Articoli

Libero Mail Spam

La storia si ripete, dopo il Primo e il Secondo caso del ’14, a fine Gennaio ‘2015 nuovamente sono stati sfruttati diversi indirizzi eMail di @libero.it per inviare spam!

I dettagli son sempre i medesimi, ovvero ho ricevuto eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web!

Non voglio dilungarmi oltre, credo di aver già speso troppe parole per questi casi senza mai ricevere una risposta ufficiale da Libero/Wind Infostrada nonostante i miei solleciti! Rimango della mia idea che gli account sfruttati per l’invio di eMail, a destinatari a loro noti, non sono stati bucati a causa di una password debole ma è stata una vulnerabilità sul portale di Libero a garantire l’estrazione dei dati, e gli ultimi fatti sulla SQL Injection rilevata proprio nei sistemi Wind mi fa pensare di aver ancor più ragione.

Di seguito vi riepilogo tutti i casi da me rilevati:

I Casi Rilevati
Data Mittente Ultimo Contatto con il Mittente Server SMTP Paese Mittente
29/05/2014 al************[email protected] 08/07/2013 estpak.ee Estonia
29/06/2014 adri********[email protected] 24/01/2013 trjdesigns.com Biellorussia
30/06/2014 li*******[email protected] 30/09/2011 telecom.kz Kazakistan
03/07/2014 sp****ni.de**[email protected] 08/02/2010 eigbox.net Argentina
05/07/2014 m****[email protected] 05/07/2006 ccg.ua Ucraina
08/07/2014 ca****[email protected] 21/03/2014 dehostingfirma.nl Paesi Bassi
08/07/2014 al************[email protected] 08/07/2013 mailgun.org Ucraina
09/07/2014 f******[email protected] 24/10/2013 melvincruz.com Indonesia
29/11/2014 al*****[email protected] 21/05/2013 1and1.es Ucraina
29/11/2014 be**a.****[email protected] 14/05/2013 opentransfer.com Ucraina
29/11/2014 fabio.***@libero.it 29/11/2014 shaw.ca Biello Russia
30/11/2014 *.el**[email protected] 22/04/2011 alienweathermachine.com Russia
01/12/2014 ele.***@libero.it 11/07/2010 zimbra.intercom.com Indonesia
24/01/2015  pie*****[email protected] 24/01/2011  anonimoserver.com Thailandia
 24/01/2015 al*.c****[email protected] 21/03/2014 mcctelecom.es  Ucraina
 25/01/2015 all****[email protected] 04/02/2014  coxmail.com Taiwan
 26/01/2015 benv******[email protected]  –  colo-cation.com  Russia
 26/01/2015 adri********[email protected] 24/01/2013 stratoserver.net  Ecuador
 26/01/2015 ele.***@libero.it 22/04/2011  servername.com Indonesia
 26/01/2015 dav***[email protected]  15/11/2012 tottori-u.ac.jp Turchia
 27/01/2015 g.l****[email protected]  04/10/2012 bajzek.com Messico
27/01/2015 ch***@libero.it  02/09/2013 nexse.com Ucraina
 28/01/2015 *.el**[email protected] 22/04/2011 net.au Turchia

 

Libero Mail Spam

Lo scorso luglio avevo posto l’attenzione su un probabile attacco alle caselle eMail di Libero.it, rilevando un invio anomalo di eMail contenente SPAM provenienti dagli account di @libero.it! Successivamente alla prima ondata di eMail risalenti a Maggio 2014 le acque si erano calmate salvo sporadici casi ma nelle ultime 72 ore vi è stato un nuovo invio massimo di eMail contenenti SPAM che rispecchiano le stesse caratteristiche del precedente caso.

Nel dettaglio ho ricevuto eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web! Le cinque eMail di spam che ho ricevuto contenevano cinque distinti link ma essi reindirizzavano l’utente sempre al dominio http://gen.xyz che ora sembra essere sospeso.

Cinque indirizzi eMail appartenenti a @libero.it con i quali in passato ho scambiato messaggi di posta elettronica mi hanno inviato SPAM, ad accrescere ulteriormente il misfatto preciso che i mittenti di tali eMail con buona probabilità non si conoscono ne nella vita reale ne virtuale. Dettaglio che mi fa pensare di non essere un caso isolato ma una anomalia su buona parte degli account Italiani.

Di seguito vi riporto in una tabella l’eMail che ho rilevato nel precedente caso e nelle ultime 72h:

I Casi Rilevati
Data
Mittente Ultimo Contatto con il Mittente Server SMTP
Paese Mittente
29/05/2014 al************[email protected] 08/07/2013 estpak.ee Estonia
29/06/2014 adri********[email protected] 24/01/2013 trjdesigns.com Biellorussia
30/06/2014 li*******[email protected] 30/09/2011 telecom.kz Kazakistan
03/07/2014 sp****ni.de**[email protected] 08/02/2010 eigbox.net Argentina
05/07/2014 m****[email protected] 05/07/2006 ccg.ua Ucraina
08/07/2014 ca****[email protected] 21/03/2014 dehostingfirma.nl Paesi Bassi
08/07/2014 al************[email protected] 08/07/2013 mailgun.org Ucraina
09/07/2014 f******[email protected] 24/10/2013 melvincruz.com Indonesia
29/11/2014 al*****[email protected] 21/05/2013 1and1.es Ucraina
29/11/2014 be**a.****[email protected] 14/05/2013 opentransfer.com Ucraina
29/11/2014 fabio.***@libero.it 29/11/2014 shaw.ca Biello Russia
30/11/2014 *.el**[email protected] 22/04/2011 alienweathermachine.com Russia
01/12/2014 ele.***@libero.it 11/07/2010 zimbra.intercom.com Indonesia

Anche in questo caso ho interpellato i laboratori del D3Lab per avere un’ulteriore conferma, lavorano attivamente ogni giorni nel prevenire Phishing per istituti bancari e non solo scansionando una mole di eMail importante ogni giorno. Anche loro hanno rilevato in data 29/11/2014 quattro casi analoghi ai miei. Ovvero email contenente SPAM verso il sito http://gen.xyz e in passato mittenti e destinatari si erano già scambiati eMail.

Venerdì 11 Luglio 2014 avevo commentato sul Blog Ufficiale di Libero.it chiedendo ulteriori dettagli e linkando il mio originale articolo, ma ancora ad oggi non ho ancora ricevuto nessuna risposta e il commento non è stato reso pubblico!

Grazie invece ai molti lettori che mi hanno aiutato nell’analisi posso trarre le seguenti conclusioni sull’attacco di SPAM ai danni degli utenti di Libero.it:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione;
  • eMail inviate ad utenti NON presenti nella rubrica del portale Libero.it;
  • eMail inviate ad utenti presenti nella “Posta Inviata” del portale Libero.it;
  • eMail provenienti da mittenti diversi nei due casi rilevati (Maggio ’14 e Novembre ’14) che fa supporre ad un nuovo attacco del portale.

Dai dati raccolti il portale Libero Mail è stato violato, da tale violazione è stato possibile estrarre i destinatari delle eMail inviate e quindi presenti nella sezione “Posta Inviata” del portale Libero Mail. È facilmente credibile che avendo ottenuto l’accesso alla “Posta Inviata” abbiano ottenuto l’accesso anche alla posta “Posta in Arrivo” mettendo a disposizione di estranei le proprie eMail e magari anche Informazioni Sensibili o Personali.

I mittenti tra la prima analisi e la seconda analisi sono diversi, sarebbe curioso capire se il portale di Libero Mail è stato nuovamente violato oppure gli attaccanti hanno diversificato l’invio massivo di eMail in due periodi diversi molto lontani tra loro. Purtroppo l’archivio eMail è stato ormai sottratto e sarà difficile, se non impossibile, prevenire in futuro un nuovo invio massivo di SPAM, ma bisogna sperare che Libero.it hanno risolto la vulnerabilità nel suo portale.

Purtroppo non avendo ulteriori dati rispetto alla precedente rilevazione non posso che attendere, fiducioso, una risposta ufficiale da Libero.it in grado di circoscrivere il problema e/o inviarci ulteriori dettagli al fine di proteggere gli account di posta elettronica. Ad oggi l’accatto ha ottenuto una sfaccettatura importante al punto di rendere disponibili ad estranei le eMail di ignari utenti, violando la Privacy!

Libero Mail

Nel corso delle ultime due settimane da alcune analisi effettuate mi è risultato un invio anomalo di eMail contenente SPAM provenienti da account di @libero.it, entrando più nel dettaglio ho ricevuto delle eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi 8 anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web!

Pertanto diverse eMail @libero.it con le quali in passato ho scambiato messaggi di posta elettronica mi hanno inviato un link contenente SPAM, mittenti che sono scollegati tra loro e non si conoscono ne virtualmente ne nella vita reale! Dettaglio che mi fa pensare di non essere un caso isolato ma una anomalia su buona parte degli account Italiani. Di seguito vi riporto in una tabella l’eMail che ho rilevato:

 

I Casi Rilevati
Data
Mittente Destinatario Ultimo Contatto con il Mittente Contenuto
29/05/2014 al************[email protected] d*****[email protected]*****ti.it 08/07/2013 SPAM
29/06/2014 adri********[email protected] d*****[email protected]*****ti.it 24/01/2013 SPAM
30/06/2014 li*******[email protected] [email protected]********.net 30/09/2011 SPAM
03/07/2014 sp****ni.de**[email protected] [email protected]*****i.it 08/02/2010 SPAM
05/07/2014 m****[email protected] [email protected]*****i.it 05/07/2006 SPAM
08/07/2014 ca****[email protected] a*****[email protected]******ti.it 21/03/2014 SPAM
08/07/2014 al************[email protected] d*****[email protected]*****ti.it 08/07/2013 SPAM
09/07/2014 f******[email protected] [email protected]*****i.it 24/10/2013 SPAM

 

 

Confrontando i dati in mio possesso con i dati di Phishing raccolti dal laboratorio del D3Lab ho trovato conferma che è in corso un insolito traffico di posta elettronica da account di Libero Mail, infatti nel secondo trimestre del 2014 gli attacchi di Phishing verso utenti @libero.it è cresciuto rispetto alla media dell’ultimo anno.

Secondo i dati attualmente in mio possesso è plausibile che una vulnerabilità nel portale Libero Mail ha permesso a malintenzionati di accedere alle caselle eMail di ignari utenti, sfruttare la loro rubrica inviando eMail ad utenti conosciuti scavalcando possibili filtri Anti Spam! Un ulteriore ipotesi può invece vedere colpevoli gli utenti di Libero Mail che usando password notevolmente deboli e pertanto sono stati facili bersagli da parte di Lamer/Cracker che hanno violato gli account proprio allo scopo di inviare questa eMail di Spam!

Continueremo ad analizzare la vicenda, se avete ulteriori informazioni cortesemente avvisatemi 😉 grazie!

[AGGIORNAMENTO 09/07/2014]

Analizzando i sorgenti delle eMail ricevute vi riporto i seguenti dati:

 

Analisi sorgenti eMail
Data Paese Mittente X-Mailer Server SMTP
29/05/2014 Estonia Microsoft Windows Live Mail 16.4.3522.110 estpak.ee
29/06/2014 Biellorussia Microsoft Windows Live Mail 16.4.3522.110 trjdesigns.com
30/06/2014 Kazakistan Microsoft Windows Live Mail 16.4.3522.110 telecom.kz
03/07/2014 Argentina Microsoft Windows Live Mail 16.4.3522.110 eigbox.net
05/07/2014 Ucraina Microsoft Windows Live Mail 16.4.3522.110 ccg.ua
08/07/2014 Paesi Bassi Microsoft Windows Live Mail 16.4.3522.110 dehostingfirma.nl
08/07/2014 Ucraina Microsoft Windows Live Mail 16.4.3522.110 mailgun.org
09/07/2014 Indonesia Microsoft Windows Live Mail 16.4.3522.110 melvincruz.com

 

da tali sorgenti deduco che gli spammer non hanno usato direttamente il portale eMail di Libero (http://posta.libero.it) ma sfruttavano una connessione SMTP per inviare eMail ed il software Microsoft Windows Live Mail (oppure uno script creato ad hoc che si identifica per tale client) usufruendo di diversi servizi SMTP.

Federico ‘glamis‘ Filacchione, mi ha gentilmente inviato un suo sorgente eMail nel quale vengono riproposte le stesse caratteristiche delle eMail che ho ricevuto personalmente.

Ad oggi pertanto dai dati raccolti possiamo riassumere le seguenti caratteristiche dell’attacco:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione.

Ipotesi

Non avendo inviato le eMail direttamente dal sito internet di Libero, tecnica che gli avrebbe permesso di inviare eMail attraverso un server SMTP che prevede l’autenticazione e quindi migliorando il Rank contro i filtri AntiSpam è plausibile che il Portale eMail di Libero.it contenga una vulnerabilità con la quale è stato possibile estrarre la rubrica eMail di ogni singolo account. Rubrica che poi è stata sfruttata per inviare l’eMail contenenti SPAM.

Punti da chiarire:

  • Gli account eMail @libero.it sfruttati per inviare SPAM hanno subito un cambio password non voluto? Quindi l’attaccante è riuscito anche a cambiare la password di tali account?
  • Libero ha comunicato ai propri utenti un utilizzo anomalo del proprio account invitandoli ad effettuare qualche procedura?

[AGGIORNAMENTO 21/07/2014]

Venerdì 11 Luglio 2014 ho commentato sul Blog Ufficiale di Libero.it la vicenda linkando il mio articolo, ma ancora ad oggi non ho ancora ricevuto nessuna risposta e il commento non è stato reso pubblico!

Stando invece ai molti lettori che mi hanno aiutato nell’indagare su questa vicenda posso trarre nuove conclusioni sull’attacco di SPAM ai danni degli utenti di Libero.it:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione;
  • eMail inviate ad utenti NON presenti nella rubrica del portale Libero.it;
  • eMail inviate ad utenti presenti nella “Posta Inviata” del portale Libero.it.

Dai dati raccolti il portale Libero Mail è stato violato, da tale violazione è stato possibile estrarre i destinatari delle eMail inviate e quindi presenti nella sezione “Posta Inviata” del portale Libero Mail. È facilmente credibile che avendo ottenuto l’accesso alla “Posta Inviata” abbiano ottenuto l’accesso anche alla posta “Posta in Arrivo” mettendo a disposizione di estranei le proprie eMail e magari anche Informazioni Sensibili o Personali.

Attendo, fiducioso, una risposta ufficiale da Libero.it in grado di circoscrivere il problema e/o inviarci ulteriori dettagli. Ad oggi l’accatto ha ottenuto una sfaccettatura importante al punto di rendere disponibili ad estranei le eMail di ignari utenti, violando la Privacy!

La società di sicurezza informatica Sophos ha rilevato la classifica dei paesi maggiormente produttori di spam, l’India ha conquistato il primo posto precedendo gli Stati Uniti. Il 9,3% delle eMail spazzatura inviate in tutto il mondo provengono o passano attraverso l’India.

Sguono Stati Uniti (8,3%), Corea del Sud (5,7%), Indonesia e Russia alla pari (5%), Italia (4,9%), Brasile (4,3%). Secondo Graham Clueley, consulente della Sophos citato sulla Bbc, il primato indiano e’ legato alla forte crescita dell’uso d’Internet in questo Paese, dove molti internauti non hanno ancora imparato a difendersi dai virus informatici che trasformano i loro computer in “zombie” che diffondono spam. La diffusione dello spam viene veicolata anche tramite i social network.

Via | AdnKronos

 

Un interessante puntata di Domenica 10 Aprile 2011 di Report punta il dito sul Web 2.0 mettendo nel mirino Facebook e le sue politiche della Privacy ma sono stati coinvolti nel servizio altri grandi nomi come Twitter, Google e Wikipedia.

Particolarmente importante la fase finale nel servizio dove di parla inizialmente di Spam e violazione delle leggi sulla Privacy ma anche della recente delibera dell’AGCOM ed infine di Wikileaks, da non trascurare la corretta distinzione tra il termine Hacker e Cracker durante tutta la puntata.

Nella prima puntata di questa serie, abbiamo parlato dei paesi che si sono messi in evidenza come maggiori fonti di origine degli attacchi informatici di questo 2010.

Oggi parleremo di quali sono i principali obiettivi degli attacchi, cosa ad un hacker veramente interessa.

Qui di seguito la relativa classifica:

  1. 20.38%   Furto di Informazioni
  2. 18.47%   Defacciamento di Siti Web
  3. 14,01%   Diffusione di Malware
  4. 12,74%   Perdite Finanziarie / Disservizio
  5. 04,46%   Disinformazione
  6. 03,82%   Furto di Carte di Credito
  7. 01,91%   Link Spam / Truffe / Dirottamento di Sessioni (Session Hijacking)
  8. 01,27%   Divulgazione di Informazioni / Danni alle Vendite
  9. -0,64%   Worm / Furto di Dati / Estorsione / Inclusione in BotNet / Phising

Rispetto agli anni scorsi, risalta l’incremento di posizioni delle Perdite Finanziarie, giunta nel 2010 alla 4° posizione, ovvero quelle attività che possono causare ingenti entrate economiche, in breve tempo, ai cybercriminali mossi da scopi di realizzare profitti illeciti.

Le attività di “Hacking for Profit” sono essenzialmente realizzate da cybercriminali professionisti, che implementano sempre nuovi metodi per generare ricavi compromettendo direttamente applicazioni web.

Continua a leggere

Il Phishing è ormai diventata la tecnica più semplice e redditizia per raccogliere dati sensibili ad estranei, ovviamente ad alimentare tale tecnica è la vasta diffusione dei Social Network come il colosso FaceBook!

Le tecniche dei malfattori si affinano sempre di più raggiungendo metodologie di Social Engineering veramente sopraffine, l’ultima prevede la garanzia di una maggiore “sicurezza” agli utenti.

I siti recitano: “Attiva il servizio di Sicurezza FaceBook ed avrai protezione garantita da Spam ed Accessi Fraudolenti!” ma peccato che non diano assolutamente nessun beneficio di quanto promesso ma eludono ignare persone a fornire i propri dati per usi fraudolenti.

Via – GData

I Laboratori della G Data Security hanno recentemente rilevato  un incremento notevole di spam e phishing collegato al famoso sistema di messaggistica istantanea MSN Messenger.

Il meccanismo truffaldino attrae l’utente attraverso finte richieste di amicizia o falsi siti internet che propongo di seguire le azioni dei proprio amici:

  • Vedere una lista di tutti gli utenti che hanno bloccato il nostro account
  • Vedere una lista che hanno cancellato il nostro nome dalla loro lista amici

Purtroppo però per offrire tali servizi, falsi, richiedono username e password del proprio account MSN che poi verrà sfruttato per poter inviare dati spam o phishing ingannando i nostri amici.

I G Data Security Labs hanno voluto verificare l’efficacia di tali servizi utilizzando un account creato appositamente e, come ci aspettava, i risultati ottenuti sono stati deludenti. Non è stato possibile identificare gli utenti che hanno bloccato il nostro account ne vedere chi ci avesse preventivamente cancellato.

Risulta dunque evidente l’intenzione truffaldina che si cela dietro questo tipo di falsi servizi offerti agli utenti.

Via – G Data Security Labs