Bollettino di Sicurezza Informatica UniTrento

[Sicurezza IT UniTrento] Archivio news

Il bollettino di Sicurezza Informatica UniTrento è un servizio a sottoscrizione libera su cui vengono pubblicate le ultime notizie riguardanti la sicurezza (minacce, suggerimenti, avvisi, etc.)

Per l’iscrizione è necessario inviare una mail (senza subject né body) a bollettino-sicurezza-it+subscribe@unitn.it: si riceverà un messaggio automatico con la richiesta di conferma. Solo gli utenti UniTrento possono iscriversi. 

Settembre 2021

16.09.21 Campagna malware Lokibot in atto in ambito universitario

E' in atto una campagna di malware volto a sottrarre informazioni dai dispositivi attaccati e mirato alle Università. Di seguito il link del CERT-PA in cui viene descritto uno dei casi da loro intercettati: https://cert-agid.gov.it/news/campagna-malware-lokibot-in-atto-in-ambit…

Si prega di prestare la dovuta attenzione a messaggi di questo tipo e più in generale ai messaggi non attesi.

Novembre 2020

30.10.20 Tentativi di diffusione malware attraverso i servizi Google

Il CSIRT nazionale comunica un forte incremento di attacchi basati sull'utilizzo improprio dei servizi Google (Google Forms, Google Docs, Google Sites, Firebase).

Nell'articolo Campagne di phishing sfruttano servizi Google vengono descritte, con degli esempi, alcune modalità utilizzate per le attività malevole.

Settembre 2020

28.09.20 Tentativi di diffusione malware

CSIRT Italia (Computer Security Incident Response Team) segnala che sono in atto alcune campagne di mail che si presentano come ENEL, Agenzia delle entrate, Organizzazione Mondiale della Sanità (OMS) o a nome di corrieri e spedizionieri, con link ed allegati che contengono malware.

Di seguito i bollettini:

Si ricorda che l'attenzione dell'utente nell'aprire allegati e link è il sistema migliore per evitare incidenti di sicurezza. Anche se i messaggi provengono da soggetti a noi noti, è comunque bene adottare alcune piccole accortezze. Ad esempio: 

  • non aprire mai allegati con estensioni "strane" (ad esempio, allegati con estensione “.exe” sono a rischio, perché potrebbero installare applicazioni di qualche tipo nel dispositivo); 
  • non scaricare software da siti sospetti (ad esempio, quelli che offrono gratuitamente prodotti che invece di solito sono a pagamento); 
  • scaricare preferibilmente app e programmi da market ufficiali, i cui gestori effettuano controlli sui prodotti e dove è eventualmente possibile leggere i commenti di altri utenti che contengono avvisi sui potenziali rischi;
  • se si usa un pc, si può passare la freccia del mouse su eventuali link o banner pubblicitari ricevuti via e-mail o presenti su siti web senza aprirli (così, in basso nella finestra del browser, si può vedere l’anteprima del link da aprire e verificare se corrisponde al link che si vede scritto nel messaggio: in caso non corrispondano, c’è ovviamente un rischio).

E’ inoltre utile:

  • installare su tutti i dispositivi un antivirus e mantenerlo aggiornato;
  • mantenere costantemente aggiornati il sistema operativo oltre che i software e le app che vengono utilizzati più spesso;
  • utilizzare dei sistemi di backup che salvino (anche in maniera automatica) una copia dei dati (sono disponibili soluzioni anche libere e gratuite per tutti i sistemi operativi). Con un corretto backup, in caso di necessità, si potranno così ripristinare i dati contenuti nel dispositivo, quantomeno fino all'ultimo salvataggio.

18.09.20 Nuovo malware, sconosciuto agli antivirus

Si segnala che è in corso un nuovo malware che si diffonde tramite messaggi di posta elettronica, non ancora intercettato dai sistemi antivirus; in particolare il virus è in allegato con estensione gz di un messaggio proveniente da falsi account di amici, corrieri postali, datori di lavoro, clienti, etc.

https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/09/17/attenzione-nuovo-malware-sconosciuto-antivirus-che-ruba-dati-foto-dal-pc

https://cert-agid.gov.it/news/astesla-analisi-di-un-nuovo-malware-parente-di-agenttesla/

Si raccomanda di prestare molta attenzione in particolare ai messaggi con allegati e in caso di dubbio si invita ad inviare una segnalazione al servizio CERT UniTrento 

 

Giugno 2020

19.06.20 Attenzione! Phishing in corso

Si segnala un attacco phishing in corso che ha avuto tra i destinatari anche utenti dell'Ateneo.

Utilizzando delle caselle di posta elettronica certificata precedentemente compromesse, viene inviato un messaggio in perfetto italiano con oggetto: "Tribunale di Napoli Notificazione ai sensi del D.L. 179/{numeri casuali}" in cui si avverte la vittima di un fantomatico "Contenzioso Civile".

Attacco phishing

Il link punta ad un sito compromesso dove la vittima è invitata a scaricare un allegato che contiene codice malevolo.

Aprendo il file, sul computer della vittima vengono eseguiti dei comandi (VB script) usati per carpire le credenziali memorizzate in alcuni client di posta (Thunderbird ed Outlook) e in alcuni browser (Chrome, Internet Explorer e FireFox). Inoltre il computer della vittima apre una connessione verso un server esterno inviando le password trovate e rimanendo in ascolto per eventuali altri comandi da eseguire sul PC infetto.

Si raccomanda di prestare molta attenzione a messaggi provenienti da sconosciuti ed in caso di dubbio si invita ad inviare una segnalazione al servizio CERT UniTrento 

18.06.20 Aggiornamento di sicurezza per Google Chrome

Google ha rilasciato una nuova versione del browser Chrome con la quale risolve 4 vulnerabilita' di sicurezza. L'attuale versione del browser presenta delle vulnerabilità che potrebbero permettere ad un eventuale attaccanti di eseguire codice arbitrario sul computer della vittima. Si consiglia quindi di aggiornare Chrome all'ultima versione

04.06.20 Campagna di phishing rivolta agli utenti UniTrento

Si informa di una campagna di phishing che ha preso di mira gli utenti del nostro Ateneo. Nei giorni scorsi a molti utenti è arrivata una mail che invitava a clickare su un link per confermare la propria identità; il messaggio era scritto in un italiano non perfetto ma che, ad una lettura veloce, poteva trarre in inganno.
Il link portava su una pagina costruita ad arte per ingannare gli utenti UniTrento; il sito era evidentemente un sito esterno ma il nome conteneva la parola "unitn" ed il lucchetto nella barra degli indirizzi risultava chiuso e di un rassicurante verde.
In casi come questo lo scopo degli attaccanti è quello di ottenere le password degli utenti per poter poi utilizzarle in vario modo: possono leggere le mail alla ricerca di messaggi contenenti dati importanti (numeri di carta di credito, disposizioni di pagamenti, messaggi che contengono altre password, altre informazioni critiche), possono inviare mail a nome della vittima (sono frequenti i casi in cui vengono inviate mail dando specifiche disposizioni di pagamento ai collaboratori della vittima), possono accedere a tutti i documenti sul drive alla ricerca di informazioni utili, possono utilizzare l'identità della vittima per portare altri attacchi (ad esempio campagne di SPAM).

Si ricorda alcune buone pratiche:

  1. IL BUON SENSO PRIMA DI TUTTO Dati, codici di accesso e password personali non dovrebbero mai essere comunicati a sconosciuti. E’ bene ricordare che l'Ateneo ma in generale banche, enti pubblici, aziende non richiedono informazioni personali attraverso e-mail, sms, social media o chat. Se si ricevono messaggi sospetti, è bene non cliccare sui link in essi contenuti e non aprire eventuali allegati, che potrebbero contenere virus o programmi capaci di prendere il controllo di pc e smartphone. Una piccola accortezza consigliata è quella di posizionare sempre il puntatore del mouse sui link prima di cliccare: in molti casi si potrà così leggere in basso a sinistra nel browser il vero nome del sito cui si verrà indirizzati. Verificare il lucchetto chiuso nella barra degli indirizzi.
  2. ATTENZIONE AGLI INDIZI I messaggi di phishing sono progettati per ingannare e spesso utilizzano imitazioni realistiche dei loghi o addirittura copie perfette delle pagine web ufficiali. Tuttavia, capita spesso che contengano anche grossolani errori grammaticali, di formattazione o di traduzione da altre lingue. E’ utile anche prestare attenzione al mittente della mail e al suo indirizzo di posta elettronica (che spesso appare un'evidente imitazione di quelli reali). Inoltre meglio diffidare dei messaggi con toni intimidatori, che ad esempio contengono minacce di chiusura dell'account o dell'accesso a determinati servizi se non si risponde immediatamente: possono essere subdole strategie per spingere il destinatario a fornire informazioni personali. E' importante verificare le URL a cui rimandano i link contenuti nella mail: spesso puntano a siti con dei nomi che assomigliano ai nomi ufficiali, a volte vengono utilizzati caratteri simili tra loro: un1tn.it, UNlTN.IT (con la "l" elle minuscola al posto della "I" maiuscola) oppure nomi che potrebbero essere quelli reali se uno non li conosce (ad esempio: uni.tn.it)
  3. PROTEGGERSI MEGLIO E’ utile installare e tenere aggiornato sul pc o sullo smartphone (anche quelli personali usati da casa) un programma antivirus che protegga anche dal phishing. Meglio non memorizzare dati personali e codici di accesso nei browser utilizzati per navigare online. In ogni caso, è buona prassi impostare password alfanumeriche complesse, cambiandole spesso e diverse per ogni servizio utilizzato: le credenziali unitn, la password per la banca online, altre e-mail, social network, ecc., utilizzando dove possibile sistemi a doppio fattore.
Aprile 2020

29.04.20 Campagna di phishing in corso

E' in corso una campagna di phishing volta ad appropriarsi delle credenziali e di altri tipi di dati delle vittime.
Lo segnala il CERT-PA in una sua notizia di ieri.
La campagna funziona in questo modo: attraverso delle mail con oggetto "il tuo ordine xyz e stato completato", viene inviato un file excel che contiene del codice malevolo. Le mail sono scritte in italiano (con qualche errore ma, ad una lettura veloce, possono sembrare scritte in un buon italiano) e fanno riferimento ad un fantomatico ordine allegando una fattura. Se l'utente apre l'allegato viene scaricato un programma che, di nascosto, raccoglie vari tipi di dati (credenziali, numeri di carte di credito, mail, siti web visitati, eccetera) che vengono poi inviati agli attaccanti.

CampagnaPhisingEsempio
Esempio email di phishing

Si ricordiamo alcune buone regole di comportamento:

  • verificate la correttezza della forma: se la mail non è scritta in italiano corretto, può trattarsi di phishing;
  • controllate l'intestazione: se punta a un generico “cliente” e non contiene il nome o il cognome dell’utente, siete di fronte a una mail sospetta;
  • se contiene dei link controllateli passandoci sopra il mouse: NON cliccate se rimandano a URL inusuali e sconosciuti;
  • se avete dubbi, ad esempio non eravate in attesa di quell'allegato, NON scaricate il file e contattate il vostro servizio utenti;

21.04.20 Aggiornamento browser Chrome

Google ha rilasciato un aggiornamento di sicurezza per il browser Chrome (per Windows, macOS e Linux).

L'aggiornamento risolve una vulnerabilità critica che potrebbe consentire ad un utente malintenzionato di utilizzare il computer della vittima a sua insaputa, con il rischio che l'attaccante possa accedere ai dati (documenti, password, messaggi di posta, eccetera) memorizzati sul computer (o nei vari spazi di archiviazione che si possono raggiungere da quel computer) oltreché utilizzare il computer per portare attacchi ad altri obiettivi.

Si raccomanda di verificare gli aggiornamenti del browser chrome ed eventualmente provvedere ad aggiornarlo al più presto (link alle istruzioni per aggiornare chrome)
 

15.04.20 Aggiornamento windows

Il CERT del GARR segnala che Microsoft ha rilasciato degli aggiornamenti di sicurezza per i propri sistemi operativi che risolvono alcune vulnerabilità (tra cui alcune critiche).

https://www.cert.garr.it/it/alert/security-alerts/listid-1/mailid-2172-alert-gcsa-20030-microsoft-security-update-aprile-2020  

 

08.04.20 Aggiornamento browser Chrome e Firefox 

Il CERT Nazionale comunica importanti aggiornamenti per i browser Chrome e Firefox che risolvono diverse vulnerabilità tra cui alcune gravi. Invitiamo chi utilizza questi browser ad aggiornarli al più presto.

Di seguito vi indico i riferimenti alle notizie del CERT Nazionale:

https://www.certnazionale.it/news/2020/04/08/google-risolve-diverse-vulnerabilita-in-chrome-81/ 

Si segnala inoltre che sul sito della polizia postale vengono riportate due campagne rivolte a truffare gli utenti dell'INPS e i clienti di Coop Italia.

https://www.commissariatodips.it/notizie/articolo/falsa-campagna-di-smishing-in-danno-dellinps/index.html 

https://www.commissariatodips.it/notizie/articolo/falsi-buoni-spesa-gratuiti-dei-supermercati-coop-italia-stanno-circolando-sul-web/index.html 
 

07.04.20 Aggiornamento di sicurezza per Android

Google ha rilasciato l'aggiornamento di sicurezza di aprile che risolve svariate vulnerabilità nel sistema operativo Android. L'aggiornamento, suddiviso in due livelli di patch progressivi, risolve un totale di 55 vulnerabilità in diversi componenti di sistema, di cui 13 critiche e altre 39 di gravità elevata. Per installare gli aggiornamenti andare su impostazioni -> Aggiornamenti Software -> Scarica e Installa
Link alla notizia
 

06.04.20 Aggiornamento Mozilla Firefox

il CERT GARR ha annunciato che Mozilla ha rilasciato un aggiornamento del browser Firefox che risolve alcune vulnerabilità di livello critico tramite le quali l'attaccante può usare il computer e i programmi della vittima a sua insaputa. Queste vulnerabilità risultano già in corso di sfruttamento in rete.
Chi utilizza il browser Firefox è invitato ad aggiornarlo al più presto.
https://www.cert.garr.it/it/alert/security-alerts/listid-1/mailid-2168-alert-gcsa-20026-aggiornamento-di-sicurezza-per-mozilla-firefox
 

02.04.20 Vulnerabilità in Zoom per Windows

Segnaliamo una vulnerabilità nel client Zoom installato su Windows tramite la quale è possibile ottenere le credenziali dell'utente. Zoom ha da poco rilasciato un aggiornamento: invitiamo tutti coloro che utilizzano il prodotto ad aggiornarlo (quando viene aperto il client, in alto nella finestra compare il pulsante "update" [o "aggiorna"]). La vulnerabilità è descritta dal CERT nazionale al link: https://www.certnazionale.it/news/2020/04/01/vulnerabilita-nel-client-zoom-per-windows-consente-il-furto-di-credenziali/
 

02.04.20 Aggiornamento Google Chrome

Come riportato anche dal CERT nazionale (vedi: https://www.certnazionale.it/news/2020/04/02/aggiornamento-di-sicurezza-per-google-chrome-31-marzo-2020/), Google ha rilasciato un aggiornamento di sicurezza per la versione 80 del suo browser Chrome per Windows, macOS e Linux. L'aggiornamento include 8 fix di sicurezza che risolvono diverse vulnerabilità di cui tre di gravità elevata. Si raccomanda di aggiornare Google Chrome.
Marzo 2020

30.03.20 phishing con falsi SMS di istituti di credito

La polizia postale mette in guardia su una massiva campagna di phishing via SMS (smishing) provenienti da presunti servizi clienti di istituti bancari che contengono link a pagine all'apparenza identiche a quelle della banca ma che in realtà sono state costruite ad arte per rubare le credenziali e i dati bancari degli utenti. Link alla notizia .
 

26.03.20 Aggiornamenti di sicurezza per prodotti Apple

Apple ha rilasciato aggiornamenti di sicurezza che risolvono diverse vulnerabilità in macOS, iOS, iPadOS, tvOS, watchOS, Safari, iTunes e iCloud per Windows, Xcode. Tutte le informazioni si possono trovare qui: https://www.certnazionale.it/news/2020/03/26/aggiornamenti-di-sicurezza-per-prodotti-apple-24-marzo-2020/ Si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione da Apple il più presto possibile.
 
25.03.20 Smart working: il vademecum per lavorare online in sicurezza
Si segnala questo vademecum preparato dall' AGID:
Vademecum Smartworking
Vademecum per lavorare online in sicurezza

Maggiori Informazioni
 
25.03.20 Alert GCSA-20023 - Vulnerabilita' in Microsoft Windows
La vulnerabilità è considerata critica perchè permette all'attaccante di eseguire codice arbitrario ed esistono già dei tool per poterla sfruttare. Non esistono ancora patch, si consiglia a tutti di applicare il workaraund descritto da microsoft al seguente link: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200006#ID0EUGAC

25.03.20 Aggiornamenti di sicurezza Apple
Apple ha rilasciato delle patch di sicurezza relativamente a delle vulnerabilità che se sfruttate da un attaccante malevolo potrebbero avere conseguenze critiche. Invitiamo pertanto tutti coloro che avessero dispositivi con i software o i sistemi operativi elencati a provvedere ad aggiornarli.

24.03.20 Nuova campagna malspam via PEC

CERT-PA segnala una nuova una campagna di malspam che ha coinvolto caselle PEC italiane. La mail ha come oggetto il nome del destinatario seguito dalla dicitura “Invio documento cliente” e da un codice fiscale o partita iva. Al suo interno è allegato un file compresso (ZIP) contenente un falso PDF e un file VBS.

Di seguito i file contenuti nella mail:

  • DOC-[codice].zip
  • DOC-[codice].pdf
  • DOC-[codice].vbs

dove [codice] è il codice fiscale o la partita iva che viene utilizzato anche nell’oggetto. Invitiamo a NON aprire gli allegati!

Maggiori informazioni 

24.03.20 Aumento dei tentativi di truffa informatica
La polizia postale ha rilevato un aumento dei tentativi di truffa informatica legati all'attuale emergenza sanitaria. Tra i vari avvisi segnaliamo questo che descrive brevemente le buone pratiche che ci possono aiutare
TRUFFE..FAKENEWS...FALSE DONAZIONI...CORONAVIRUS...I NOSTRI CONSIGLI