phish email ειδοποίηση (02/2019)

phishing

Καταιγίδα από “phish” email για άλλη μια φορά τις τελευταίες μέρες. Τα περισσότερα από αυτά καταλήγουν στο spam φάκελο αυτόματα και οι περισσότεροι φιλοξενούμενοι/ες μπορεί να μη τα έχουν προσέξει καθόλου. Χάρη στα antispam φίλτρα και την αυτόματη εκπαίδευση που υλοποιούμε στο email σύστημα της Πρίζας, το μεγαλύτερο ποσοστό τους δεν φτάνει ποτέ στο Inbox των email λογαριασμών.

Γενικά όμως θα θέλαμε να προσέχετε phish email που μπορεί να έρθουν στο Inbox, με Θέμα όπως:
“Admin:Email Service Removal”
“Unusual login activity”
“Mail Quota!!!”
κ.α. παρόμοια, που ζητάνε να εισάγετε το κωδικό του email σας σε κάποια τυχαία σελίδα. Δείτε και παλαιότερη ανακοίνωση μας για τα Phishing emails εδώ.

Θυμηθείτε ότι η Πρίζα δεν θα ζητήσει ποτέ το κωδικό του email σας, και δε θα πρέπει και σεις να τον εισάγετε οπουδήποτε αλλού πέρα από τα επίσημα webmail ή/και email clients που χρησιμοποιείτε συνήθως.

Σε περίπτωση που έχετε εισάγει το κωδικό σας κάπου αλλού, αλλάξτε τον ΑΜΕΣΑ, μέσα από κάποιο από τα webmail ή το control panel. προαιρετικά ειδοποιήστε μας με λεπτομέρειες του αποστολέα του phish και το link στο οποίο εισάγατε το κωδικό.

Phishing emails

phishing

Τι είναι;

*Phishing* λέμε όταν κάποιοι κακόβουλοι στέλνουν email προσποιούμενοι κάποια άλλη οντότητα που δεν είναι πραγματικά, και χρησιμοποιούν αυτή την απάτη για να αλιεύσουν πληροφορίες. Συνήθως κυνηγάνε αριθμούς κοινωνικής ασφάλισης, τραπεζικές πληροφορίες, κωδικούς, ή άλλες ευαίσθητες πληροφορίες. Τα phishing email μοιάζουν σαν τη παρακάτω φόρμα :

Από: help@some_company_or_organization.com

Προς: your@domain.com

Θέμα: Account Alert

We need to verify your account details. Please reply to this message and enter your information the following spaces. If you do not reply, you may lose access to your account.

username: _______

password: _______

*Αν δείτε ένα email σαν αυτό, μην απαντήσετε!!!*

Πως επηρεάζει τους λογαριασμούς μας στην Πρίζα;

Οι email λογαριασμοί μας είναι πολύ συχνοί στόχοι. Τα email που στέλνει η Πρίζα (συνήθως από το eimaste@stinpriza.org) δε θα ζητήσουν ποτέ το κωδικό σας! Αν λάβετε ένα email που ισχυρίζεται ότι έρχεται από τη Πρίζα, και ζητάει το κωδικό του email σας, *δεν είναι από τη Πρίζα*. Η μόνη περίπτωση να ζητήσουμε κωδικό μέσω email θα είναι μετά απο συνεννόηση μαζί σας.

Αν λάβετε κάποιο email που σας ζητάει να πατήσετε σε κάποιο link και να δώσετε τα στοιχεία του λογαριασμού σας, είναι πάντα καλύτερο να πατάτε χειροκίνητα τη διεύθυνση url. Μην βασίζεστε στο link που πατάτε στο email, επειδή το domain μπορεί να είναι https://stίnpriza.org και όχι https://stinpriza.org π.χ (προσέξτε τη διαφορά στο 1ο i).

Παραδείγματα phishing emails

Παρακάτω θα δείτε μερικά παραδείγματα email που στέλνονται συχνά σε λογαριασμούς στην Πρίζα, από κακόβουλους, προσπαθώντας να αποκτήσουν πρόσβαση στο λογαριασμό του χρήστη.

*Παράδειγμα 1*

To: email@stinpriza.org

Subject: Immediate termination of account in process.

From: Account Update <spam@email>

Attn: Valid [ email@stinpriza.org ]

Your account has been block due to expired usage, you can not recieve new messages also can not send out mails until you renew your usage.

Click here to re-new and continue using your account.

Note: Failure to re-new usage will be automatically close account within 24hrs

Appreciate your patience and understanding.

Technical Support

 

*Παράδειγμα 2*

From: E-mail Administrator <spam@email>

Subject: LAST WARNING – email@stinpriza.org will be block before 24hrs.

To: email@stinpriza.org

Your account has been limited.

Dear email@stinpriza.org

Your mailbox account has exceeded storage limit your incoming messages has been placed on pending, you will not be able to recieve or send out message until you upgrade your account kindly click the link below to update your account.

ACCOUNT UPDATE NOW

 

Αυτή είναι μια εξαιρετικά έξυπνη επίθεση phishing. Γνωρίζει ότι αρκετοί άνθρωποι ξέρουν ότι η Πρίζα δε θα ζητήσει ποτέ τους κωδικούς τους με email, χωρίς σαφές και συγκεκριμένο λόγο, και γι’ αυτό στέλνουν συνδέσμους προς ιστοσελίδες που ζητάνε το κωδικό τους. Ο σύνδεσμος μπορεί να μοιάζει με σύνδεσμο της Πρίζας (ή αντίστοιχα του gmail/hotmail/yahoo), αλλά όταν το ανοίγετε, στη πραγματικότητα σας πάει σε άλλη διεύθυνση. Η άλλη διεύθυνση αυτή είναι φτιαγμένη να μοιάζει με τη σελίδα της Πρίζας, με την ελπίδα ότι δε θα προσέξετε τις διαφορές και θα δώσετε το κωδικό σας.

Για να είστε ασφαλείς, δε θα πρέπει να πατάτε ποτέ συνδέσμους σε email που σας ζητάνε να βάλετε πληροφορίες κωδικών. Πάντα χρησιμοποιείτε το επισημο webmail της Πρίζας (https://cacofonix.stinpriza.org:20000) το οποίο καλύτερα να πληκτρολογείτε μόνοι σας στο browser.

Ομογραφικές επιθέσεις

Αυτός ο τύπος επιθέσεων χρησιμοποιεί την ομοιότητα γραμμάτων σε διαφορετικά σετ χαρακτήρων. Τα Ομόγραφα είναι παρόμοιοι χαρακτήρες, π.χ. μεταξύ λατινικού και ελληνικού σετ χαρακτήρων. Το διεθνές σύστημα ονομάτων χώρου (IDN) δεν έχει περιορισμούς στο να χρησιμοποιούνται χαρακτήρες από διαφορετικά σετ σε κάποιο όνομα χώρου (domain). Ετσι οι χρήστες δεν μπορούν να καταλάβουν τη διαφορά μεταξύ γραμμάτων που εμφανίζονται με τον ίδιο τρόπο.

Η ασφαλέστερη μέθοδος είναι να μην αντιγράψετε ποτέ συνδέσμους (url) από μη ασφαλής πηγές και πάντα να γράφετε τη διεύθυνση του συνδέσμου με το χέρι, στη μπάρα διευθύνσεων του κάθε browser.

Μια άλλη μέθοδος προστασίας είναι να απενεργοποιήσετε το IDNA στο browser. Γνωστό πρόβλημα από το 2005, που αναφέρθηκε στο Mozilla το 2013, με συνέπεια το περιορισμό των ονομάτων χώρου σε συγκεκριμένους χαρακτήρες και με τη χρήση Punycode για τα domains που περιέχουν άλλους χαρακτήρες. Στο Firefox οι ρυθμίσεις IDN μπορούν να αλλαχτούν πηγαίνονται στο about:config και πληκτολογώντας “network IDN”.

Περισσότερες πληροφορίες για το θέμα μπορείτε να βρείτε στη Wikipedia και αλλού.


Πηγή/έμπνευση

προηγούμενα άρθρα για spam email στη σελίδα μας : https://stinpriza.org/tag/spam/

Αλλοι σύνδεσμοι στα ελληνικά, σχετικά με phishing : Βικιπαιδεία , Facebook, Google, Microsoft.

Spam: Στοιχεία & Τρόποι που τα αντιμετωπίζουμε

Monty Spam

Εμφάνιση spam

Πολλές φορές γινόμαστε αποδέκτες μηνυμάτων που μας ζητούν να κάνουμε κάτι με τα spam που εμφανίζονται στο Inbox. Tα spam δεν είναι καθόλου εύκολη υπόθεση, καθώς καθημερινά διακινούνται δισεκατομμύρια από αυτά. Σύμφωνα με έρευνες τα μισά και ίσως περισσότερα (50-55%) από τα email που διακινούνται καθημερινά, είναι ανεπιθύμητη αλληλογραφία, δηλαδή Spam.

Τρόποι Αντιμετώπισης – Διαδικασία αποστολής-παραλαβής email

Οι τρόποι αντιμετώπισης τους, είναι ποικίλοι και αρκετοί. Στο server της Πρίζας έχουμε κάνει αρκετά για να μπλοκάρουμε τους spam αποστολείς και συνεχώς προσπαθούμε να βελτιώνουμε τα φίλτρα μας, ώστε να μη περνάει ανεπιθύμητη αλληλογραφία, όσο το δυνατόν καλύτερα. Η διαδικασία ενός email (αποστολή-παραλαβή) ειναι σχετικά απλή. Ένα παράδειγμα: Ο Αντώνης με το email antonis@gmail.com θέλει να επικοινωνήσει με τη Σοφία που έχει το email sofia@stinpriza.org. ο Αντώνης γράφει το email στον υπολογιστή του, και όταν πατήσει “αποστολή”, αυτό επικοινωνεί με το email server του gmail που έχει το email του. το gmail ακολούθως επικοινωνεί με το email server του παραλήπτη που στη προκειμένη είναι ο email server της Πρίζας. Αυτός με τη σειρά του παραλαμβάνει το email και το παραδίδει στο γραμματοκιβώτιο της Σοφίας (mailbox). Η Σοφία μένει να πατήσει “παραλαβή” για να δει το μήνυμα στον υπολογιστή της. Στη διαδικασία αυτή παρεμβαίνουν πολλές φορές φίλτρα στους email server που δεν είναι πάντα εμφανή. Τα φίλτρα αυτά μπορεί να είναι έλεγχοι ταυτότητας (ότι υπάρχει το email του παραλήπτη στο server που παραδίδεται), έλεγχοι antivirus, και συνήθως αφορούν και antispam φίλτρα, αφού είναι ένα μόνιμο πρόβλημα για όλους τους διαχειριστές email. Τι από αυτά κάνουμε εμείς στη Πρίζα; Αναλυτικά:

Spamhaus RBL

Καταρχάς μπλοκάρονται όσες ip διευθύνσεις είναι δηλωμένες σε κάποιες αναγνωρισμένες λίστες με spammers παγκοσμίως τις οποίες έχουμε ενσωματώσει. Στην Πρίζα, χρησιμοποιούμε τη λίστα του spamhaus.org που είναι από τις πιο έγκυρες και με πολύ καλά ποσοστά μπλοκαρίσματος. ενδεικτικά χάρη στο spamhaus μπορούμε και γλυτώνουμε περίπου ~2000 spam μηνύματα καθημερινά που δεν φτάνουν ποτέ στους αποδέκτες, αφού μπλοκάρονται αρκετά πριν τη παράδοση του μηνύματος.

Recipient email check

Βασικός έλεγχος είναι και στο email του παραλήπτη. Αν πραγματικά υπάρχει. Ενδεικτικά, κόβονται 50-100 email ημερησίως που απευθύνονται σε μη υπαρκτά email.

Spamassassin Antispam

Στη Πρίζα χρησιμοποιούμε το spamassassin που αν και “βαρύ” πρόγραμμα, είναι απαραίτητο σε κάθε postmaster. το spamassassin έχει τη δυνατότητα να “εκπαιδεύεται” απο όσα email τοποθετούμε στο φάκελο spam που έχουμε στα γραμματοκιβώτια μας και έτσι να μην αφήνει spam του παρελθόντος που περάσαν, να ξαναπεράσουν. Αυτό είναι και το πιο δυνατό του σημείο, η εκπαίδευση των φίλτρων από τα ίδια τα email που λαμβάνουμε. επίσης εκεί μπορούμε και δηλώνουμε επαναλαμβανόμενους spammers σε μια δική του blacklist και έτσι να ξέρουμε ότι δε θα ξαναπεράσουν. επίσης το spamassassin είναι που αναγνωρίζοντας ένα email ως spam, αλλάζει το θέμα(subject) και προσθέτει ότι θέλουμε για να το δηλώσουμε στους χρήστες, π.χ.”*** SPAM ***”.

Clamav Antivirus

Οι πιο σπάνιες περιπτώσεις, μολυσμένα email με ιούς/malware. Στην Πρίζα, μπλοκάρουμε περίπου 3-4 τέτοια email τη βδομάδα με χρήση του Clamav Antivirus.

Greylisting

Η τεχνολογία του greylisting είναι αρκετά απλή. σε κάποιο email server που θα δούμε να επικοινωνεί για να παραδώσει σε μας ένα email, του απαντάμε ότι έχει γίνει greylisted και να ξαναεπικοινωνήσει μετά από 10′. οι περισσότεροι “κανονικοί” email servers, θα ξαναπροσπαθήσουν να παραδώσουν το μήνυμα (και να πάρουν απάντηση οκ για τη παραλαβή από εμάς) μέχρι και για αρκετές μέρες μετά την αποστολή του. Αντίθετα, πολλά spam bots, συνήθως δεν προσπαθούν να το ξαναστείλουν, απλά στέλνουν ασταμάτητα email, μία φορά το καθένα. έτσι με το παραπάνω απλό κόλπο, γλυτώνουμε περίπου 60-70 spam καθημερινά.

 

Προηγούμενες αναφορές στη σελίδα μας για spam :

Spam: 39 χρόνια ανεπιθύμητη αλληλογραφία

Κίνδυνοι των spam emails

 

Spam: 39 χρόνια ανεπιθύμητη αλληλογραφία

Monty Spam

τι είναι?

Τα δεχόμαστε καθημερινά. Email από αγνώστους, διαφημιστικά, απάτες. Το πρώτο spam email στάλθηκε πριν από 39 χρόνια, στο arpanet, τον προκάτοχο του internet. 393 ήταν οι αποδέκτες του μηνύματος που διαφήμιζε έναν ηλεκτρονικό υπολογιστή.

πως βγήκε το όνομα?

Η προέλευση της ονομασίας spam, είναι από το ομώνυμο σκετς των Monty Pythons, που δείχνει ένα καφέ του 1970 που όλο του το menu περιέχει κρέας σε κονσέρβα μάρκας Spam.

τι κάνουμε?

Να θυμίσουμε ότι δεν ανοίγουμε email από άγνωστους αποστολείς, ή από γνωστούς που το “Θέμα” τους είναι άσχετο με το τι θα έγραφε ένα κοντινό μας πρόσωπο.

Περισσότερα για τα ανεπιθύμητα email στο άρθρο: Κίνδυνοι των Spam Emails

πηγή: https://en.wikipedia.org/wiki/Spamming

Spam του facebook επιχειρεί να μολύνει υπολογιστές με το Locky ransomware

Facebook ransomware

Ένας νέος τύπος ιντερνετικής επίθεσης αποκαλύφθηκε πρόσφατα, ο οποίος μέσω του facebook messenger μολύνει το σύστημα με το Locky ransomware, ένα κακόβουλο malware που κρυπτογραφεί τα αρχεία του σκληρού δίσκου.

Οι επιτιθέμενοι εξαπλώνουν το ransomware στέλνοντας ένα αρχείο εικόνας με κατάληξη .SVG. Είναι πολύ πιθανό να έρθει στο inbox σας σαν μήνυμα με φωτογραφία από κάποια επαφή του λογαριασμού σας. Αν δείτε κάποιο τέτοιο μήνυμα, ΜΗΝ ανοίξετε το αρχείο.

Σε περίπτωση που το αρχείο ανοιχτεί, ο χρήστης οδηγείται σε ένα site και του ζητείται να κατεβάσει ένα extension για τον Chrome. Το συγκεκριμένο malware φαίνεται ότι χρησιμοποιείται σαν backdoor για να κατεβάσει περισσότερα malware στο σύστημα, με τις έρευνες ασφαλείας να δείχνουν ότι το Locky ransomware είναι η κύρια απειλή.

 

Αφαίρεση του extension

To extension έχει ένα από τα ονόματα Ubo και One και δεν έχει κάποιο χαρακτηριστικό icon, αλλά συνήθως έχει μια περιγραφή του τύπου:

One ecavu futolaz corabination timefu episu voloda
Ubo oziha jisuyes oyemedu kira nego mosetiv zuhum

Για να δούμε αν έχει εγκατασταθεί, από το μενού του Chrome πηγαίνουμε στο Menu → More Tools → Extensions και βλέπουμε αν είναι εγκατεστημένο.
Σε περίπτωση που έχει εγκατασταθεί, το διαγράφουμε. Σε περίπτωση που δεν έχουμε πρόσβαση στην καρτέλα των ρυθμίσεων του Chrome, προχωράμε σε απεγκατάσταση και επανεγκατάστασή του. Τέλος, για λόγους περαιτέρω ασφάλειας καλό είναι να αλλαχτεί ο κωδικός του facebook και να γίνει ένα full scan του συστήματος με κάποιο antivirus.

 

Κίνδυνοι των Spam Emails

Spam emails

Κίνδυνοι των spam emails

Τελευταία ακούμε πολλά για ιούς και malware, όπως το διαβόητο ransomware locky[1]. Αυτό που δεν είναι αρκετά σαφές, είναι το πως κολλάμε τέτοια καταστροφικά malware. Ο πιο κοινός τρόπος είναι μέσω spam email μηνυμάτων που περιέχουν μολυσμένα αρχεία. Συνήθως επικίνδυνα αρχεία είναι αρχεία του Microsoft Word (.doc, .docx), εκτελέσιμα αρχεία .exe, zippped αρχεία (.zip, .rar), μολυσμένα αρχεία εικόνων(.jpg, .gif), .js κ.α.

Γενικά αποφεύγετε να ανοίγετε τέτοια email αν δεν γνωρίζετε τον αποστολέα και καλύτερα να τα διαγράφετε αμέσως.

 

Μερικές μέθοδοι προστασίας

Ακόμα και αν ανοίξετε κατά λάθος αρχεία που δε γνωρίζετε τύπου Microsoft Office, κοιτάξτε τουλάχιστον να μην ενεργοποιήσετε τα macros αν σας ζητηθεί. Αυτό μπορεί να κάνει τη μεγάλύτερη ζημιά στον υπολογιστή σας. Για κάποιο λόγο υπάρχει ακόμα η δυνατότητα να εκτελεστούν μέσα στο Microsoft Word macros, ενώ οι εναλλακτικές-ελεύθερες σουίτες γραφείου δε το κάνουν και άρα σε αυτό το κομμάτι είναι αρκετά πιο ασφαλείς. Οπότε αν σας καλύπτει καποια άλλη σουίτα γραφείου, προτιμήστε την. (π.χ. LibreOffice).

Στην Πρίζα και στο μικρό mail server μας το τελευταίο καιρό, κόβουμε(=δε φτάνουν ποτέ στους χρήστες) από ~1500 έως ~4000 spam email ημερησίως (!!!), ενώ ένα μικρό ποσοστό που περνάει τα φίλτρα μας, καταλήγει στο Spam/Junk φάκελο. Αυτά περνάνε γιατί δεν είναι βεβαιωμένο 100% ότι πρόκειται για spam και δε θέλουμε να χάνονται email/δεδομένα που ίσως έχουν αξία για τους πελάτες. Συνήθως βέβαια όλα αυτά είναι spam email και ως τώρα δεν έχει βρεθεί κάποιο που πήγε κατά λάθος στο φάκελο Junk/Spam. Καλό είναι να καθαρίζετε το φάκελο Spam τακτικά, π.χ. ανά βδομάδα, για να μη μένει κάποιο πιθανότατα επικίνδυνο email εκεί, που μπορεί να ανοιχτεί κατά λάθος αργότερα.

Ένα ακόμα πιο μικρό ποσοστό μπορεί να φτάσει και στο Inbox/Εισερχόμενα. Όπως με όλα τα email αν δεν αναγνωρίζετε τον/ην αποστολέα, τότε καλύτερα να μην ανοιγετε το μηνυμα καθόλου και να μεταφέρετε το email αυτό στο φάκελο Spam απευθείας. Με αυτό το τρόπο εκπαιδεύονται και τα antispam φίλτρα της Πρίζας, και την επόμενη φορά, email που έχετε βάλει στο παρελθόν στον συγκεκριμένο φάκελο, θα ταξινομηθεί απευθείας σαν ανεπιθύμητο.

Ενδεικτικά κάποια antispam εργαλεία/τεχνολογίες που χρησιμοποιούμε στη Πρίζα : Greylisting, RBL lists (zen.spamhaus.org),  Spamassassin ,  Clamav Antivirus,  κ.α.

[1] http://www.eset.com/gr/about/press/articles/article/eset-warns-against-a-wave-of-infected-e-mails/