IT-Säkerhetsinformation

Ett nytt försök till phishing dök upp i morse. Se exemplet nedan.

Från: Umeå universitet <webmasster@umu.se<mailto:webmasster@umu.se>> Datum: 20 augusti 2010 03:41:54 CEST Ämne: Meddelande Svara till: ”webmasster@umu.se<mailto:webmasster@umu.se>” <webmasster@umu.se<mailto:webmasster@umu.se>> [http://webmail.umu.se/images/umu_logo.png] Bäste webbpost Användare, På grund av trängseln i alla Umeå universitet! Användare mailkonton, Umeå universitet! Skulle stänga någon ordning webmail account.In att undvika inaktivering av ditt mailkonto måste du bekräfta att hålla din e-post aktiva genom att klicka eller coppy den säker länk nedan i din browser.The personlig begärda informationen är för säkerheten för ditt konto. Lämna alla begärda uppgifter. securelogin:http/umus.se<http://www.123contactform.com/contact-form-UMU2010-88008.html> http://www.123contactform.com/contact-form-UMU2010-88008.html Webmaster Copyright © 2010 Umeå universitet

Jag har de senaste dagarna fått ett flertal frågor varför användaren fått mail med innehållet:

Det gick inte att leverera meddelandet till följande personer eller
distributionslistor

När man tittar på mailets innehåll, så ser man att det avsändande IP-numret inte kommer från UmU eller någon svensk leverantör. Det är alltså någon illvillig spammare som använt epost-adresser tillhörande UmU som avsändaradresser till sina spam. Tyvärr kan man sätta godtycklig avsändare på epost.

När mottagaren sedan inte finns, så kommer returen och felmeddelandet tillbaka till den intet anande innehavaren av epost-adressen. Detta är med dagens system i princip omöjligt att stoppa.

Det är inte alltid phishing-mail som är riktade mot UmU-användare som dyker upp i mailboxen. Här är ett exempel på att vi på UmU kan få phishing-mail som är riktade mot andra universitet. Lätt att luras om man kanske har kopplingar mot andra universitet och högskolor, som Karlstad i detta fall.

Kopia av mailet:

Från: Karlstads universitet [mailto:admin@kau.se]
Skickat: den 19 juli 2010 05:53
Ämne: Bäste kau.se konto användare

Bäste kau.se konto användare,

Detta e-postmeddelande från (kau.se) helpdesk och vi sänder den till alla
av (kau.se) användarkonton för säkerhet / underhåll från spam mails.we har
haft flaskhalsar på grund av anonym registrering av (kau.se) svarar så vi
stänga vissa (kau.se) räkenskaper och kontot var bland de som skall som
måste åter aktualiserats på grund av detta villkor.

Vi skickar detta mail så att du kan kontrollera och för att för säkerhet
och underhåll av ditt konto. Om du fortfarande är intresserad bekräfta
ditt konto genom att fylla Användarnamn utrymme below.Your, lösenord,
födelsedatum och ditt land information skulle behövas för att bekräfta
ditt konto.

* Användarnamn: (……………..) (Obligatorisk)
* Lösenord: (………………… …..)( Obligatorisk)
* Födelsedatum: (……………………..) (tillval)
* land eller område: (………………) (tillval)

Innan du skickar din kontoinformation till oss, är du råd att logga in den
här länken nedan: https: / / mail.kau.se /

Observera att om ditt konto Logga skickar oss information om det annars
betyder det redan har tagits bort. Ledsen för det besvär som detta kan få
dig vi bara försöker se till att du bläddra bra med våra räkenskaper.

Allt du behöver göra är att klicka Svara och lämna den information som
ovan, ditt konto kommer inte att avbrytas och kommer att fortsätta som
vanligt. Tack för er uppmärksamhet på detta request.Once igen Vi ber om
ursäkt för eventuella olägenheter.

* * * VARNING * * *

Konto användare som vägrar att uppdatera hans eller heraccount efter 7
dagar från mottagandet av denna varning kommer att förlora hans eller
hennes konto permanent.

Obehörig åtkomst till denna dator är i strid med Annotated koden,
straffrätt artikel § § 8-606 och 7-302 och datorn bedrägeri och missbruk,
18 USC § § 1030 ff. Detta kontor kan övervaka användningen av sina
datorresurser som tillåts i statlig och federal lag, inklusive elektronisk
brevhemlighet, 18 USC § § 2510-2521 och Md Annotated koden, domstolar och
rättsliga förfaranden artikel, avsnitt 10, Växla 4. Alla som använder
detta system medger att alla använder är föremål för (kau.se) Politik för
godtagbar användning av informationsteknologi De resurser som finns på
https: / / mail.kau.se

© Webmaster Enhet (Karlstads universitet) (kau.se)

Patchen fixar ett säkerhetshål som upptäcktes för cirka två veckor sedan. Problemet drabbar samtliga versioner av Windows.

Säkerhetshålet bygger på en bugg i Windows som gör det möjligt att utnyttja så kallade genvägar för att köra skadlig kod. En hackare kan skapa en genväg på skrivbordet i Windows hos en användare och sedan länka genvägen till ett skadligt program.
Dessutom gör buggen det möjligt att enkelt sprida skadlig kod mellan datorer via usb-minnen och minneskort. En användare behöver endast ansluta ett smittat usb-minne eller minneskort för att drabbas.

Enligt Microsoft kommer uppdateringen att finnas tillgänglig i Windows uppdateringsfunktion cirka 19.00 svensk tid. Samtliga användare uppmanas uppdatera sina datorer så snart uppdateringen finns tillgänglig.

Användare av Windows 2000 och Windows XP SP2 kommer inte att kunna ta del av säkerhetsuppdateringen då Microsoft inte längre ger support på dessa plattformar. Använder du någon av dessa versioner kan du istället hämta ett gratisverktyg som säkerhetsföretaget Sophos släppte i förra veckan.

Ett spam med en bifogad virussmittad fil damp ner i min brevlåda idag. Avsändaren ser ut att vara Umeå universitet, men som vanligt stämmer inte detta. Så här ser det smittade spam-mailet ut och den bifogade filen som innehåller en trojan heter setup.zip.

PS. Ironport upptäcker att det här mailet innehåller virus och har stoppat det för vidare befordran till våra användare. Då det ser ut som att UmU är avsändare, tycker jag dock ändå att en varning är på plats, då jag inte vet vilka andra vägar man har försökt att prångla ut sitt virus på.

Subject: McAfee VirusScan Plus Date: Wed, 28 Jul 2010 15:43:03 +0900 To: abuse@umu.se From: ”umu.se Member Services” <support@umu.se>

Download a FREE 30-day Trial of MCAfee VirusScan Plus and Be Automaticaly Entered to Win

Installation file attached

Download setup.zip
application/zip 128.6k

Det går ut på att få användaren att lämna ut information om sig själv!

Man får en inbjudan till www.meetyourmessenger.se, där man uppmanas att registrera sig.

Se mer info på: http://sakerhet.idg.se/2.1070/1.87603

Ett nytt phishingmail dök upp idag. Jag hoppas att våra användare är lika misstänksamma och uppmärksamma som vanligt och inte går på denna bluff, trots att solen skiner ute och semester nalkas för många av oss.

Mailet ser ut som nedan.

Kontakta stödcentrum om det finns eventuella frågor ankn 6300.

Från: umu.se Web Admin [info@umu.se]
Skickat: den 24 juni 2010 12:13
Ämne: Brådskande Varning meddelande!

En DGTFX virus har upptäckts i dina mappar.
Ditt e-postkonto måste uppgraderas till vår
nya Säker DGTFX anti-virus 2010 version för
att förhindra skador på vår webmail logga
och dina viktiga filer.

Klicka på ditt svar knappen Fyll i formuläret
nedan och skicka tillbaka eller ditt e-postkonto
kommer att upphöra omedelbart för att förhindra
spridning av viruset.

Username/Användarnamn:
Password/Lösenord:
Phone Number/Telefonnummer:
Date Of Birth/Födelsedatum:

cas.umu.se Web-admin ledningsgrupp.

Observera att ditt lösenord kommer att krypteras
med 1024-bitars

Detta verkar phishing-mail dök upp idag. Det är dock mer allmänt hållet och inte specifikt riktat just mot UmU.s användare.

Från: System Administrator [mailto:helpdesk@domain.com]
Skickat: den 11 juni 2010 20:16
Ämne: Varning Kod: XXBGU00321WBM

Helpdesk Program som kontrollerar regelbundet storleken på din e-post utrymme
skicka dig denna information. Programmet körs varje vecka för att
säkerställa din
inkorg växer inte alltför stor, vilket hindrar dig från att ta emot eller
skicka nya e-post.
Eftersom detta skickas, du har 18 megabyte (MB) eller mer lagras i
inkorgen. För att hjälpa oss återställa ditt utrymme i vår databas, ange din
nuvarande användarnamn (_________________) lösenord
(______________)

Du kommer att få en regelbunden registrering om din inkorg storlek är
mellan 18 och 20 MB.
Om din inkorg storlek är 20 MB, ett program på din Webmail kommer att
flytta din
äldsta e-post till en mapp i din hemkatalog så att du kan fortsätta att få
inkommande e-post. Du kommer att meddelas om detta har ägt rum.

Om din inkorg växer till 25 MB, kan du inte ta emot nya e-post och det
kommer att skickas tillbaka till avsändaren. Allt detta är programmerad
att se din e-post
fortsätter att fungera väl.

Tack för ditt samarbete.
Help Desk

Detta dök precis upp i min brevlåda. Fredag kväll är en typisk tid för spammare och phishing-folk att skicka en massa mail. Undrar varför? Kanske för att de vet att folk sitter hemma och jobbar och är mer benägna att klicka på länkar eftersom det inte finns någon kollega i närheten att fråga om korrektheten? Hela förfarandet är mycket utstuderat.

Uppdatering kl 19.06: Sajten http://linkage.4-all.org som samlade in användarnamn och lösenord är numera stängd.

Från: visisud.bp <visisud.bp@t-com.me<mailto:visisud.bp@t-com.me>>
Datum: 28 maj 2010 17.32.56 CEST
—
Hej!

Postldan har verskridit lagringsgrnsen som r 20 GB som bestms av din
administratr, du r fr nrvarande krs p 20.9GB kanske du inte kan skicka
eller ta emot ny e-post frrn du p nytt bekrfta din brevlda.

Fr att ter bekrfta din brevlda klicka p lnken nedan:

http://linkage.4-all.org

Om lnken ovan inte fungerar kan du kopiera och klistra in lnken nedan till
din webblsarfnster

http://linkage.4-all.org

Tack.
(c) System Administrator
(Copyright (c) 2010, All rights reserved)

Detta är återigen bara lögn och bedrägeri! Men de blir bara mer och mer kreativa.

Från: support@umu.se [mailto:helpdaek3@earthlink.net] Skickat: den 25 maj 2010 16:56 Ämne: Att förhindra spam Din e-postkonto måste förbättras, med vår nya F-Secure ® HTK4S anti-virus/anti-spam 2010-version. Fyll i kolumnerna nedan eller ditt konto tillfälligt undantagna från våra tjänster. E-postadress: Lösenord: Tel: * Observera att lösenordet är krypterat med 1024-bitars RSA-nycklar för ökad säkerhet.