skip to main | skip to sidebar
42 commenti

Furto diffuso di account Libero.it?

Mi stanno arrivando numerose segnalazioni di account di mail su Libero.it che sono stati compromessi e dai quali, almeno in apparenza, stanno partendo mail abusive. Non so altro, per ora, ma valgono le regole di sempre: se un messaggio ha un testo anomalo rispetto a come scrive solitamente il mittente, è probabilmente fasullo e di certo non è il caso di aprire eventuali allegati a questi messaggi.

Pubblicherò qui gli aggiornamenti non appena possibile. Intanto, se sapete qualcosa di più, segnalatelo nei commenti.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (42)
quella che ho visto io ha il From di libero ma non viene da libero:

Received: from mail.pounce.com (mail.pounce.com [204.246.68.3]) by xxxxxxxxxx.com (8.12.11.20060614) id sATDbpjn027213; Sat, 29 Nov 2014 14:37:51 +0100 (CET)
Received: from mail.pounce.com (unknown [176.222.157.215])
by mail.pounce.com (Postfix) with ESMTPSA id 8B1A7E33497;
Sat, 29 Nov 2014 07:50:11 -0600 (CST)
Message-ID:


Sembra che abbiano usato un bel po' di account di libero raccolti in giro. L'IP e' del Kasazkhstan.

La mail che ho visto io ha un link verso una pagina che ha un redirect verso un'altra pagina che e' offline.
Confermo, mi sono loggato or ora e ho trovato una quintalata di autoreply. Era già successo quest'estate e una decina di giorni fa.
Il servizio mail di Libero.it ha buchi da tutte le parti, le segnalazioni di spam non hanno nessun effetto e la quantità di mail phishing che ricevo sulla casella di questo provider è enorme.

Ultima chicca: vado per cambiare la password in una ancora più sicura e la maggior parte dei caratteri speciali (ad esempio le (), ?, =), più tutte le lettere accentate vengono considerati "caratteri non validi" e non si possono usare!
Nel dubbio meglio cambiare la password
Proprio adesso uno con il quale avevo scritto un anno fa mi ha mandato un'e-mail (ed io ho libero.it) chiedendomi se proprio io avevo scritto quella e-mail che alla fine non ho mandato. Nella sua e-mail c'erano anche gli altri contatti che dovrebbero aver ricevuto questo spam così li ho avvertiti. Alla fine ho cambiato la password
Confermo che mi sono ritrovato anche io oggi con email strane ricevute da account libero.it ed anche inviate dal mio account libero.it ad indirizzi che non ho nemmeno in rubrica.
Come prima cosa ho cambiato la password, sperando che basti.
Sperando anche che quelli di Libero intervengano sulla sicurezza dei loro server e che non vengano a dire che loro non c'entrano con tutto questo, come successe già sei mesi fa.
Da mio account, apparentemente, sono partite della mail perché mi sono arrivati dei messaggi "mail delivery error".

Scrivo "apparentemente" perché non risultano accessi al mio account.
In più, alcuni giorni fa, mi sono arrivati un paio di messaggi conteneti un link ad un sito. il link conteneva la parola boomer o boomerang. Non ricordo con precisione perché questi messaggi li ho cestinati senza prestare troppa attenzione. Ho subito pensato, infatti, che si trattasse di fakemail e non di virus visto che, per coincidenza, entrambi i mittenti usano solo il tablet.

I destinatari delle mail che sarebbero partite dal mio indirizzo di posta erano sulla mia rubrica, ma non sembrano inviate dal mio account. Quindi, sembrerebbe che siano riusciti a rubare la mia rubrica e abbiano, poi, mandato la posta con altri mezzi. Per esempio, sfruttando pc infetti impostati per "sparare mail a raffica".
Ma è ancora questa roba qua, pare

segnalo, per chi non lo sapesse, che anche in libero.it è possibile attivare la verifica a due passaggi.
In questi casi prima di dire "non vengano a dire che non c'entrano" si consideri che utilizzare indirizzi email legittimi di utenti ignari (indipendentemente da libero.it, che ovviamente sarà più colpito per ragioni statistiche) è una tecnica molto usata dagli spammer e soprattutto è una tecnica estremamente banale da mettere in pratica per via della inadeguatezza dei protocolli di posta che usiamo oggi (è addirittura alla portata dell'utonto: se nel configurare il proprio client di posta inserisce come nome visualizzato "Bill Gates" e come email "bill@microsoft.com" invierà posta fingendosi Bill Gates - ovviamente non la riceverà, ma potrà inviarla).
Poi che il servizio di Libero sia quel che è non ci piove, ma questo non implica necessariamente che sia colpa loro se usiamo ancora un protocollo demenziale per i giorni nostri - non era pensato per questo, in informatica ci sono cose che cambiano ogni mese e altre fondamentali che non cambiano mai. Penso a tutta lo spreco di energia (uguale inquinamento) determinato dai filtri antispam (molto pesanti), che sono lì per cercare di arginare certi svantaggi del sistema di posta sul quale si basa l'intero pianeta.
Secondo giro di spam con presunti mittenti @libero.it
Questa volta da un IP della Bielorussia.

Temo proprio che qualcuno abbia raccolto vari indirizzi di Libero, tutto sta a vedere come.
Cambiare la password non è servito a granché visto che anche oggi ho ricevuto un paio di "Undelivered Mail Returned to Sender", cioè un tentativo d'invio di posta dal mio account Libero verso indirizzi NON presenti in rubrica.
Un indirizzo di destinazione che ritrovo più volte in questi tentativi è "abbonamenti(at)openhost.it" con IP 195.182.210.25 dalle parti di Spoleto.
Sono d'accordo con Fx che sarebbe ora che i protocolli vengano resi più sicuri, ma qualcuno mi deve spiegare perché con altri provider che uso da 20 anni (supereva, tinit, tiscali, aruba) tutto ciò non mi è mai successo: solo fortuna?
Io non ho ricevuto mail delivery error, quindi non so se sono state inviate email a mio nome, ma oggi Libero mi ha fatto cambiare la password che non era sicuramente scaduta. Si saranno accorti di qualcosa...
Questo è il messaggio che ho mandato al supporto di Libero.it il 4/7 scorso e al quale mi è stato risposto in maniera generica:
-----
INIZIO
Buongiorno,
vorrei farvi presente che la mia casella mail di Libero (Mail Plus) è stata hackerata da ignoti, nel senso che sono stati prelevati (ed usati come destinatari di spam) indirizzi email presenti nella mia posta inviata.
Ieri, 3/7/2014, dalle ore 7 ho iniziato a ricevere Mail Delivery error relativi ad email di spam spedite col mio indirizzo falsificato. La cosa interessante che vi voglio fare presente è che i destinatari di queste email si trovano esclusivamente in messaggi presenti in posta inviata e/o in arrivo sul server di Libero. Non sono indirizzi email presenti nella rubrica webmail di Libero.
A seguito di un'aumentata ricezione di spam e ad alcuni blocchi riscontrati nelle ultime settimane nel funzionamento dei vs. server (non quello dovuto al down della rete Wind Infostrada), avevo già provveduto a cambiare la password della casella mail, ma forse l'accesso abusivo ai vs. server e alla mia casella mail era già stato fatto. Ho anche eseguito gli altri controlli descritti a fine maggio nel vs. blog ufficiale e sul sito Libero Aiuto. Ovviamente ho controllato anche il mio pc con tre programmi diversi (Avast, Hitman Pro e TDSSKILLER), senza aver trovato niente. Uso abitualmente la casella mail in modalità imap, dal PC di casa con Thunderbird e da iPad (su wifi di casa o 3G) con Mail. Ora ho anche impostato l'accesso imap via SSL, per maggior sicurezza.
Per vostra conoscenza vi allego un file con un esempio di mail di spam e un mail delivery error, oltre ad alcune mie note.
Siccome negli ultimi giorni (anche oggi!) altri utenti di Libero che conosco hanno avuto problemi di spam identici (cioè spam inviato a destinatari conosciuti dai mittenti, dei quali è stato falsificato l'indirizzo mittente), mi attenderei di vedere una vostra risposta ufficiale sul blog.
Faccio presente che gli indirizzi email dei destinatari, prelevati dalle mail presenti nella cartella Outbox sulla mia casella, sono presenti anche in singoli messaggi, anch inviati il 16/6 scorso, per cui il furto di dati è avvenuto nelle ultime due settimane.
FINE
-----

Mi pare che in questi ultimi invii di spam (9/11 e 29-30/11) gli hacker stiano usando gli stessi dati prelevati a giugno: per prova dopo il 10/7 avevo cambiato sia il nome che appare sui messaggi inviati via webmail, sia caricato su Outbox delle mail ad utenti inesistenti inventati da me, per vedere se questi dati potevano venire usati per invii abusivi futuri. In questi ultimi invii il nome che appare come mittente è quello presente su Webmail fino al 10/7 e non mi sono arrivati Delivery Error con gli indirizzi fasulli usati il 10/7 per inviare mail da webmail.
Sarebbe interessante capire come sia potuto avvenire il furto di questi dati.
@FX

Però la maggior parte degli isp/msp la porta 25 la stanno chiudendo.

Con fastweb per esempio ora devi configurare la password anche per inviare non solo per ricevere.
Per inviare posta con gmail devi per forza usare l'smtp di gmail, perché se non hai una casella di posta fastwebnet dall'smtp di fastweb non passi più.
Come sopra, anche qui arrivate mail @libero.it da IP bielorusso...
Situazione spiacevole... soprattutto visto che era successo anche 2 settimane fa e avevo appena cambiato password!!
martinobri (commento #7), condivido. Io ho ricevuto due email contenenti link ad un sito in cui spiegano come vincere al gioco d'azzardo.
Paolo, secondo te è più esposto chi usa la pagina web del sito per accedere alla propria email? Io uso un programma sul computer e finora nessuno mi ha detto di avere ricevuto strane email dal me. Grazie.
Le due email che sono arrivata a me da utenti di libero, le ho rigirate ai mittenti (involontari) di quella mail, con l'elenco completo dei destinatari a cui era indirizzata.

Mi hanno confermato che gli altri destinatari sono in effetti dei loro contatti presenti in rubrica.


Ho un account su Libero.it ma non ho visto niente di strano, niente undeliverable e simili ...
Quando si parla di "Libero.it" si intende proprio "account@libero.it" o anche i domini collegati, come "account@inwind.it"? (perché ho anche un account @inwind.it, comunque anche lì non ho visto returned mail farlocche... )
@Fx
è addirittura alla portata dell'utonto: se nel configurare il proprio client di posta inserisce come nome visualizzato "Bill Gates" e come email "bill@microsoft.com" invierà posta fingendosi Bill Gates - ovviamente non la riceverà, ma potrà inviarla

Verissimo, ma non credo sia questo il caso. Ad esempio ho ricevuto una mail di spam al mio indirizzo di posta dell'ufficio, proveniente (almeno apparentemente) da un indirizzo Libero.it, ma non da uno sconosciuto, bensì da un collega. Guarda caso, il collega mi aveva scritto l'anno scorso usando il suo indirizzo @Libero.it perché non riusciva a collegarsi da casa usando la VPN e quindi era impossibilitato ad usare la mail aziendale. La giacobbica coincidenza mi induce a sospettare che il suo account sia stato violato e che il mio indirizzo aziendale bersaglio dello spam sia stato preso dalla sua rubrica o dallo storico delle mail inviate/ricevute.
Stesso problema.
A luglio avevo segnalato anch'io a quelli di Libero del problema ma la risposta non era granché.
Ieri alle 21 ed oggi alle 22 s'è ripresentato il problema. A luglio avevo fatto pulizia degli indirizzi di posta presenti nella rubrica della webmail (avevo notato che di default memorizzava tutti i mittenti di tutte le e.-mail spedite!!) e queste ultime due volte gli indirizzi usati sono gli stessi...
Speriamo che prima della fine dell'anno chiudano questa falla!
Su 4 account di Libero che abbiamo in famiglia, su uno solo sono arrivati un paio di messaggi di Mail Delivery fallito; entrambi non contengono il messaggio originale, per cui non ho le informazioni degli header per capire se i messaggi sono stai inviati tramite i server di Libero o altri server stranieri (visto anche il primo post di Luigi Rosa, favorisco la seconda ipotesi).
Io ho anche altri account personali, ma in generale quello di Libero è quello su cui ricevo meno spam, mentre i miei familiari che hanno solo l'account di Libero ne ricevono più di me (in particolare su uno che è stato usato per iscriversi per breve tempo a LinkedIn).
Tendo quindi a pensare più ad una raccolta di indirizzi e-mail che a una violazione dei server di Libero.
La situazione è la seguente: stessa cosa è capitata anche a me. L'altra volta libero mandava spam agli indirizzi che avevate in memoria nel server. (NON centra niente outlook o il vostro PC). Questa volta pesca tra gli indirizzi della posta inviata che avete salvato sul server. quindi è sufficiente eliminare qualsiasi mail dalla posta inviata. Ovviamente consiglio a tutti di cambiare provider. io l'ho fatto qualche mese fa. Ho aspettato fin troppo. Ora tengo libero solo per registrarmi su siti quali foto, facebook ecc. Praticamente un contenitore di Spazzatura. Spero di essere stato d'aiuto. Grazie ad Attivissimo come sempre per permetterci di condividere questo tipo di info. Giacomo Poz.
Il problema l'ho risolto anni fa: mi sono comprato un dominio e faccio io la gestione della posta..sono stufo di tutti questi provider incapaci!
Successo anche a me. Ho libero.it come indirizzo secondario e hanno recuperato i contatti dalla mia rubrica e dalla posta inviata (pochi per la verità) e hanno inviato mail. Molte mail sono state rifiutate dai server e leggendo i report che mi sono ritornati non sembra che siano partite dal portale libero perché viene indicato come X-Mailer "Windows live mail", anche se probabilmente l'intestazione è stata falsificata.
Van Fanel:
«Ho un account su Libero.it ma non ho visto niente di strano, niente undeliverable e simili ... »

Idem (su quattro account, compreso quello che tengo giusto per lo spam). Ma perché a me, nelle mie caselline @Libero, va sempre tutto bene? Mah... ;)


4403[...]06
«Con fastweb per esempio ora devi configurare la password anche per inviare non solo per ricevere.»

Ma anche su Libero! E non da ieri: da due o tre anni, se non ricordo male.
Ora poi tendono anche - finalmente! - a forzare la connessione su SSL/TLS (e relative porte...)

...hmm... ecco: che sia la porta 993, il segreto? ;)

Comunque, come al solito: GRAZIE, Paolo!! Ormai questo blog, per me, è una tappa obbligata ^_^
Sarà un caso, ma i destinatari della mail fasulla che è stata inviata a mio nome corrispondono esattamente ai destinatari dei messaggi che ho giacenti in "posta inviata" sul libero e che sono stati inviati nell'arco di tempo da gennaio 2011 a dicembre 2013. Sono pochi, ma erano tutti presenti nel messagio di spam. Corrsipondenza quasi troppo sospetta. Qualcun altro ha osservato qualcosa di simile ?
Ho un vecchio account di libero che non uso più, ogni tanto lo apro per darci una controllata e l'ultima volta l'ho trovato pieno di avvisi di mail non consegnate. Mail che ovviamente non avevo mai inviato. Per fortuna avevo da tempo cancellato la rubrica e quindi lo spam è stato inviato quasi solo ad indirizzi di newsletter e noreply, il che spiega anche il volume di mail non consegnate.
La cosa mi aveva lasciato perplesso, perché la password era abbastanza sicura, e cambiandola il problema all'inizio non si è risolto.
Ho controllato il mio account: nulla.
Solo oggi mi sono ricordato che c'è anche quello di mia moglie: lì ho trovato 9 messaggi di Delivery Failure, tutti 29 novembre intorno alle ore 5/6 di mattina.
Li ho aperti uno ad uno (da un pc sicuro): i fallimenti sono i più svariati e sembrano tutti credibili. Considerando che ogni messaggio poteva avere anche più destinatari ho trovato questi errori (alcuni ripetuti):
- Blocked by SpamAssassin
- Recipient address rejected: User unknown
- RecipNotFound
- 550 Rejecting for Sender Policy Framework
- Mailbox disk quota exceeded
- Invalid Recipient
- is not allowed to send mail from libero.it
- Failed - not authorized
- This server requires you to send from an IP address specified
- Sorry, message looks like SPAM to me

Visto che ciascun messaggio conteneva il messaggio originale, ne ho aperti alcuni: si tratta di messaggi vuoti che contenevano esclusivamente degli indirizzi web di siti che ho evitato di aprire.
Account compromesso? Possibile, visto che gli indirizzi non erano presenti in rubrica, ma sono destinatari di posta inviata.
Alan Ian Ross ha commentato:
>Idem (su quattro account, compreso quello che tengo giusto per lo spam). Ma perché a me, nelle mie caselline
>@Libero, va sempre tutto bene? Mah... ;)

Bisogna usarli gli account :D

Scherzi a parte, anch'io ho altre 2 caselle di posta meno usate e su quelle non ci sono state violazioni.
Fatto sta' che il furto è avvenuto lato server e c'è molto poco da fare in questi casi, quindi che sia stata fortuna o meno (dipende dal criterio con cui hanno prelevato indirizzi e rubrica) speriamo non succeda ancora.

ps. il form per l'invio dei messaggi quando si sceglie anteprima perde l'intero messaggio.
scusate... stesso problema anchio,... sono nel panico
ho inviato (non io ma lo spam) una mail assurda a svaraiti contatti miei e ad altri semplicenemte un fw: con un link stranissimo tutti inviati alle 5/6 del mattino.
ho già cambiato la password e la domanda segreta con libero che ho dal 2005 non mi era mai successo.
ora che devo fare??
poi la cosa strana è che se provo a scriver a piu contatti che magari erano tutti nella stessa spamemail mi ritorna indetro.

aiutoooooooooooooooooooooooooooooooooo
@Didi Calderaro - Commento #32
Fino a quando Libero non migliorerà i suoi sistemi, ti consiglio di cancellare tutta la rubrica e l'archivio delle email inviate nella tua web mail di Libero.
Cancella anche tutte le email che hai nella cartella Spam.
Utilizza un client di posta (Thunderbird, Outlook, ecc,) e non avrai più problemi di invio email indesiderate.
Spero che in italia varino presto una legge che imponga alle società che operano in rete di rendere noti tutte le violazioni subite pena pesanti sanzioni sul modello di quelle statunitensi.
È assurdo che ancora oggi il legislatore non abbia provveduto in tal senso permettendo ai provider comportamenti omertosi al limite del penale.
Obbligarli anrendere note violazioni della sicurezza è un potente incentivo a migliorare i propri sistemi di sicurezza. Non a caso negli states praticamente tutti i provider sono approdati all'autenticazione a due fattori, password più codice via mail o via sms.
Rispondo a Igor (commento 28)
Anche io ho notato la stessa identica cosa,cioè:
i destinatari della mail fasulla che è stata inviata a mio nome corrispondono esattamente ai destinatari dei messaggi che ho giacenti in "posta inviata" sul libero
nel mio caso alcuni messaggi risalgono al 2010.
Per completezza preciso che uso (moltissimo) Outlook mentre ho utilizzato la posta da web solo in rare occasioni, avevo quindi pochi indirizzi mail nella posta invitata e solo questi sono stati utilizzati nella mail fasulla, tutti gli altri (e sono moltissimi) che utilizzo con Outlook non sono stati oggetto di violazione
Nel dubbio meglio cambiare la password? è sicuro andare leggere la posta questi giorni?
aiutoooooooooooooooooooooooooooooooooo - cosa devo fare?
Cambiare la password serve a ben poco. L'attacco è avvenuto direttamente sui server: http://www.dreamsworld.it/emanuele/2014-12-10/i-server-di-libero-sono-stati-bucati-e-wind-lo-sa/
Ciao,
Emanuele
Altro attacco, tanto per cambiare.
E per fortuna c'è la verifica in due passaggi con il codice che arriva sul cellulare! :-/
Nel log degli accessi non risulta nemmeno un mio accesso al momento dell'invio dello spam.
Altro attacco sabato sera. Ho ricevuto diversi "mail delivery error" e nella cartella ella posta indesiderata ho trovato una email indirizzata ad diversi miei contatti, compreso il mio stesso indirizzo, con scritto "ciao" ed un link ad un sito sospetto. Purtroppo ho cancellato l'email. Ho immediatamente cambiato password ed attivato l'autenticazione a due passaggi. Cosa consigliate di fare?
E' in corso una nuova campagna di SPAM con le rubriche fregate dai server di Libero; mi sono arrivati innumerevoli notifiche di "undeliverable mail", dall'analisi delle intestazioni ho rilevato che l'origine dei messaggi è Khazakistan, Russia, Grecia, Corea, area di Chicago e probabilmente c'è qualcosa pure da Romulis e dall'Impero Klingon...
La stessa cosa, da giugno 2015, sta succedendo ad una mia amica che ha Yahoo.it