Novembre

News del 22/11/2018

Campagna di phishing Aruba "*********.* - rinnovo automatico è stato negato"

Gentilissimi Utenti,

sono in corso nuove campagne di phishing malevolo veicolate attraverso il servizio di posta elettronica di Ateneo gestito dalla Divisione Telecomunicazioni il cui obiettivo è quello di sottrarre ai loro destinatari le credenziali normalmente utilizzate per accedere ad alcuni servizi erogati in rete e denaro.

Le email in esame, di cui riportiamo un esempio, vengono apparentemente inviate da comunicazioni@staff.aruba.it e hanno quale oggetto "******.*** - rinnovo automatico è stato negato".

Si fa presente che sia l'oggetto che il testo delle email potrebbero presentarsi con alcune modifiche e che la società Aruba non ha alcuna responsabilità in merito a questo tentativo di truffa.

From: "comunicazioni@staff.aruba.it"
To: *******@unimi.it
Subject: *******.***- rinnovo automatico è stato negato

Gеntіlе сlіеntе,
Ti infоrmiаmо ϲhе il dоminiо ************.*** stа pеr еssеrе sоspеsа (rinnоvо аutоmаtiϲо è stаtо nеgаtо).
Nоn аspеttаrе, rinnоvаrе il sеrviziо è sеmpliϲе.

Prоϲеdi ϲоn il pаgаmеntо : ************.***

ϹОME EFFETTUΑRE IL PΑGΑMENTО?

Puоi sϲеgliеrе lа mоdаlità ϲhе ritiеni più ϲоmоdа trа quеllе mеssе а dispоsiziоnе dа аrubа. Ti riϲоrdiаmо
ϲhе pаgаndо ϲоn ϲаrtа di ϲrеditо , l’аϲϲrеditо sаrà immеdiаtо rеndеndо ϲоsì il rinnоvо più siϲurо е vеlоϲе.

PERϹHÈ RINNОVΑRE IL DОMINIО?

Il tuо nоmе а dоminiо è sоlо tuо е rаpprеsеntа tе о lа tuа аttività.
Rinnоvаrlо signifiϲа аssiϲurаrti lа suа еsϲlusività, еvitаndо ϲhе аltri pоssаnо rеgistrаrlо.

ϹHE ϹОSΑ ΑϲϲΑDE SE NОN RINNОVI?

In ϲаsо di mаnϲаtо rinnоvо, аllа sϲаdеnzа il dоminiо е tutti i sеrvizi а quеstо аssоϲiаti vеrrаnnо sоspеsi.
Quеstо signifiϲа ϲhе il tuо sitо nоn sаrà più visibilе еd i sеrvizi аssоϲiаti nоn funziоnаnti, ϲоmprеsа lа pоstа
еlеttrоniϲа, finо а ϲhе nоn vеrrà еsеguitо il rinnоvо.

Ϲоrdіаlі ѕаlutі

Ci troviamo di fronte ad un tentativo di truffa informatica per contrastare il quale invitiamo gli utenti interessati a:

non cliccare sui link riportati nell’email ricevuta;
non rispondere all’email ricevuta;
non compiere alcuna delle azioni suggerite;
non effettuare / aprire eventuali allegati.

Cosa fare

L’Ufficio di Staff Sicurezza ICT, venuto a conoscenza della campagna di phishing in esame, ha attuato tutte le misure tecnologiche utili ad impedire dall'interno della rete di Ateneo la raggiungibilità del sito web malevolo linkato nel testo delle email in esame.

Tuttavia, non è possibile escludere che, tra gli utenti a cui è stata consegnata la mail fraudolenta nella casella INBOX, ve ne sia qualcuno che abbia cliccato sui collegamenti malevoli da una rete esterna ad Unimi (ad es. reti cellulari/domestiche o reti di altri enti o fornitori di connettività a Internet).

Chiunque avesse ricevuto l’email fraudolenta e inserito le proprie credenziali sul sito malevolo deve:

segnalarlo all'Ufficio di Staff Sicurezza ICT inviando un’email a:sicurezza@unimi.it;
effettuare un cambio repentino della password dell'account di Aruba e contattare il servizio di assistenza Aruba per segnalare l’accaduto e seguire le loro istruzioni;
nel caso in cui la password fosse utilizzata anche su altri sistemi (ad esempio quello di Ateneo), si richiede di cambiarla immediatamente su tutti, utilizzando un dispositivo diverso da quello con cui si è cliccato sul link di Phishing.

Per coloro i quali avessero riconosciuto la mail fraudolenta come sospetta e dunque non abbiano cliccato sul link in esse riportato e inserito le credenziali sul sito malevolo, non è richiesta alcuna azione.

Si raccomanda in generale a tutti gli utenti di utilizzare:

password per ciascun account univoche e robuste (almeno 8 caratteri, formata da lettere maiuscole e minuscole, numeri e/o caratteri speciali, senza riferimenti riconducibili all'utente);
di impostare come domanda di controllo per il cambio password, una domanda la cui risposta non sia facilmente indovinabile o desumibile da informazioni disponibili in rete;
cambiare le password regolarmente e con frequenza almeno ogni 6 mesi;
non riutilizzare la stessa password a breve distanza di tempo;
mantenere sistema operativo e antivirus aggiornati.

Al fine di poter gestire al meglio i tentativi di phishing e di malspam, chiediamo agli utenti che ricevono email sospette di:

non cliccare sui link riportati nell’email;
non rispondere e non eseguire alcuna delle azioni suggerite;
non scaricare / aprire eventuali allegati.

Inoltre, si invitano gli utenti ad inviare le future segnalazioni di spam a spam@unimi.it, mettendo in copia sicurezza@unimi.it solo nel caso in cui si ricevano email che possano rappresentare rischi di sicurezza, e quindi afferibili al nostro ufficio.

Le email malevole di nostra competenza, potrebbero essere email di phishing o con allegati malevoli e email simili a quelle che è possibile trovare nelle news (http://www.unimi.it/personale/122020.htm).

News del 21/11/2018

Campagna di malspam "Materiale richiesto"

In queste ore è in corso in Italia una nuova campagna malevola di malspam veicolata attraverso il servizio di posta elettronica di Ateneo il cui obiettivo è diffondere malware attraverso l’invito a cliccare su un link a Google Drive per scaricare un documento e/o fare del phishing telefonico.

Caratteristiche dell’email malevola

Nell’email un contatto personale potrebbe avere inviato a cliccare sul link ad un documento che riguarda i suoi destinatari ed ospitato su Google Drive.

Ci troviamo di fronte ad un'azione malevola per contrastare il quale invitiamo gli utenti interessati a:

non cliccare sul link riportato nei messaggi ricevuti;
non compiere nessuna azione suggerita;
non contattare il numero di telefono riportato;
non rispondere alle email ricevute;
non aprire o scaricare eventuali allegati.

Si riporta di seguito un esempio di email possibile, il cui oggetto è “Materiale richiesto del ********”.

---- Messaggio Inoltrato --------

Oggetto: Materiale Richiesto del 11/07/18
Data: Wed, 21 Nov 2018 02:49:41 +0000
Mittente: ********** <*******@*******eastvil*****e.com>
A: *********@unimi.it

Buongiorno!
Vi prego di esaminare successiva documentazione che po vedere al indirizzo web: documento
E di fare vedere alle persone di competenza.
Rimango in attesa di una risposta prima possibile.

Grazie.

**************

Telefono - 39************7

Si fa presente che sia l'oggetto che il testo dell'email potrebbe presentarsi con alcune varianti.

Cosa fare

L’Ufficio di Staff Sicurezza ICT, venuto a conoscenza delle campagne di phishing in esame, ha attuato tutte le misure tecnologiche utili ad impedire dall'interno della rete di Ateneo la raggiungibilità del sito web malevolo linkato nel testo delle email in esame.

Tuttavia, non è possibile escludere che, tra gli utenti a cui è stata consegnata la mail fraudolenta nella casella INBOX, ve ne sia qualcuno che abbia cliccato sul collegamento malevolo da una rete esterna ad Unimi (ad es. reti cellulari/domestiche o reti di altri enti o fornitori di connettività a Internet).

Chiunque avesse cliccato sul link verrebbe rimandato ad un documento ospitato su Google Drive al fine di aprire e scaricare il documento. Nel caso in cui sia stata compiuta anche solo una delle due operazioni:

Disconnettere il dispositivo dalla rete (scollegando il cavo di rete oppure spegnendo l'interfaccia wi-fi)
Contattare il Referente della struttura di afferenza per avere un opportuno supporto informatico;
Effettuare una scansione antivirus, e salvare lo screen del risultato;
Da un pc non infetto effettuare un cambio repentino della password dell'account di posta di Ateneo all'indirizzo https://auth.unimi.it/password/newpwd.php e di qualunque altro servizio (anche esterno all'Ateneo) per il quale sono state utilizzate le stesse credenziali di accesso;
Inviare una mail all'Ufficio di Staff Sicurezza ICT tramite mail a sicurezza@unimi.it con le seguenti informazioni:
- Ip del dispositivo
- Sistema operativo del dispositivo
- Tipo di antivirus in possesso
- Screenshot del risultato della scansione antivirus

Ulteriori raccomandazioni

In tutti i casi in cui riceviate email sospette vi chiediamo di:

non cliccare sui link riportati nell’email ricevuta;
non rispondere all’email ricevuta;
non inserire credenziali su alcun sito web;
non compiere alcuna delle azioni suggerite;
non effettuare / aprire eventuali allegati.

Inoltre, raccomandiamo in generale a tutti gli utenti di utilizzare:

password per ciascun account univoche e robuste (almeno 8 caratteri, formata da lettere maiuscole e minuscole, numeri e/o caratteri speciali, senza riferimenti riconducibili all'utente);
di impostare come domanda di controllo per il cambio password, una domanda la cui risposta non sia facilmente indovinabile o desumibile da informazioni disponibili in rete;
cambiare le password regolarmente e con frequenza almeno ogni 6 mesi;
non riutilizzare la stessa password a breve distanza di tempo
tenere aggiornati sistema operativo e antivirus.

News del 19/11/2018

Campagna di phishing "[NOTA] Aggiorna il tuo account di posta elettronica unimi.it"

E' in corso una nuova campagna di phishing malevolo veicolata attraverso il servizio di posta elettronica di Ateneo il cui obiettivo è quello di sottrarre ai suoi destinatari le credenziali normalmente utilizzate per accedere ad alcuni servizi erogati in rete.

Le email in esame, di riportiamo il testo, vengono inviate da un generico account “admin” ad alcuni utenti di Ateneo per invitarli a inserire la password utilizzata per accedere all'account del servizio di posta e hanno quale oggetto "[NOTA] Aggiorna il tuo account di posta elettronica unimi.it":

"unimi.it ha completato la nostra transizione dal vecchio sistema di posta elettronica Zimbra al nostro nuovo sistema di posta elettronica: Microsoft Office 365. Tutti gli utenti che avevano account attivi su Zimbra hanno fatto spostare i loro account sul nuovo sistema. Il nuovo sistema è accessibile andando a https[:]//office[.]unimi[.]it oppure scegliendo "Office 365" dal link "Email" nella parte superiore della home page.

Per problemi con il nuovo sistema, ti consigliamo di visitare il nostro sito della knowledge base: support[.]unimi[.]it"

Ci troviamo di fronte ad un tentativo di truffa informatica per contrastare il quale invitiamo gli utenti interessati a:

non cliccare sul link riportato nei messaggi ricevuti;
non compiere alcuna delle azioni suggerite;
non rispondere alle email ricevute;
non effettuare / aprire eventuali allegati.

Si fa presente che sia l'oggetto che il testo delle email potrebbero presentarsi con alcune modifiche.

Cosa fare

Chiunque abbia ricevuto la mail fraudolenta e inserito le proprie credenziali sul sito malevolo deve:

effettuare un cambio repentino della password dell'account di posta di Ateneoall'indirizzo https://auth.unimi.it/password/newpwd.php e di qualunque altro servizio (anche esterno all'Ateneo) per il quale sono state utilizzate le stesse credenziali di accesso;
segnalarlo entro 24 ore dal ricevimento di questa comunicazione all'Ufficio di Staff Sicurezza ICT tramite mail a sicurezza@unimi.it

Per coloro i quali abbiano riconosciuto la mail fraudolenta come sospetta e dunque non abbiano cliccato sul link in esse riportato e inserito le credenziali sul sito malevolo, non è richiesta alcuna azione.

Si raccomanda in generale a tutti gli utenti di utilizzare:

password per ciascun account univoche e robuste (almeno 8 caratteri, formata da lettere maiuscole e minuscole, numeri e/o caratteri speciali, senza riferimenti riconducibili all'utente);
di impostare come domanda di controllo per il cambio password, una domanda la cui risposta non sia facilmente indovinabile o desumibile da informazioni disponibili in rete;
cambiare le password regolarmente e con frequenza almeno ogni 6 mesi;
non riutilizzare la stessa password a breve distanza di tempo;
mantenere il sistema operativo, le applicazioni e l’ antivirus aggiornati.

Inoltre si invitano gli utenti ad inviare le future segnalazioni di email malevole come allegato a spam@unimi.it mettendo in copia sicurezza@unimi.it nel solo caso in cui si abbia la certezza che i messaggi di posta elettronica possano costituire un pericolo.

L'utilizzo della casella email spam@unimi.it consente di classificare in modo automatico messaggi indesiderati.

Campagna di malspam "Informazioni confidenziali"

In queste ore è in corso in Italia una nuova campagna malevola di malspam veicolata attraverso il servizio di posta elettronica di Ateneo il cui obiettivo è diffondere malware attraverso l’invito a cliccare su un link a Google Drive per scaricare un documento contenente informazioni che riguardano i suoi destinatari.

Caratteristiche dell’email malevola

Nell’email un contatto personale potrebbe avere inviato a cliccare sul link ad un documento che riguarda i suoi destinatari ed ospitato sul noto repository di Google.

Si tratta, naturalmente, di un’azione malevola per contrastare la quale tanto Google quanto l’Ateneo hanno adottato tutte le misure tecnologiche utili a bloccare l’url malevolo e ad evitare il download del file.

Si riporta di seguito un esempio di email possibile, il cui oggetto è “Informazioni confidenziali”.

Si fa presente che sia l'oggetto che il testo dell'email potrebbe presentarsi con alcune varianti:

Da: Nome e cognome <******@****.net>
Oggetto: Informazioni confidenziali

Saluti,

Ho cercato di contattarti, devi vedere questa pubblicazione su di te, in allegato.

https[:]//drive[.]google[.]com/file/d/************************ (Link a sito web malevolo)

Grazie

Nome e cognome

Azioni di messa in sicurezza intraprese

Google non consente di raggiungere il sito web malevolo e/o l’apertura del documento che potreste aver ricevuto, essendo il suo contenuto sospetto o, comunque, avente caratteristiche non ammesse dalle sue policy. D’altro canto, l’Ufficio Sicurezza appena ne è venuto a conoscenza, ha provveduto a bloccare la raggiungibilità del sito internet dall'interno dell'Ateneo.

Vi invitiamo, in ogni caso, a non cliccare sul link di cui all’email ricevuta.

Cosa fare se l’url risultava raggiungibile ed è stato effettuato il download del file

Chiunque sia comunque riuscito cliccando su un link ad accedere ad un sito web malevolo o ad un repository di contenuti malevoli e a scaricare il file malgrado il blocco attivato da Google e dall’Ateneo deve:

Disconnettere il dispositivo dalla rete (scollegando il cavo di rete oppure spegnendo l'interfaccia wi-fi)
Contattare il Referente della struttura di afferenza per avere un opportuno supporto informatico;
Effettuare una scansione antivirus, e salvare lo screen del risultato;
Da un pc non infetto effettuare un cambio repentino della password dell'account di posta di Ateneo all'indirizzo https://auth.unimi.it/password/newpwd.php e di qualunque altro servizio (anche esterno all'Ateneo) per il quale sono state utilizzate le stesse credenziali di accesso;
Inviare una mail all'Ufficio di Staff Sicurezza ICT tramite mail a sicurezza@unimi.it con le seguenti informazioni:
- Ip del dispositivo
- Sistema operativo del dispositivo
- Tipo di antivirus in possesso
- Screenshot del risultato della scansione antivirus

password per ciascun account univoche e robuste (almeno 8 caratteri, formata da lettere maiuscole e minuscole, numeri e/o caratteri speciali, senza riferimenti riconducibili all'utente);
di impostare come domanda di controllo per il cambio password, una domanda la cui risposta non sia facilmente indovinabile o desumibile da informazioni disponibili in rete;
cambiare le password regolarmente e con frequenza almeno ogni 6 mesi;
non riutilizzare la stessa password a breve distanza di tempo;
mantenere sistema operativo e antivirus aggiornati.

Al fine di poter gestire al meglio i tentativi di phishing e di malspam, chiediamo agli utenti che ricevono email sospette di:

non cliccare sui link riportati nell’email;
non rispondere e non eseguire alcuna delle azioni suggerite;
non scaricare / aprire eventuali allegati.

News del 13/11/2018

Campagna di phishing Aruba "Rifiuto a pagare"

Gentilissimi Utenti,

Le email in esame, di cui riportiamo un esempio, vengono apparentemente inviate da comunicazioni@staff.aruba.it e hanno quale oggetto “Rifiuto di pagare”:

From: comunicazioni@staff.aruba.it <noreply@********.net>
Subject: ***********.net - Rifiuto di pagare

To: *****.*****@unimi.it

Signоrа, Signоre,

Il tuо dоminiо ****.net è аttuаlmente оspitаtо dа аrubа.

Mаlgrаdо pаreссhie riсhieste dа nоi, аffrоntiаmо sempre il rifiutо соn lа vоstrа bаnса quаndо tentа
di аddebitаre i соsti dell'ultimо rinnоvаmentо dei vоstri servizi сhe аmmоntаnо а 5,42 €.

Vi invitiаmо соmunque а соmpilаre il mоdulо di rinnоvо dei vоstri servizi mаnuаlmente seguendо le
istruziоni sul link qui sоttо:

Aссedi аl mоdulо di pаgаmentо (Link a sito web malevolo)

Vi riсоrdiаmо сhe in аssenzа di regоlаrizzаziоne dа pаrte vоstrа entrо 48 оre, si prосederà а
sоspendere definitivаmente i vоstri servizi.

Cоrdiаli sаluti

Ci troviamo di fronte ad un tentativo di truffa informatica per contrastare il quale invitiamo gli utenti interessati a:

non cliccare sui link riportati nell’email ricevuta;
non rispondere all’email ricevuta;
non compiere alcuna delle azioni suggerite;
non effettuare / aprire eventuali allegati.

Si fa presente che sia l'oggetto che il testo delle email potrebbero presentarsi con alcune modifiche e che la società Aruba non ha alcuna responsabilità in merito a questo tentativo di truffa.

Cosa fare

Chiunque avesse ricevuto l’email fraudolenta e inserito le proprie credenziali sul sito malevolo deve:

segnalarlo all'Ufficio di Staff Sicurezza ICT inviando un’email a:sicurezza@unimi.it;
effettuare un cambio repentino della password dell'account di Aruba e contattare il servizio di assistenza Aruba per segnalare l’accaduto e seguire le loro istruzioni;
nel caso in cui la password fosse utilizzata anche su altri sistemi (ad esempio quello di Ateneo), si richiede di cambiarla immediatamente su tutti, utilizzando un dispositivo diverso da quello con cui si è cliccato sul link di Phishing.

password per ciascun account univoche e robuste (almeno 8 caratteri, formata da lettere maiuscole e minuscole, numeri e/o caratteri speciali, senza riferimenti riconducibili all'utente);
di impostare come domanda di controllo per il cambio password, una domanda la cui risposta non sia facilmente indovinabile o desumibile da informazioni disponibili in rete;
cambiare le password regolarmente e con frequenza almeno ogni 6 mesi;
non riutilizzare la stessa password a breve distanza di tempo;
mantenere sistema operativo e antivirus aggiornati.

Al fine di poter gestire al meglio i tentativi di phishing e di malspam, chiediamo agli utenti che ricevono email sospette di:

non cliccare sui link riportati nell’email;
non rispondere e non eseguire alcuna delle azioni suggerite;
non scaricare / aprire eventuali allegati.

News del 9/11/2018

Campagna di phishing "Notifica @ memoria piena!"

E' in corso una nuova campagna di phishing malevolo veicolata attraverso il servizio di posta elettronica di Ateneo gestito dalla Divisione Telecomunicazioni il cui obiettivo è quello di sottrarre ai suoi destinatari le credenziali normalmente utilizzate per accedere ad alcuni servizi erogati in rete.

Le email in esame, di cui riportiamo un esempio, vengono apparentemente inviate da un fantomatico supporto mailbox con oggetto “XXX@unimi.it Memoria piena !!!” che con questo Ateneo non ha nulla a che vedere:

"Dear **********,

Quota della cassetta postale raggiunta

Il tuo indirizzo email ha esaurito il limite di archiviazione definito dall'amministratore.  Sarai bloccato dall'invio e dalla ricezione di messaggi se non convalidato entro 48 ore da 11/8/2018 9:00:17 a.m.

Fai clic sulla tua email qui sotto per una rapida convalida e lo spazio aggiuntivo verrà aggiornato automaticamente.
Utilizzo attuale:                     945,60 Megabytes (945.82 MB)
Soglia di avviso quota  :   821,20 Megabytes (821.00 MB)
Limite di quota   :                   876,800 Megabytes (876,80 MB)

Validated ******@********* (Link a sito web malevolo)

Regards,
unimi.it mailbox support 2018."

Attenzione! Ci troviamo di fronte ad un tentativo di truffa informatica per contrastare il quale invitiamo gli utenti interessati a:

non compiere alcuna delle azioni suggerite;
non rispondere all’email ricevuta;
non cliccare su eventuali link riportati nell’email.

Si fa presente che sia l'oggetto che il testo delle email potrebbero presentarsi con alcune modifiche.

Cosa fare

Tuttavia, non è possibile escludere che, tra gli utenti a cui è stata consegnata la mail fraudolenta nella casella INBOX, ve ne sia qualcuno che abbia aperto l’allegato o cliccato su un possibile link malevolo da una rete esterna ad Unimi (ad es. reti cellulari/domestiche o reti di altri enti o fornitori di connettività a Internet).

Chiunque abbia ricevuto la mail fraudolenta e inserito le proprie credenziali sul sito malevolo deve:

effettuare un cambio repentino della password dell'account di posta di Ateneoall'indirizzo https://auth.unimi.it/password/newpwd.php e di qualunque altro servizio (anche esterno all'Ateneo) per il quale sono state utilizzate le stesse credenziali di accesso;
segnalarlo all'Ufficio di Staff Sicurezza ICT tramite mail a sicurezza@unimi.it

Per coloro i quali avessero riconosciuto l' email fraudolenta come sospetta e dunque non abbiano aperto il file allegato / cliccato sui link in essa eventualmente riportati e/o inserito le credenziali sul sito malevolo, non è richiesta alcuna azione.

Si raccomanda in generale a tutti gli utenti di utilizzare:

password per ciascun account univoche e robuste (almeno 8 caratteri, formata da lettere maiuscole e minuscole, numeri e/o caratteri speciali, senza riferimenti riconducibili all'utente);
di impostare come domanda di controllo per il cambio password, una domanda la cui risposta non sia facilmente indovinabile o desumibile da informazioni disponibili in rete;
cambiare le password regolarmente e con frequenza almeno ogni 6 mesi;
non riutilizzare la stessa password a breve distanza di tempo;
mantenere sistema operativo e antivirus aggiornati.

Al fine di poter gestire al meglio i tentativi di phishing e di malspam, chiediamo agli utenti che ricevono email sospette di:

non cliccare sui link presenti nel testo;
non compiere alcuna delle azioni richieste;
non rispondere;
di non scaricare / aprire eventuali allegati.

Le mail malevole di nostra competenza, potrebbero essere email di phishing o con allegati malevoli e email simili a quelle che è possibile trovare nelle news (http://www.unimi.it/personale/122020.htm).

News del 5/11/2018

Richiesta di denaro inviata da un conoscente - campagna malevola di Social engineering

E' nuovamente in corso un'insidiosa campagna di Social engineering veicolata attraverso il servizio di posta elettronica di Ateneo gestito dalla Divisione Telecomunicazioni. L'obiettivo della campagna è quello di estorcere denaro ai suoi destinatari invitandoli ad effettuare dei bonifici bancari a favore delle persone che "avrebbero" inviato l'email, a loro volta note alle potenziali vittime del tentativo di frode informatica qui descritto.

Il messaggio di posta elettronica in esame potrebbe facilmente trarre in inganno il suo destinatario dal momento che sembra inviato da una persona da lui conosciuta, vuoi perchè compare nel testo del messaggio un riferimento al suo nome o al suo cognome, vuoi perchè l'indirizzo email che viene utilizzato dal suo mittente è o somiglia molto a quello di un suo amico o di un suo collega di lavoro.

Riportiamo, di seguito, due possibili esempi di email, specificando che potrebbero presentare delle variazioni rispetto al loro oggetto o al loro contenuto:

Esempio n.1:

Oggetto:Richiesta

Mittente:nome.cognomeconosciuto@unimi.it

Belle,

Voglio che tu elabori un bonifico bancario verso un fornitore

Nome e cognome noti

Esempio n.2:

Oggetto:Richiesta

Mittente:nome.cognomeconosciuto@unimi.it

Ciao,

Qual è il saldo del nostro conto bancario?

Nome e Cognome noti

Cosa fare

L’Ufficio di Staff Sicurezza ICT, venuto a conoscenza delle campagne di Social engineering in esame, ha attuato tutte le misure tecnologiche utili ad evitare questo tentativo di frode informatica.

Tuttavia, non è possibile escludere che, tra gli utenti a cui è stata consegnata la mail fraudolenta nella casella di posta elettronica, ve ne sia qualcuno che sia stato tratto in inganno dal messaggio.

Al fine di poter gestire al meglio i tentativi di frode informatica in esame o analoghi a quello descritto, chiediamo agli utenti che avessero ricevuto l'email di:

non rispondere;
non eseguire alcuna delle operazioni richieste;
non cliccare sui link presenti nel testo;
non scaricare / aprire eventuali allegati;
segnalare l'accaduto all'Ufficio di Staff Sicurezza ICT tramite email a sicurezza@unimi.it;
segnalare l'accaduto alla propria banca / ufficio postale nel caso in cui il bonifico fosse stato effettuato e seguire le indicazioni fornite

Si raccomanda a titolo precauzionale, altresì, di:

effettuare un cambio repentino della password dell'account di posta elettronica; nel caso in cui la password fosse utilizzata anche su altri sistemi come ad esempio quello di Ateneo si richiede di cambiarla immediatamente su tutti i sistemi interessati.

Si raccomanda in generale a tutti gli utenti di utilizzare:

password per ciascun account univoche e robuste (almeno 8 caratteri, formata da lettere maiuscole e minuscole, numeri e/o caratteri speciali, senza riferimenti riconducibili all'utente);
di impostare come domanda di controllo per il cambio password, una domanda la cui risposta non sia facilmente indovinabile o desumibile da informazioni disponibili in rete;
cambiare le password regolarmente e con frequenza almeno ogni 6 mesi;
non riutilizzare la stessa password a breve distanza di tempo;
mantenere sistema operativo e antivirus aggiornati.

Campagna di phishing "Poste italiane"

E' nuovamente attiva una campagna di phishing che sfrutta un riferimento a Poste italiane S.P.A. allo scopo di sottrarre ai suoi clienti le credenziali utilizzate per accedere ai servizi erogati via web dalla nota società ed altri dati personali ad essi relativi.

L'email che potreste aver ricevuto non è naturalmente stata inviata da alcuno dei dipendenti di Poste italiane, anche se l'eventuale richiamo ai colori ed al carattere utilizzato sul sito web ufiiciale della società potrebbe lasciarlo intendere.

Ne riportiamo il testo di seguito, facendo presente che potrebbe presentare delle variazioni:

Oggetto: Azione richiesta

Da: Poste Informa <*********@posteit.it>

Gentile Cliente, questo messaggio arriva per avvisarla che il suo conto sul sito delle Poste
verra' sospeso e la sua carta verra' temporaneamente bloccata. Abbiamo preso questa decisione
perchè lei ha ignorato la nostra precedente richiesta per aggiornare i suoi dati.

Se non procede con l'aggiornamento dei suoi dati entro 24 ore dalla lettura di questa email,
procederemo con il blocco della sua carta Poste.

Questa misura di sicurezza e' stata imposta da Banca d'Italia.

Puo' accedere al suo conto cliccando sul bottone sottostante e dovra' compilare/aggiornare
tutti i campi presenti sul nostro sito.

Aggiornamento Obbligatorio (link a sito web malevolo)

Dopo aver compilato le informazioni richieste, assicurarsi di confermare tutto tramite il
codice SMS che ricevera' sul numero di telefono associato alla sua carta Postepay.

La ringraziamo per aver scelto i servizi di Poste e ci scusiamo per l'inconveniente.

Cordiali saluti,
Staff di Poste Italiane!

Come riconoscere l'email

Con lo specificare che Poste italiane non utilizza mai canali di comunicazione come email per richiedere informazioni che i suoi clienti avessero precedentemente rilasciato sul suo sito internet, si fa presente che è possibile riconoscere il carattere malevolo dell'email focalizzando l'attenzione:

su un indirizzo email "sospetto" / di cui non si possa chiaramente indicare il mittente
sul ricorso a toni allarmistici ("Gentile Cliente, questo messaggio arriva per avvisarla che il suo conto sul sito delle Poste verra' sospeso e la sua carta verra' temporaneamente bloccata. ")
sulla presenza di richieste “sospette" all’interno del messaggio (click su un link al fine di confermare la propria identità)

Cosa fare

Al fine di poter gestire al meglio i tentativi di phishing e di malspam, chiediamo agli utenti che ricevono email sospette di:

non cliccare sui link presenti nel testo;
non rispondere;
di non scaricare / aprire eventuali allegati.

Chiunque abbia ricevuto la mail fraudolenta e inserito le proprie credenziali sul sito malevolo deve:

segnalarlo all'Ufficio di Staff Sicurezza ICT tramite mail a sicurezza@unimi.it
effettuare un cambio repentino della password dell'account di Poste e contattare il servizio di assistenza Poste per segnalare l’accaduto e seguire le loro istruzioni.
nel caso in cui la password fosse utilizzata anche su altri sistemi come ad esempio quello di Ateneo si richiede di cambiarla immediatamente su tutti i sistemi interessati, utilizzando un PC diverso da quello con cui si è acceduto al link di Phishing.

password per ciascun account univoche e robuste (almeno 8 caratteri, formata da lettere maiuscole e minuscole, numeri e/o caratteri speciali, senza riferimenti riconducibili all'utente);
di impostare come domanda di controllo per il cambio password, una domanda la cui risposta non sia facilmente indovinabile o desumibile da informazioni disponibili in rete;
cambiare le password regolarmente e con frequenza almeno ogni 6 mesi;
non riutilizzare la stessa password a breve distanza di tempo;
mantenere sistema operativo e antivirus aggiornati.

News del 2/11/2018

Campagna di phishing Aruba "Ultimo sollecito : Ti informiamo che il dominio *********.* scadrà."

Sono in corso nuove campagne di phishing malevolo veicolate attraverso il servizio di posta elettronica di Ateneo, gestito dalla Divisione Telecomunicazioni, il cui obiettivo è quello di sottrarre ai loro destinatari le credenziali normalmente utilizzate per accedere ad alcuni servizi erogati in rete.

Le email in esame, di cui alleghiamo un esempio, vengono apparentemente inviate da comunicazioni@staff.aruba.it e hanno quale oggetto “Ultimo sollecito : Ti informiamo che il dominio ***********.*** scadrà.”.

Ci troviamo di fronte ad un tentativo di truffa informatica per contrastare il quale invitiamo gli utenti interessati a:

non cliccare sui link riportati nell’email ricevuta;
non rispondere all’email ricevuta;
non compiere alcuna delle azioni suggerite;
non effettuare / aprire eventuali allegati.

Si fa presente che sia l'oggetto che il testo delle email potrebbero presentarsi con alcune modifiche e che che l'azienda Aruba è totalmente estranea rispetto a questo tentativo di truffa.

Cosa fare

Chiunque abbia ricevuto la mail fraudolenta e inserito le proprie credenziali sul sito malevolo deve:

segnalarlo all'Ufficio di Staff Sicurezza ICT tramite mail a sicurezza@unimi.it
effettuare un cambio repentino della password dell'account di Aruba e contattare il servizio di assistenza Aruba per segnalare l’accaduto e seguire le loro istruzioni.
nel caso in cui la password fosse utilizzata anche su altri sistemi come ad esempio quello di Ateneo si richiede di cambiarla immediatamente su tutti i sistemi interessati, utilizzando un PC diverso da quello con cui si è acceduto al link di Phishing.

password per ciascun account univoche e robuste (almeno 8 caratteri, formata da lettere maiuscole e minuscole, numeri e/o caratteri speciali, senza riferimenti riconducibili all'utente);
di impostare come domanda di controllo per il cambio password, una domanda la cui risposta non sia facilmente indovinabile o desumibile da informazioni disponibili in rete;
cambiare le password regolarmente e con frequenza almeno ogni 6 mesi;
non riutilizzare la stessa password a breve distanza di tempo;
mantenere sistema operativo e antivirus aggiornati.

Al fine di poter gestire al meglio i tentativi di phishing e di malspam, chiediamo agli utenti che ricevono email sospette di:

non cliccare sui link presenti nel testo;
non rispondere;
di non scaricare / aprire eventuali allegati.

Novembre

Campagna di phishing Aruba "***********.*** - rinnovo automatico è stato negato"

Cosa fare

Campagna di malspam "Materiale richiesto"

Caratteristiche dell’email malevola

Cosa fare

Ulteriori raccomandazioni

Campagna di phishing "[NOTA] Aggiorna il tuo account di posta elettronica unimi.it"

Cosa fare

Campagna di malspam "Informazioni confidenziali"

Caratteristiche dell’email malevola

Azioni di messa in sicurezza intraprese

Cosa fare se l’url risultava raggiungibile ed è stato effettuato il download del file

Campagna di phishing Aruba "Rifiuto a pagare"

Cosa fare

News del 9/11/2018

Campagna di phishing "Notifica *******@******* memoria piena!"

Cosa fare

Richiesta di denaro inviata da un conoscente - campagna malevola di Social engineering

Cosa fare

Campagna di phishing "Poste italiane"

Come riconoscere l'email

Cosa fare

News del 2/11/2018

Campagna di phishing Aruba "Ultimo sollecito : Ti informiamo che il dominio ***********.*** scadrà."

Cosa fare

Campagna di phishing Aruba "*********.* - rinnovo automatico è stato negato"

Campagna di phishing "Notifica @ memoria piena!"

Campagna di phishing Aruba "Ultimo sollecito : Ti informiamo che il dominio *********.* scadrà."