sfruttato da aziende e istituzioni per comunicare informazioni ai propri utenti o clienti, non raramente anche in veste di secondo fattore di autenticazione (la password temporanea rilasciata per confermare credenziali, disporre bonifici, eccetera). E in virtù di questo sopravvissuto utilizzo, piace molto anche ai truffatori che fanno smishing, ossia il phishing tramite SMS, appunto.

Il messaggio riportato è a prima vista verosimile, ma in realtà ha sufficienti caratteristiche per essere identificato come “trappola”. Escludendo un motivo strettamente personale legato al numero telefonico su cui è arrivato (numero che non è abbinato ad alcuna utenza di Poste Italiane, ragione che fa precipitare al suolo qualunque possibile attendibilità), troviamo un messaggio scritto in modo non consono all’ente che dovrebbe averlo spedito:

Abbiamo verificato accesso anomalo

Eventualmente dovremmo leggere “un” accesso anomalo (lo so, potrebbe sembrare irrilevante, ma gli SMS provenienti da Poste Italiane sono solitamente scritti in buon italiano). Ma c’è anche un link anonimo:

https://is.gd/pst2022

Il servizio con indirizzo is.gd permette di generare link brevi che sostituiscono indirizzi più lunghi, per farli diventare di facile riscrittura o dettatura, ma anche per occupare meno caratteri in un messaggio SMS o un tweet. Il nome PosteInfo è legato abitualmente a un mittente attendibile da cui potremmo ricevere SMS di vario tipo, inclusi gli aggiornamenti su una spedizione in arrivo, il cui link però è quasi sempre del tipo https://www.poste.it/eccetera.

Da un dispositivo sicuro (per quanto possibile) ho provato a seguire il link indicato, non si riesce ad approdare ad un sito web, il caricamento si ferma prima e permette solo di vedere l’indirizzo di destinazione del link abbreviato: belleviewvenue.com. Che verosimilmente non ha nulla a che fare con Poste Italiane, ma che potrebbe essere (come sempre accade) legato ad un form di richiesta credenziali. Da evitare come la peste.

 
Lascia un commento

Pubblicato da su 27 aprile 2022 in news

 

Tag: , , , , , , ,

Regione Lazio, un attacco informatico da approfondire

Da quanto tempo si parla di ransomware? E di phishing? Nel 2005 si parlava già di ransomware sui telefoni cellulari, pertanto si tratta di argomenti sufficientemente maturi per essere conosciuti dagli addetti ai lavori o da chi utilizza tecnologie digitali di comunicazione (dall’e-mail ai sistemi di messaggistica), quindi non è più il caso di spalancare occhi e bocca di fronte a notizie come quella dell’attacco informatico alla Regione Lazio.

Sulla vicenda abbiamo letto di tutto: virus, hacker, ipotesi terroristiche, coinvolgimento dell’FBI. All’origine di tutto, per l’ennesima volta, ci sarebbe stato un episodio di imprudenza: un dipendente (in smart working, ma questo dovrebbe essere un particolare poco rilevante) ha incautamente cliccato su un link pericoloso contenuto in un messaggio di posta elettronica ritenuto innocuo, portandosi in casa uno di quei ransomware che ha crittografato e blindato i dati dei sistemi informatici della Regione, mettendoli in ginocchio e bloccando il sistema di gestione delle vaccinazioni, delle prenotazioni e delle certificazioni. Le indagini di Polizia Postale e FBI metteranno in luce particolari sicuramente interessanti, per capire in che tempistiche si è verificato l’attacco (il clic avventato, secondo alcune fonti, sarebbe avvenuto settimane fa) e come è stato concretamente attuato.

Certo, è auspicabile che siano state adeguate le tecnologie utilizzate nella realizzazione del piano di disaster recovery di qualche anno fa. Ne riporto un estratto nell’immagine, onde evitare che la fonte istituzionale non renda più disponibili queste informazioni, che includono anche l’ammontare di denaro pubblico investito a suo tempo:

Indubbiamente il numero di episodi legati a questo tipo di attacchi è in crescita e il fatto che il bersaglio sia un servizio di primaria importanza e di pubblica utilità rende ancora più evidente la necessità di soluzioni di sicurezza idonee a proteggere le informazioni gestite da un sistema. Il rapporto Clusit 2021, ha evidenziato che gli “attacchi gravi di dominio pubblico” (quelli che hanno avuto conseguente importanti su economia, società e politica) tra il 2019 e il 2020 sono aumentati del 12%, in buona parte originati da un’organizzazione criminale.

 
Commenti disabilitati su Regione Lazio, un attacco informatico da approfondire

Pubblicato da su 4 agosto 2021 in news

 

Tag: , , , , , , , ,

And the winner is… 123456! (le peggiori password del 2018)

Anche quest’anno 123456 è in vetta alla classifica delle peggiori password più utilizzate al mondo! Lo riferisce SplashData, che ha elaborato un database di credenziali (5 milioni di utenze) formato da dati resi pubblici in seguito ad attacchi di varia natura, inclusi phishing e ransomware.

La classifica viene stilata da otto anni e 123456 vince per il quinto anno consecutivo. E’ evidente come, nonostante l’aumento degli attacchi e la crescita delle vulnerabilità rilevate, la consapevolezza degli utenti rimanga sempre allo stesso livello: scarso.

Ferma restando la certezza che nel mondo digitale nulla è sicuro al 100%, è ormai risaputo che una password solida deve rispondere ad alcuni requisiti minimi di complessità che la rendano difficilmente individuabile ed è necessario considerare che, per scoprirla, oltre ad espedienti ingannevoli per carpirle direttamente agli utenti, è possibile ricorrere a programmi che la trovano tentando ogni possibile combinazione di caratteri. Questi sistemi riescono in pochissimo tempo a scovare una password “semplice”: una frazione di secondo è sufficiente per rivelare una password che deriva da un termine presente nel dizionario, altrimenti – in caso di stringhe di caratteri prive di senso compiuto – pochi secondi bastano per individuare una password di sei caratteri, una decina di minuti per una da sette caratteri.

Molti utenti si demotivano a creare password sicure per due ragioni: il tempo e la memoria. Perché il tempo? Perché scegliere una nuova password è una seccatura, quindi spesso viene ideata di fretta perché accade ad esempio di doverne inventare una nuova alla scadenza di una password vecchia, e allora si ricorre ad una soluzione rapida per accedere velocemente a computer o dati. Ma si ha fretta anche quando la si deve digitare, perché anche scrivere una password lunga viene ritenuta una seccatura. A monte di tutto questo c’è la necessità di doversela ricordare – per questo parlavo di memoria – e una password semplice e breve è ovviamente più facile da ricordare di una complessa: si fa prima con “0000” oppure con “Qp5%èMa9C#”?

Però, onestamente, tra digitare una password di 4 zeri e una password complessa, pur composta da lettere, numeri e caratteri speciali, c’è una differenza di qualche secondo. E’ da considerare come un investimento di tempo, breve ma utile alla sicurezza delle informazioni che protegge. Per capire quanto è sicura una password, propongo una piccola verifica su How secure is my password? http://howsecureismypassword.net/

Sebbene assicuri di non tenere traccia di quanto digitato, non è indispensabile scrivere esattamente la password che intendete utilizzare: è possibile provarne una simile, con lo stesso numero di caratteri e composta con lo stesso criterio.

 
Commenti disabilitati su And the winner is… 123456! (le peggiori password del 2018)

Pubblicato da su 17 dicembre 2018 in news, security

 

Tag: , , , ,

Tutti gli smartphone del Presidente (interessano a Cina e Russia)

Cina e Russia intercettano le telefonate personali del presidente Donald Trump: lo riferisce il New York Times citando fonti coperte da anonimato, ma vicine all’attuale POTUS (the President Of The United States) in quanto suoi collaboratori, attuali e non solo. Le finalità, secondo queste fonti, sarebbero diverse e parallele: mentre l’intercettazione della Russia rientrerebbe nell’attività di intelligence mirata alla sicurezza nazionale, la Cina porrebbe attenzione agli argomenti a cui Trump è interessato per mantenere viva una guerra commerciale con gli Stati Uniti, con la complicità di uomini d’affari cinesi in contatto con il presidente americano e alcune persone di sua fiducia.

Secondo le rivelazioni, Trump ha due iPhone “ufficiali”, che la NSA (National Security Agency) ha opportunamente modificato per limitarne la vulnerabilità, uno per l’account Twitter e uno per le telefonate. Ma dispone anche di un terzo iPhone assolutamente standard, che utilizza perché gli permette di memorizzare i contatti (opzione eliminata sugli altri due apparecchi). Non sarebbe stato necessario fare alcuna attività di hacking sugli smartphone: le intercettazioni riguardano comunque le conversazioni telefoniche che viaggiano sulle reti telefoniche fisse e mobili attraverso infrastrutture con apparati, antenne, cavi.

Altri tempi, in confronto al suo predecessore Barack Obama, che non si era sottratto ai vincoli della sicurezza: con il suo smartphone non poteva telefonare (il microfono era disattivato, così come la fotocamera), riceveva mail solo da un indirizzo riservato e non poteva gestire sms. Per chiamare utilizzava il cellulare di un assistente.

Ma la scarsa dimistichezza dell’attuale presidente per la tecnologia ha un risvolto positivo: l’utilizza della posta elettronica da parte di Trump è pressoché nullo, quindi non c’è pericolo di cadere in trappole di phishing.

 
Commenti disabilitati su Tutti gli smartphone del Presidente (interessano a Cina e Russia)

Pubblicato da su 25 ottobre 2018 in news

 

Tag: , , , , , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: