IT-Säkerhetsinformation

Ännu ett phishingmail där man vill lura mottagaren att uppge sina inloggningsuppgifter:

———————

Från: systemadministratör <cbarra@edutec.cl>
Datum: 21 oktober 2013 09:50:15 CEST
Ämne: sista varning
Din brevlåda har överskridit lagring gräns på 2.GB
Beslutad av administratören är närvarande 2.30GB, kan inte
skicka eller ta emot nya meddelanden förrän du återaktiverar din e-post

Klicka på länken nedan för att bekräfta din e-post

http://e-posttjanstuppgradera01.webs.com/

tack
systemadministratör
———————-

Klickar man på länken får man upp följande webbsida:

Klipper in ett phising-mail som kommit till många. Webbsidan som de hänvisar till är redan raderad.

Adobe har börjat skicka ut mail till sina användare med uppmaning om att byta lösenord. Detta mail är (tyvärr) helt korrekt och en legitim begäran. Adobe har råkat ut för en rejäl hacker-attack där lösenord stulits och man uppmanar därför sina användare  till att byta dessa.

Det jag läser ur mailet är att Adobe har nollställt lösenordet och att man därför måste lägga in ett nytt.

En uppmaning: Jag skulle inte hålla det för otroligt att det finns illasinnade personer som kan tänka sig att utnyttja denna situation och skicka ut falska mail. Dubbelkolla alltid URL:en sådana här gånger, så att man vet att man verkligen hamnar hos Adobe!

Har du fått ett sådant här uppmaning, så ska du byta ditt lösenord hos Adobe!

Läs mer om hacket hos Adobe:
[ IDG ]  [ Byt lösenord ]  [ Adobes blogg ]  [ Mailet på flera olika språk ]

===================================================================

Från: Adobe Customer Care [mailto:email@mail.adobesystems.com]
Skickat: den 9 oktober 2013 08:14
Ämne: Important Password Reset Information

Ett till phishing-mejl som vill att man ska surfa till webb-sidan, som jag har klippt in nedan.

==================================================================================
Skickat: den 9 oktober 2013 00:54
Ämne: Brådskande

Din brevlåda har överskridit det lagringsutrymme som bestämts av administratören, och du kommer inte att kunna ta emot nya meddelanden förrän du återaktiverar den. Att validera ->klicka här

Jag själv tycker att det är extra obehagligt med phishing-mejl eller spam som indikerar något personlig. I detta fall att jag fått ett mail som jag borde ha svarat på.
Denna bilaga innehåller instruktioner om hur man ska komma i kontakt med spammarna.

=============================================================================

Det har gått ut ett phishing-mejl där man förfalskat avsändaren, så att mejlet ser ut att komma från oss på IRT.
URL:en hänvisar till en sida som ser ut som vår gamla inloggning till vår webmail.

Det är bara att kasta mailet i papperskorgen, så gör precis tvärtom mot vad det står i mailet:
DO IGNORE THIS!

=====================================================
From: ”ITS Helpdesk” <abuse@umu.se>
Subject: Do not ignore this message

Attention,

An Attempt has been made to login from a new computer. For security purposes, we are poised to open a query. Kindly verify your login details from the secured page below:

http://www.rits.rgibhopal.com/images/owa/OutlookWebAccess.htm

Do not ignore this message.

ITS Helpdesk

Ibland får jag kommentarer som att: ”Varför spärrar ni inte bara alla phishing-sajter – hur svårt kan det va’?”
Men det är inte så enkelt…

• Jag tycker att det primära är inte att bara förhindra de som sitter på UmU att nå en phishing-sajt. Jag vill att källan till det onda ska bort, så att inte de som t.ex. sitter hemma och jobbar via en annan ISP ska drabbas de heller.
• Det handlar ofta om gratistjänser på webben där flera olika IP-nummer är involverade och man skulle därför vara tvungen att blockera en hel tjänsteleverantörs utbud.
• Spärrar vi en hel tjänsteleverantörs alla servrar, så blockerar vi även för andra webbsidor som ligger hos samma leverantör. Och en leverantör erbjuder ofta både gratis-tjänster och premium-tjänster som kunderna betalar för.
• Det är ett administrativt stort jobb att hålla reda på sådana här spärrar – hur länge ska spärrarna vara kvar? Tills vi är säkra på att alla läst och raderat sina phishing-mejl med länken (vilket är omöjligt) eller till webbsidan är helt borta (vilket kanske är aldrig)?
• Vi kommer aldrig att kunna spärra alla falska sidor – vi kan bara åtgärda dem vi får vetskap om och som vi med all säkerhet vet är phishing-sajter.

Däremot så gör vi allt vi kan för att stoppa dessa sidor i källan: Kontaktar i första hand webmaster, men får man ingen respons där, så kan man gå vidare upp i kedjan Enklast är de etablerade gratistjänsterna eftersom de har en support att kontakta. Svårast är övergivna icke uppdaterade webb-sidorna där ägarens epost-adress kanske inte ens fungerar.

Det viktiga är att du är medveten om phishing-problemet och vet att det finns falska sidor därute som man helst inte bör besöka men i varje fall definitivt inte ska mata in några som helst uppgifter på.

Man försöker få det att se ut som om det är en UmU-sajt genom att sätta namnet till ”umese.jimdo.com”. För övrigt så ser det ut som vilket dåligt översatt phishing-mejl som helst. Sajten är rapporterad och jag hoppas den försvinner så fort deras support vaknar.

=================================================================================
Sent: 30 September 2013 09:03
Subject: Slutlig Varning

Brevlåda har överskridit en eller flera storleksbegränsningar av
administratörerna.

Nuvarande E Storlek är 78.944 KB.
Gränser för E Storlek: 64.800 KB

Detta är en varning om att e-postkonto har använts upp till 70.000 KB
kommer du inte att kunna skicka eller ta emot ny e-post förrän du ökar din
e storleken.

att öka er e storleken klicka på länken nedan och fyll i nödvändiga
uppgifter.

http://umese.jimdo.com/

Webmaster service.

UmU är en öppen organisation är många av våra epost-adresser är exponerade mot omvärlden. Våra mail-adresser finns inte alltid enbart på våra egna sidor utan kan även finnas i samband med konferenser, kurser etc. Dessutom har många av våra epost-adresser varit i bruk länge. Spammarna har under åren scannat webb:en och samlat på sig stora mängder epost-adresser. Dessa säljs sedan vidare till andra spammare. Förutom de insamlade korrekta adresserna så fabricerar man också egna adresser och hoppas på turen. Det kostar ju inget att försöka skicka ett mail och returen kommer ändå tillbaka till det hackade epost-kontot som spammarna använt sig av.

Numera är det vanligt att man ibland döljer epost-adressen  på en webb-sida genom att göra om själva epost-länken till en bild. Å andra sidan så gör det också att länken inte är klickbar och att användaren själv måste skriva in den i sitt epost-program, vilket ger felkällan felstavade epost-adresser, så det ger andra nackdelar istället. Jag kan nog själv uppskatta att det ”bara” är att klicka på en mailto-länk, så öppnas den direkt i epost-programmet.

Du är alltså inte personligt utvald att få en mass spam. Däremot så har din epost-adress hamnat i någons samling av möjliga spam-mottagare. Eller så råkar du bara ha en epost-adress som spammarna gissat sig till.

Om du lämnar ut ditt användarnamn och lösenord till en phishing-sajt så sätter de igång att använda din webmail samma dag, men frågan är om du kan bli av med ännu mer info? Ja, självklart är det så. Det är ditt CAS-lösenord som du loggar in med på din mail, så har spammarna dessa uppgifter i sin hand i klartext, så kan de på precis samma sätt som dig logga in på alla andra tjänster där dessa inloggningsuppgifter används. CAS-kontot är bland den viktigaste nyckeln du har och den måste skyddas oerhört noga. Det ska aldrig, aldrig, aldrig lämnas ut via mail eller anges på en okänd webb-plats.