IT-Säkerhetsinformation

Nytt phishing-mail som dök upp i helgen. Lägger som vanligt in en kopia av mailet, så alla vet vilket mail vi pratar om.
Adressen correoweb@qatar.io är spärrad för utgående mail i vår Exchange-server.

==========================================================================
Från: WEBMAIL ADMINISTRATOR <info@webmail.se<mailto:info@webmail.se>>
Datum: 12 februari 2011 15.19.15 CET
Ämne: Uppgradera din webbmail konto nu
Svara till: ”correoweb@qatar.io<mailto:correoweb@qatar.io>” <correoweb@qatar.io<mailto:correoweb@qatar.io>>

Bäste Post Ägare,

Detta meddelande är från webmail messaging center för alla webb-mailkonto
ägare. Vi håller på att uppgradera vår databas och e-postkonton
centrum. Vi är upphörande av alla oanvända e-postkonton för att skapa
utrymme för nya konton.

För att förhindra att ditt konto från sägs upp, måste du uppdatera den
genom att tillhandahålla den begärda informationen nedan:

Bekräfta din e-identitet NU

E-post Användarnamn: ……………
E-post Lösenord: ……………

Varning! Ett konto ägare som vägrar att uppdatera hans eller hennes konto
inom sju dagar efter mottagandet av denna varning kommer att förlora hans
eller hennes kont opermanent.

Varning Kod: VX2G99AAJ

Tack,
Webmail Administrator.

Vill bara göra er uppmärksamma på något som hamnade i min inbox idag från något som kallar sig för ”World Company Directory”. Scammet består av att du ska fylla i och skicka tillbaka den bifogade PDF-filen. Då kommer företaget sedan att debitera dig en rejäl summa pengar för en tjänst, som du inte alls inser att du vare sig behöver eller har beställt.  Så svara inte på mailet eller skicka inte in blanketten.

Ett phishing mail som ser ut att komma från Stockholms universitet.
Klipper som vanligt in en kopia av mailet.

===================================================

Från:     Stockholms universitet <webmaster@su.se>
Ämne:     Konto Uppdatera
Datum:     31 januari 2011 10.57.27 CET Vi har uppgraderat vår server för att nya säkrade 2011 version.This är att aktivera ditt webbmail konto ta ett nytt utseende med nya funktioner och skyddar mot spam e-mails.You är att kräva att uppgradera ditt konto till 2011 version genom att klicka här för att aktivera förväg funktioner

Webmaster
Copyright © 2011 Stockholms universitet alla rättigheter reserverade

—————————————————————-
This message was sent using IMP, the Internet Messaging Program.

Idag dök det upp ett phishing-mail på norska. Bifogar en kopia av texten.
Jag har fått det via en lista som jag är med på hos SU, men jag är säkert inte ensam om detta på UmU, så jag misstänker att fler fått det i sin inkorg.
================================================

Från: Mail Administrator
Ämne: Attn: Virus Alert-oppdatere kontoen

Kjære konto bruker,

En DGTFX virus har blitt oppdaget i mappene dine. Din e-postkonto har til
å bli oppgradert til vårt nye Secured DGTFX anti-virus 2011 versjon til
hindre skader på vår webmail logge og viktige files.We er slette alle
ubrukte Webmail kontoer. Du må bekrefte webmail-konto ved å bekrefte din
identitet Webmail. Dette vil forhindre Webmail-kontoen din fra å være
lukket under denne øvelsen.

For å bekrefte at du Web-Mail identitet, er du til å gi følgende data;

Fornavn:
Etternavn:
Brukernavn / ID:
Passord:
Skriv inn passordet:
E-postadresse:

* Viktig *
Vennligst oppgi alle disse opplysninger fullstendig og korrekt ellers på
grunn av sikkerhetsmessige årsaker må vi kanskje stenge din konto
midlertidig.

Direktør for Webmail Teknisk Team. Merk at passordet vil bli kryptert med
1024-bit RSA nøkler for passord sikkerhet.

Takk for samarbeidet.
Webmail IT Service.

Ett phishing-mail med titeln: ”Email Update” som hänvisar till en webb-sida har dykt upp. Denna gång är det en webbsida som lurendrejarna vill att vi ska surfa till och ange vårt användarnamn och lösenord.

Jag klipper in en kopia av mailet nedan, så att det inte råder någon tvekan om vilket mail som avses.

============================================

Från: Support Team <ericadf@k-state.edu>

Ämne: Email Update

Datum: 11 januari 2011 18.38.46 CET

—- Webmail Technical Services—–

Account Subscriber,
Due to excess abandoned webmail accounts, We are currently performing
maintenance on our Digital webmail Server to improve the spam filter
services in our webmail systems for better online services to avoid virus
and spam mails. In order to ensure you do not experience service
Interruption, respond to this email and verify your email Account to avoid
deletion http://www.seureupdate.com/online/verify.htm

Checkout new features and enhancements with our newly improved and secured
webmail.
—-Copyright © 1997-2010 Webmail Technical Services!. All rights
reserved—–

Intressant artikel om hur man kan manipulera SAM på Windows för att lägga in dolda admin-users.

http://www.exploitdevelopment.com/vulnerabilities/2010-M$-001.html

[ bugtraq ]

Har man fått in ett root kit på en maskin så är alltid det säkraste sättet att bli av med det, att installera om datorn helt och hållet.

http://www.proftpd.org

De som har installerat proftpd sedan 28:e november bör kolla
att de inte fått in en bakdörrad version.

Nytt exempel på phishingbrev som dykt upp!
Sidan som URL:en pekar på är rapporterad och man får en varning då man surfar till den via FireFox. Vi jobbar på att få bort den helt från nätet.
__________________________________________________

Date: 2010-11-17 17.35 +0000
From: Umeå universitet webbmailtjänst <securemail@umu.se>
To:
Subject: Du har 1 viktigt postavisering!

Du har 1 viktigt postavisering!

Vi rekommenderar starkt att du bцr uppdatera ditt konto och lцsa
problemet.

http://webmail.umu.se/src/login.php

Underlеtenhet att gцra detta kommer att leda till att ditt konto har
blivit avstдngt eller avaktiveras.

Tack fцr ditt samarbete.

Med vдnlig hдlsning

Umeе universitet webbmailtjдnst
__________________________________________________
Webmail, Umeе universitet

Ett nytt säkerhetshål har hittats i Adobe Reader. Adobe har släppt en patch igår, så uppdatera era klienter till version 9.4.1 omgående.

[ IDG ] [ Adobe ]

De är aktiva idag – nätfiskarna. Även denna variant dök upp! Som vanligt har detta inget alls med UmU att göra, utan är bara ett försök att lura till sig användare och lösenord. Jag klipper om vanligt in en kopia av mailet, så att man kan se vad det handlar om.

Subject: Kontrollera din Umeå e-postadress
—
Kära UMEA webbmejlkonto USER

Vi håller på att uppgradera vår databas och alla UMEA webbmejlkonto måste verifieras. För att slutföra din kontoaktivering med oss, är du skyldig att svara på detta meddelande och ange korrekt information som krävs från dig.

Fyll i ditt användarnamn och lösenord i rutan (********) Du är skyldig att svara på detta e-post inom de närmaste 48 timmarna.

Underlåtenhet att komma tillbaka till oss, kommer din webbmail konto avaktiveras från vår databas.

Fullständiga namn; ********
Födelsedatum, ********
Användarnamn ;********
Lösenord ;********
Skriv lösenordet igen ;********

Du kan också bekräfta din e-postadress genom att logga in på ditt Webmail konto på http://webmail.umu.se/src/login.php

Tack för att du UMEA WebMail

http://webmail.umu.se/src/login.php
UMEA Support Team
19X45HANJ4453VXTM334M
07-11-2010