Cerca nel blog

2007/11/13

Attenti a Toolsicuro.com

Toolsicuro.com, l'unica cosa sicura è la fregatura


Mi sono arrivate numerose segnalazioni di un allarme per un sito e per la relativa pubblicità che compare visitando anche siti normalmente innocui, come la Webmail di Yahoo.it: si tratta di Toolsicuro.com, reclamizzato in vari banner e in messaggi pop-up dall'italiano piuttosto stentato, come questo che mi ha inviato ausnick.



Grazie ai forum di Zeus News abbiamo la conferma che si tratta di tutt'altro che un tool di sicurezza: è in realtà un programma ostile che va evitato a tutti i costi.

Il sito Toolsicuro.com, inoltre, ha tutte le caratteristiche della buggeratura: non viene indicato un indirizzo fisico o un numero di telefono, ma con molta disinvoltura vi viene chiesto di pagare per questo fantomatico "tool di sicurezza" usando la carta di credito. Non cascateci, e rivolgetevi a una persona di fiducia per i vostri problemi di sicurezza invece di fidarvi di quello che chissà chi fa comparire sul vostro schermo.

34 commenti:

Seldon ha detto...

Grazie come sempre della segnalazione. L'immagine però contiene già da sola qualche indizio sul fatto che effettivamente non si tratta di un sistema ottimizzato quello di ausnick :)

pKrime ha detto...

Ahimè, succede anche con firefox sotto linux, su svariati siti, tra l'alyro di buona reputazione, non i soliti bassifondi di internet!

quindi mi sono deciso a fare quello che avrei dovuto fare molto tempo fa: scaricarmi un file hosts con l'elenco degli indirizzi malvagi puntati su 127.0.0.1 e non ho avuto più problemi.. peccato per Cesira, non mi compare più la mozzarella di bufala, ma è una delle misure di sicurezza più semplici e efficaci, per quanto poco conosciuta/usata.

usa-free ha detto...

Vai su passwordsicura.com e deposita GRATIS tutte le tue password,dati personali, e dati per le transazioni online. Noi le ospiteremo sui nostri server crittografati ipersicuri e le proteggeremo dai malintenzionati, e tutto senza che tu debba spendere 1 cententesimo!

Rimuovi dal tuo pc insicuro questi preziosi dati e consultali (non dimenticare di aggiornarli!) online
sul nostro sito per una maggiore sicurezza!

Qualsiasi furto di dati o di denaro dovesse verificarsi, sarai rimborsato dall'amministratore del servizio , ovvero:

Massimo Dell'Affidabilità

Via Lattea 1

Barbengo (CH)

:D

Mr. Francis ha detto...

lo conoscevo già e l'ho anche segnalato alle forze competenti

Neo ha detto...

In effetti è un banner che appare spesso e rompe abbastanza, mi meraviglio di yahoo.

Sbronzo di Riace ha detto...

Qualcuno che ci è cascato c'é
link

vittoso ha detto...

Una cosa simile è capitato a "Nonammesso.com" - se non erro. Devi il tuo username e password di MSN e doveva in teoria dirti se gli utenti che hai in listia di hanno cancellato/bloccato sulla loro. Una feature che si ottine egratis con Pidgin senza bisogno di dare password a servizi non proprio "cristallini"

Fry Simpson ha detto...

Che fosse un inganno l'avevo capito, ma continuo a non capire come mai succede su Yahoo.

Mi sembra strano che Yahoo ospiti del codice maligno...

Fry Simpson ha detto...

Cioè... un browser hijack su donnechenonaspettanochete.com o su softwareoriginalemicrosoftgratuito.com me lo aspetto, ma su Yahoo... o_O"

percefal ha detto...

Capita anche a me, ed utilizzo Opera...

TNT ha detto...

Fry simpson, probabilmente trovi la risposta qui:

http://www.eweek.com/article2/0,1895,2215635,00.asp

La colpa e' di doubleclick.

Andrea Sacchini ha detto...

Come tipologia di infezione ricorda un pò il "buon" vecchio Drivecleaner. All'epoca ci feci un bell'articoletto sul mio blog...

TNT ha detto...

andrea sacchini: beh, non c'e' molto da sorprendersi: l'azienda (se vogliamo chiamarla cosi') e' la stessa: "Innovative marketing", produttrice di altri prodotti per frodare gli utenti come Winfixer, Errorsafe, Winantivirus, etc.

berto ha detto...

Servizi come questo diventano sempre più indispensabili...

ms ha detto...
Questo commento è stato eliminato dall'autore.
ms ha detto...

Spesso si legge (per chi ha pagato online con carta di credito):
"Non c'è niente che tu possa fare per riavere i soldi."

Non c'e' niente di piu' falso - anzi: consiglio a tutti coloro che fanno aquisti online di utilizzare la carta di credito piuttosto che trasferire i soldi su conto bancario o utilizzare Paypal.

Infatti le transazioni online con cc vengono effettuati senza che il venditore vede la carta. Il venditore quindi si affida "ciecamente", che tu hai in mano la carta della quale indichi il numero...
In qualsiasi momento puoi tu rescindere da questa transazione indicando di non aver effettuato l'aquisto.
E' il venditore a dover dimostrare di essere in buona fede! (non puo' farlo, non avendo "visto" la cc - contrariamente a quanto avviene pagando in un negozio reale)

michele ha detto...

Salve a tutti,
La mia impressione è che si tratti di un'ondata piuttosto ben articolta. Di solito questo tipo di problema non mi tocca perché navigo con gli script bloccati però da qualche tempo dalla web mail di Yahoo parte un redirect verso il sito: newbieadguide(dot)com.

la mia convinzione è che c'entrino qualcosa i banner in Flash e a tal proposito ho scritto il perché in un breve post:

http://radiofaro-labs.blogspot.com/2007/11/pericolo-flash-cookies.html

La cosa mi è stata poi confermata anche dal servizio clienti Yahoo! a cui avevo scritto. Nella risposta si dicono a conoscenza del problema e affermano di starci lavorando.

Visto che è la prima volta che posto un commento qui ne approfitto anche per farti i complimenti ;)

Dan ha detto...

"Qualcuno che ci è cascato c'é.."
Qualcuno che ci casca c'è sempre... è normale. Quel che mi ha fatto inorridire è l'italiano e la disarmante ingenuità di quel post su Yahoo answers.

leggiona ha detto...

Grazie prima di tutto a Paolo per averne parlato: a me la finestrina è uscita sul PC dell'ufficio e ho chiuso di corsa tutto, terrorizzata di aver combinato qualche guaio; sono molto sollevata vedendo che non accettando di proseguire non ho corso rischi.

Grazie poi a Michele per la scoperta dei simil-cookie di Flash; ho trovato anch'io dei file relativi a newbieadguide, ma non mi è mai capitato il redirect nonostante normalmente tenga aperto MyYahoo! con relativi banner per ore.

Mi domando se quando si istalla il plug-in di Flash ci sia un accenno al fatto che qualcuno potrà scrivere qualcosa sul tuo PC!!
Questo sarebbe un bell'argomento per una catena di S. Antonio, che ne dite?
Carla

Fry Simpson ha detto...

Tnt:

Grazie della segnalazione dell'articolo.
Se l'ho ben capito (è stato modificato dopo la prima pubblicazione, informa una Editor's note in calce a pag.2) scagiona sostanzialmente Doubleclick dicendo che la responsabilità di quel che viene presentato agli utenti è del gestore del sito (nel mio caso Yahoo, visto che l'hijack mi si presenta quando uso Yahoo mail) che è responsabile di firmare accordi di pubblicità solo con inserzionisti affidabili.


Michele:

Mi sa che quelli del servizio clienti Yahoo diano risposte un po' come càpita tanto per toglierti di torno.
Copioincollo qui sotto in corsivo cosa ho scritto io e cosa hanno risposto a me.

-------
Da me a Yahoo:

Quando sono col browser aperto su Yahoo mail spesso vengo
reindirizzato a una pagina-truffa di "tool sicuro" che
segnala
virus fittizi per convincere l'utente a scaricare programmi sospetti
da toolsicuro.com
Finora mi è successo solo su Yahoo mail, e sia con Internet Explorer
che con Firefox entrambi aggiornati, e persino con Linux.
Ho il sospetto che il sito di Yahoo sia vittima di un attacco
informatico da parte dei pirati di questo fantomatico toolsicuro.com

-------

-------
Da Yahoo a me:

Buongiorno Daniele,

grazie per averci contattato e per la segnalazione.

Siamo al corrente del problema, riportato anche da altri utenti.

Ho effettuato un controllo sul tuo account ma non ho riscontrato alcun
problema. Per sicurezza ho comunque risincronizzato la tua casella di
posta con il server.
Tuttavia il problema che descrivi sembra dipendere dal fatto che
qualcosa si sia installato sul tuo computer e "piloti" la tua
navigazione: sono programmi purtroppo abbastanza diffusi, detti
"spyware".

Esistono software gratuiti in grado di individuarli ed eliminarli: a
volte basta solo eliminare tutti i file temporanei ed i cookie
(internet
explorer e netscape navigator hanno dei comandi appositi per questo,
altrimenti cerca le cartelle relative sul disco C:).
Diversamente, posso consigliarti Lavasoft AdAware:
http://www.tuttofree.com/freeware/adaware.asp

Non esitare a contattarci se hai bisogno di ulteriore assistenza.
Cordialmente,

Maria
Yahoo! Italia
Customer Care

Domande?
Ecco le risposte!
http://help.yahoo.com/help/it/

------------

michele ha detto...

Fry Simpson, posso confermarti che la stessa mail di risposta è stata inviata anche a me la prima volta.

Solo alla seconda segnalazione mi hanno confermato che il problema esiste, che è stato segnalato anche da altri utenti e che stanno lavorando per risolverlo.

ciao.

francesco ha detto...

domanda per pkrime:

puoi dire dove hai scaricato il file host con gli indirizzi malvagi puntati su 127.0.0.1 ?
grazie

Gino Lucrezi ha detto...

Se installate il programma "Spybot - Search & Destroy" fra le varie opzioni ha anche quella di aggiungere quelle voci al vostro file etc/hosts

Ne aggiunge qualche migliaio, che e` un numero ragionevole. Esistono in giro delle liste che raggiungono le 30.000 voci, ma avevo visto che in alcuni casi sotto windows rallentavano notevolmente la risoluzione dei DNS.

Consiglio a tutti Spybot, anche perche' al contrario di AdAware e` veloce e si puo` usare gratis anche in ufficio (AdAware invece e` gratuito in casa ed a pagamento negli uffici, in linea di massima).

Lo trovate su www.spybot.info (purtroppo ci sono in giro un sacco di siti patacca che tentano di VENDERTELO..)

berto ha detto...

@ francesco

clicca qui

leggiona ha detto...

Pensavo che Yahoo! e DoubleClick avessero rimediato, ma ancora stamattina mi è di nuovo uscito il pop-up di ToolSicuro, che seccatura!

Grazie per le informazioni sul reindirizzamento nel file host.
Carla

Sbronzo di Riace ha detto...

Secondo Alexa il 97% dei visitatori di toolsicuro.com sono italiani
link

Anonimo ha detto...

Complimenti davvero qui è tutto bellissimo, mi piacerebbe fare una conversazione con te anche se non credo sia possibile, essendo un esimio giornalista. Mi piacerebbe fare il tuo mestiere, però non sono molto portato per la scrittura, i tuoi interventi sono tutti utilissimi e semplicemente stupendi... Complimenti ancora da un 15enne.. Un grosso saluto!!

Davide Denicolo ha detto...

Ciao Paolo sono Davide Denicolo. Ho letto il tuo articolo ed ho desiderato approfondire. Ho notato che il sito: http://syslibero.com/libero/ sembra essere un clone di toolsicuro.com.

Se ti interessa puoi leggere l'articolo che ho scritto sul blog di Exploit:

Link Exploit

A presto

Dan ha detto...

Beh, io quando serve uso sia Ad-aware che Spybot, quello che non trova uno lo trova l'altro... più tutta una serie di altre utility ecc. "Grazie" ai compputer di un paio di conoscenti sono piuttosto pratico nel liberare PC da infestazioni croniche di tutti i generi. Anche se vale sempre il buon vecchio adagio del buon senso: c'è da fidarsi di un tizio che ti ferma per strada, e senza nemmeno sentire il polso ti dice che sei malato, e cerca di venderti la medicina..?

Loud ha detto...

Non so come, ma è arrivato anche a me... passi per favore dal mio blog? magari hai qualche suggerimento da darmi. Grazie.

Fry Simpson ha detto...

Dan:

Che non ci sia da fidarsi siamo d'accordo. Infatti non lo installo.

Il problema è che mi dà fastidio il dirottamento in se.
Vorrei poter controllare la posta su Yahoo webmail senza essere dirottato su altri siti.

Nota che il dirottamento non avviene aprendo mail di spam, ma semplicemente accedendo al sito yahoo web mail.

spark ha detto...

Appena finito di parlare al telefono con una persona che prima spende quasi 70 euro per tale "tool di sicurezza" e solo dopo, accorgendosi della fregatura, chiama il tecnico... La giustificazione: Ma io i problemi ce li avevo davvero, speravo me li risolvesse...
Ma pensarci prima a chiamare qualcuno di ficucia?

Dan ha detto...

Loud: a chi stai parlando?

Fry: mi dispiace per i tuoi fastidi, mi sembra strano che Firefox non riesca a impedirlo... purtroppo questa del modificare i banner ad arte è una tecnica abbastanza nuova, quindi non mi sembra che si sappia bene come funziona nè come arginarla. Mi sa che l'unica soluzione valida per ora è quella di installare Spybot, oppure modificare il file hosts chiudere gli accessi verso quei siti.

Loud ha detto...

@Dan: parlavo con il titolare del blog ;) ma chiunque voglia darmi un consiglio è ben accetto, ho scritto un post in cui ho spiegato il "come" è arrivato anche a me il malware e lì, tra i commenti, accetto ben volentieri consigli e suggerimenti :)