Cerca nel blog

2014/05/30

Libero.it, attenzione alle mail e agli account

Molti utenti stanno segnalando di aver ricevuto, apparentemente da utenti del provider italiano Libero.it, mail contenenti link dall'aria molto sospetta: sono composti da lunghe sequenze di lettere a caso, come quello mostrato qui accanto (che è arrivato a me). Questi messaggi di solito hanno come oggetto il nome utente del mittente.

I titolari degli account che risultano come mittenti apparenti sono preoccupati, perché gli indirizzi dei destinatari sembrano essere stati presi dalle loro rubriche d'indirizzi, custodite nella webmail di Libero.it, e questo fa pensare a una violazione dell'account o direttamente dei server di Libero.it. Tuttavia l'analisi tecnica dei messaggi indica che le mail di spam non partono realmente da Libero.it: i loro header, infatti, contengono indirizzi di altri server. Si tratterebbe, insomma, di un caso di spoofing, nel quale l'indirizzo del mittente viene falsificato, ma resta il mistero dei destinatari che corrispondono a indirizzi presenti nelle rubriche.

Libero.it ha dichiarato ieri che “al momento non è stata riscontrata alcuna violazione” dei suoi server e fornisce raccomandazioni generiche antispam. Cambiare password e sceglierne una più robusta è sempre una buona precauzione contro eventuali intrusioni nel proprio account, anche se in casi come questo potrebbe essere inutile per arginare l'invio di spam. Un altro gesto utile, specialmente se gli aggressori hanno davvero violato le rubriche d'indirizzi di Libero.it, è smettere di usare la webmail e usare invece un'app di posta sul proprio computer o dispositivo, in modo che la rubrica non risieda sui server di Libero.it.

Di certo è indispensabile evitare di cliccare sui link contenuti nei messaggi, che portano presumibilmente a siti Web infetti o (nel caso che ho esaminato) a pagine di pubblicità spazzatura.

21 commenti:

Unknown ha detto...

E' successo anche a me!!! Volevo scriverti per segnalartelo. E' una cosa molto strana che non mi è mai capitata di vedere. Sostanzialmente all'indirizzo xxx@tiscali.it (mail che uso per lavoro) ho ricevuto una mail da parte di yyy@libero.it (mail che uso per newsletter o per registrazioni su siti che mi interessano poco). Il problema è che nessuno a parte me conosce la relazione tra i due indirizzi. L'unico indizio è che in passato posso avere inoltrato mail da un indirizzo all'altro. Quindi qualcuno deve avere avuto accesso ad uno dei due account e avere individuato l'altro indirizzo come un mittente o un destinatario.

Stepan Mussorgsky ha detto...

Confermo, ne avrò ricevuti almeno 30, tutti cestinati ovviamente :D

Unknown ha detto...

di mail di questo tipo ieri ne ho ricevute 3...

Gio ha detto...

Ho ricevuto un email di un conoscente che usa libero.it come provider di posta. Nel campo A del messaggio risultano tutti gli utenti che tale conoscente ha nella rubrica di libero. Anche altri colleghi, amici e parenti hanno avuto lo stesso problema.
Mi sembra molto strano e non credo che Libero non c'entri nulla o non abbia subito qualche attacco. Il mio consiglio, oltre a cambiare password, è quello di non tenere i propri contatti su Libero. Se proprio dovete allora inserite anche un indirizzo inesistente o di un altro vs account di posta (su cui utilizzate un altra password mi raccomando). In questo modo potete rendervi conto se c'è qualcosa/qualcuno che invia automaticamente email ai vs contatti

Roberto Bello ha detto...

Ieri è capitato a mio cognato e a un mio amico.

Stefano Spaziani ha detto...

Ciao Paolo,
sono stato anche io vittima di questa violazione, il mistero è che sono partite mail ad un numero elevato di destinatari (oltre 500 come indica una mail autogenerata dai server di libero.it indicante un'attività sospetta) ma la mia rubrica web è vuota; credo che l'attacco sia più complesso e che siano stati analizzati tutti i messaggi di posta residenti sul server (nella lista compaiono anche indirizzi mail a cui non ho mai scritto ma presenti solo in "to" e "cc")
Chiaramente ho subito reimpostato la password del mio vecchio account. La sicurezza per libero è veramente un optional, per questo già da tempo sono passato ad un account che include la verifica in due passaggi.

alberto ha detto...

come ti ho scritto via Twitter, i primi messaggi spam ricevuti in questo modo contenevano in calce la classica frase di Avast che indica che il messaggio non contiene virus. E' la frase che mette il pc nella posta in uscita.
Il messaggio è in russo:
Это сообщение свободно от вирусов и вредоносного ПО благодаря avast! Antivirus защита активна.
Quindi il pc che invia la posta spam ha il s.o. in russo ed è ragionevole pensare che il tutto nasca in Russia.
Evidentemente dopo la prima ondata si sono accorti della firma ed hanno configurato Avast per non includere il messaggio in calce alle email in uscita.

Simon ha detto...

Già il 17 maggio ho ricevuto una mail di questo tipo, forse stavano facendo delle prove prima della diffusione di massa.
Il mittente era l'indirizzo mail di libero di un conoscente, e come destinatari i suoi contatti. In effetti la mail non è passata dai server di libero nè è partita dal computer del mittente apparente. La mail conteneva solo un link ad un sito di spam.
La violazione dei server di libero mi sembra una ipotesi probabile, sarà interessante saperne di più.

bastian contrario ha detto...

io ho ricevuto due di queste mail, una da un amico che non mi manda mai link e basta, oltretutto link sospetti come in quel caso, per cui ho cestinato subito.
l'altro da un mio contatto in rubrica che non mi scrive praticamente mai, quindi cestino subito e via!
entrambe mi sono arrivate nella casella dello spam (uso mail su macintosh)
tempo fa mi era arrivata una mail da un amico che mi chiedeva di mandargli dei soldi in inghilterra dove era rimasto bloccato causa furto del portafogli.
sapevo che lui NON era in inghilterra, quindi cestino eccetera. tutto questo per dire che, comunque, quando riceviamo una mail, leggiamola con gli occhi aperti
e se proprio abbiamo dubbi, sospetti, incertezze, proviamo - se possibile - a controllare facendo una telefonata.
insomma, gli spammers saranno certo intelligenti e abili, ma perché gli stupidi dobbiamo essere (sempre) proprio noi ?

Silvano Vergoli ha detto...

Sono stato vittima anch'io, anzi una delle prime. Sono stato alla polizia postale per denunciare la violazione e mi hanno confermato che il server di libero è stato bucato da un hacker ungherese. Prima che me lo confermasse la polizia ne avevo comunque certezza perché è stata inviata una mail spam ad un indirizzo errato (che ovviamente ha generato un errore e mi è tornato indietro) presente solo nella cartella posta inviata del server di libero, quindi il pc infetto, la password e quant'altro non c'entrano nulla. La strategia adottata è quella di inviare ai destinatari (anche in cc) delle mail trovate nella cartella (e che conoscendo il mittente si insospettiscono di meno) spam proveniente apparentemente dall'indirizzo dell'utente residente su libero, quale server abbiano usato per l'invio ha poca importanza. Il danno per uno come me che ha la casella su libero da una quindicina di anni con migliaia di indirizzi ai quali inviare spam a nome mio è davvero enorme. Il comportamento di libero invece è semplicemente vergognoso.

Luigi Rosa ha detto...

Chiamatemi snob, ma nel 2014 la vera notizia e' che qualcuno usi ancora libero.it

Si', lo so che molti lo usano anche per lavoro, ma so anche quanto profondo sia il digital divide in Italia.

pierino ha detto...

Il problema è noto ad alcuni utenti almeno dal 28 aprile
http://www.hwupgrade.it/forum/showthread.php?t=2646165
Sicuramente le prime mail sono state inviate anche prima perchè ho trovato quella discussione proprio cercando info in rete.
Purtroppo Libero fa orecchie da mercante e fornisce sempre risposte preconfezionate.
Nel frattempo bella figura di tolla con tutti i miei contatti ....

Guastulfo (Giuseppe) ha detto...

@Alberto
Evidentemente dopo la prima ondata si sono accorti della firma ed hanno configurato Avast per non includere il messaggio in calce alle email in uscita.

No. Non l'hanno fatto ;-)

Credo che il messaggio in coda sia messo apposta per far credere al lettore che sia sicuro.

A me e ai miei colleghi, tutti con account libero, il messaggio conteneva un link che, ovviamente, non abbiamo aperto.

Anonimo ha detto...

Ho ricevuto due e-mail di questo tipo dal mio unico contatto che ha Libero. Entrambe le missive erano state spedite da un IP messicano. Ho provveduto ad informare la malcapitata.
Comunque, come dice anche Luigi Rosa, non capisco come ancora nel 2014 si possa fare affidamento a Libero e ad altri sgangherati mail provider italiani, il più delle volte accedendo via interfaccia web e non con un client programmato allo scopo.

Xain ha detto...

@ il Commendatore
Ultimamente si sono introdotti anche nei server di Ebay (a me è arrivato un messaggio da Ebay per cambiare password), vedi (hxxp://www.cnet.com/news/ebay-hacked-requests-all-users-change-passwords/). Ebay non mi sembra nè italiano nè sgangherato.
Il fatto di usare Libero non significa essere sicuramente degli utonti, io ho un'altro indirizzo "spazzatura" di uno sgangherato provider italiano che, guarda caso, non è stato bucato.
Hanno preso di mira Libero, potevano sceglierne un'altro, purtroppo è andata così.

Stupidocane ha detto...

@ Il Commendatore

Il fatto che nel 2014 ci sia ancora chi usa le caselle email via web si dovrebbe chiederlo a Google, dato che Gmail è web based ma, a prescindere dalla comodità di poter accedere da qualsiasi terminale dotato di connessione internet, è anche più sicuro dal punto di vista delle infezioni da virus (sempre che non si scarichino gli allegati sospetti sul PC) e si riesce a gestire lo spam separatamente, senza andare ad intasare la casella di posta in arrivo del proprio client.

Io ho varie caselle e-mail, aperte negli anni di utilizzo della rete e Libero è una di quelle più longeve. Dopo 12 anni di utilizzo è la casella che mi ha dato meno noie di tutte le altre e che mantengo tutt'ora.

julia ha detto...

Salve a tutti,
a me la mail col link è arrivata sulla mia casella di gmail da un altra persona che usa gmail, successivamente da un amico che usa libero. Volevo segnalarlo,

Adriano G. V. Esposito ha detto...

Anche oggi ricevuto tali mail da due caselle di posta di Libero di due persone diverse. Anche in questo caso gli indirizzi erano prelevati dalle rubriche delle due caselle.

Libero fa davvero cagare...

Gioacchino Cipriano ha detto...

29 novembre 2014 il problema persiste ho ricevuto 2 mail diverse da due account libero.it con contenuti con le stesse caratteristiche
È possibile che non abbiano ancora ripulito i loro server?

Marco P ha detto...

È capitato di nuovo a vari miei conoscenti, quello che mi preoccupa è il fatto che abbiano avuto accesso alla rubrica delle vittime! Altrimenti non si spiegherebbe il perchè tutti i destinatari siano le stesse persone che vengono sempre contattate dai rispettivi indirizzi (tipo newsletter).

Michael von Sorti ha detto...

Buona Sera , a me con msg ad estensione a pagamento @iol.it (Libero mail) e mail server in uscita NGI Eolo, succede che quando invio la posta con allegati foto, doc e quant'altro, ad altri indirizzi dell'area Libero, da qualche settimana a questa parte questi vengono indirizzati alla cartella SPAM dei destinatari , mentre senza allegati passano normalmente alla posta arrivata. Ho provato a contattare l'"Aiuto" Mail di Libero, ma non ho ricevuto alcuna risposta, Il mio ISP NGI EOLO, interpellato la riguardo, mi ha detto che ha rilevato che iol.it ha un record spf molto restrittivo, che permette l'invio della posta solo con alcuni smtp server e che La soluzione suggerita è quella di utilizzare l'smtp di Libero (utilizzando una porta differente dalla 25). Per ora sono andato sulla web mail di Libero ed ho "filtrato" i miei "auto" messaggi dalla mia @ iol.it segnalandoli nell'apposita scheda di opzione come NON SPAM. e voglio vedere. Comunque l'aiuto tecnico di Libero è penoso per dirla educatamente, perché è un continuo rinviare a FAQ e quando si arriva dopo 7 camicie sudate al modulo reclami, lo si compila ed invia, non c'è un riscontro di lettura. Mi sono rivolto a questo blog perché è il refugium peccatorum e qualche perla buona esce sempre.
Grato per ogni eventuale risposta di compagni di sventura saluto tutti calorosamente,