Cerca nel blog

2011/11/19

Phishing ticinese verso i docenti

Quanto dev'essere sofisticato un attacco di phishing? Non molto


Giovedì ero in una scuola di Bellinzona per una lezione su Internet e le sue trappole sociali e tecniche. Una delle docenti mi ha mostrato una mail sospetta:

Da: "Posta elettronica scuola TI - @edu.ti.ch" <[omissis]@yahoo.com>
Data: 16 novembre 2011 20:10:06 GMT+01:00
A: [omissis]
Oggetto: Gentile utente edu.ti.ch ,
Rispondi a: [omissis]@w.cn


Gentile utente edu.ti.ch ,

Un virus DGTFX è stato rilevato nelle cartelle account di posta elettronica edu.ti.ch deve essere aggiornato a novembre i nostri protetta DGTFX nuovo anti-virus versione 2011 per prevenire danni ai nostri log di database e file importanti.

Fare clic sulla scheda risposta, riempire le colonne di sotto e rispedire o il vostro account di posta elettronica verrà interrotto immediatamente per evitare la diffusione del virus.

Nome utente:
Password:

Si noti che la password viene cifrata con chiavi RSA a 1024 bit per la vostra sicurezza password. Siamo profondamente dispiaciuto per l'inconveniente.

Il tuo account possono anche essere verificate immediatamente entro 24 ore,: informazioni non corrette possono portare a sanzioni, confisca o sospensione del tuo account.

NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l'autenticazione!

Grazie per la vostra comprensione.
Supporto tecnico / Team TSR manutenzione.
Posta elettronica scuola TI - @edu.ti.ch Servizio Clienti

Copyright © 1994-2011 edu.ti.ch ! Tutti i diritti riservati. Termini di servizio - Copyright / IP Policy - Linee guida Per ulteriori informazioni su come utilizziamo i tuoi dati leggi la nostra Politica sulla Privacy - Informazioni confidenziali

Pensavo si trattasse di un tentativo casuale di phishing e le ho consigliato di non rispondere e cestinare il messaggio, ma stamattina ho saputo dalla stampa locale (Tio.ch; Cdt.ch) che la stessa mail è stata ricevuta anche da altri docenti delle scuole ticinesi. E purtroppo qualcuno di loro ha risposto, presumibilmente regalando il proprio nome utente e la propria password ai criminali.

Non paghi del loro successo, stamattina gli spioni hanno insistito:

Da: "Posta elettronica scuola TI - @edu.ti.ch" <[omissis]>
Data: 19 novembre 2011 03:44:34 GMT+01:00
A: [omissis]
Oggetto: ultimo avvertimento
Rispondi a: [omissis]@w.cn

Cari edu.ti.ch! utente,

 Attualmente stiamo aggiornando tutte le e-mail account edu.ti.ch! del database ed e-mail centro vista conto cioè home page, migliorare la sicurezza di installazioni di nuovi virus 2011 anti-spam e anti, spazio della cassetta postale di grandi dimensioni. ! account di posta elettronica edu.ti.ch che non sono più attivi per permettere di creare più spazio per i nuovi utenti conti.

 In altri di continuare a usare i nostri servizi si è bisogno di aggiornare e ri-confermare i vostri dati account e-mail come richiesto qui di seguito:

 Indirizzo e-mail
 password
 Data di nascita:

 In caso contrario, questo sarà immediatamente rendere il tuo account disattivati ​​dal nostro database ed il servizio non sarà interrotto messaggi importanti può anche essere persa a causa della tua calo di ri-ci ha confermato i dettagli del conto. E 'anche pertinenti, si capisce che la nostra preoccupazione principale è la sicurezza per i nostri clienti, e per la sicurezza dei propri file e dati.

 NOTA: Per ragioni di sicurezza, chiudere il browser quando hai finito di utilizzare servizi che richiedono l'autenticazione!

 Grazie per la vostra comprensione.
 Supporto tecnico / Team TSR manutenzione.

Si pensa sempre che gli “hacker” (termine improprio, ma pazienza) usino stratagemmi ultrasofisticati, ma in realtà molto spesso basta un attacco grossolano per superare le difese dei sistemi sfruttando l'anello debole della catena: l'utente.

In questo caso alcuni docenti avrebbero dato retta a un messaggio-trappola nonostante:

1. fosse scritto in un italiano catastroficamente sgrammaticato
2. provenisse da un indirizzo che per simulare una provenienza autorevole usava soltanto un espediente banalissimo (una descrizione e nulla più, lasciando in chiaro il vero mittente e il reply-to cinese)
3. chiedesse loro dati estremamente sensibili come le password e le date di nascita.

Se questo attacco ha avuto successo, vuol dire che basta davvero poco, persino un messaggio sgangherato come questo, per ingannare gli utenti. Vuol dire anche che i docenti (e con loro molti altri utenti) hanno bisogno urgente di una sensibilizzazione all'uso di Internet e di uno strumento fondamentale come l'e-mail. Sembra proprio che manchino le basi, e questo è preoccupante.

Inoltre, se questo attacco ha colpito esclusivamente docenti, vuol dire che gli aggressori si sono impadroniti in qualche modo della rubrica dei loro indirizzi e che quindi c'è stata una compromissione della sicurezza dei servizi informatici scolastici. In tal caso non si tratterebbe di un tentativo a casaccio che per pura coincidenza ha raggiunto anche dei docenti, ma di un attacco mirato (spear phishing).

Speriamo che l'incidente serva di lezione, non solo in Canton Ticino ma anche altrove. Se qualcuno ne sa di più, mi scriva.


Questo articolo vi arriva grazie alla gentile donazione di “pilla” ed è stato aggiornato dopo la pubblicazione iniziale.

Nessun commento: