IT-Säkerhetsinformation

Det dök upp ett till phishing-mail till idag som hänvisar till en URL. Kopierar in mailet nedan. Här nämns dock inte UmU, utan detta verkar vara ett generellt phishing-mail.

Sajten är borta från internet!

Ämne: Underhåll Observera Alert!!!
Datum: Wed, 1 Sep 2010 14:47:44 +0200
Från: Samuel W Harnish Jr <sharnishjr@ivytech.edu>
Till: admin@database.se <admin@database.se>

System Administrator på för närvarande med att förbättra säkerheten för
alla Webmail Användare som vi regelbundet se över vissa konton som är
känsliga för Obehörig Access. Vi har märkt några ovanliga ogiltiga
inloggningsförsök i din Webmail konto. Därför ditt konto har varit
begränsade och kan uppleva oförmåga att skicka och ta emot nya meddelanden.

För att ta bort denna begränsning och initiera ditt konto uppdateringen,
klicka på länken nedan och fyll i formuläret.

http://accountupdate.coconia.net/

Klicka på länken ovan (eller kopiera och klistra in URL-adressen i din
webbläsare) för att fylla i formuläret.
Localhost

Det har kommit en ny variant på phishing-meddelandet som vill att vi lämnar ut användarnamn och lösenord via ett webb-formulär.
Webb-formuläret är numera borttaget från internet.

Phishing-människorna brukar ha en otrolig förmåga att hitta nya vägar, nya tjänster och nya IP-nummer. Tjänsten http://www.123contactform.com har dock använts rätt flitigt den senaste tiden. De som ansvarar för tjänsten är snabba på att stänga av illvilliga sajterna om man klagar hos dem, men det är illa nog att det ens går att lägga upp anonyma kontaktformulär på detta vis.

Ny varningstext i mail som kommer utifrån

För att mana våra användare till försiktighet har vi vidtagit följande åtgärd.

De mail som kommer utifrån och som innehåller texten http://www.123contactform.com kommer att förses med en varningstext:

Lämna aldrig ut personlig information som lösenord via webbformulär! Never enter personal information like passwords in webbforms! Kopia av phishing-mailet

________________________________
From: Umeå universitet [mailto:vc@umu.se]
Sent: den 1 september 2010 04:41
Subject: Slutlig Meddelande

[http://webmail.umu.se/images/umu_logo.png]
Avstängning av din Webmail konto.

Vänligen notera att vi nyligen gjorde en del underhåll på vår databas för att förhindra phishing e-post till ditt konto ..
Under underhåll var en ovanlig svarar koden från ditt e-postkonto begär för avaktivering. Klicka på säker inloggning länken nedan för att verifiera att avaktivera eller behålla ditt e-postkonto aktiverad.Text personlig information som efterfrågas är för säkerheten för ditt konto. Lämna alla begärda uppgifter.
http://www.123contactform.com/contact-form-umuse-90747.html
Klicka här
<http://www.123contactform.com/contact-form-umuse-90747.html>säker inloggning:
<http://www.123contactform.com/contact-form-umuse-90747.html>e aktivering / avaktivering / umu.se
<http://www.123contactform.com/contact-form-umuse-90747.html>
© 2010 Umeå universitet

Nytt phishing-mail till UmU:s användare. Klipper som vanligt in en kopia på det otäckta försöket att sno våra lösenord.

Kontaktformuläret som man hänvisar till, är borttaget från sajten.

Bäste Webmail användare

Din webbmailkonto kommer att tas bort inom 24 timmar på grund av överbelastning i Umeå universitet webbmailkonto användarkonto. Men om du vill fortsätta att använda ditt konto webbmail. måste du bekräfta att en nuvarande användningen konto kontakta oss med en säker länken nedan. Den personliga begärda informationen är för säkerheten för ditt konto. Lämna all information

http://www.123contactform.com/contact-form-whertonj-90600.html

http/secure/login/umu.se<http://www.123contactform.com/contact-form-whertonj-90600.html>

Varning! Underlåtenhet att uppdatera korrekt inom 24 timmar efter mottagandet av denna varning kommer att förlora din e permanent.
Tack

Rektor

© 2010 Umeå universitet

Ett nytt försök till phishing dök upp i morse. Se exemplet nedan.

Från: Umeå universitet <webmasster@umu.se<mailto:webmasster@umu.se>> Datum: 20 augusti 2010 03:41:54 CEST Ämne: Meddelande Svara till: ”webmasster@umu.se<mailto:webmasster@umu.se>” <webmasster@umu.se<mailto:webmasster@umu.se>> [http://webmail.umu.se/images/umu_logo.png] Bäste webbpost Användare, På grund av trängseln i alla Umeå universitet! Användare mailkonton, Umeå universitet! Skulle stänga någon ordning webmail account.In att undvika inaktivering av ditt mailkonto måste du bekräfta att hålla din e-post aktiva genom att klicka eller coppy den säker länk nedan i din browser.The personlig begärda informationen är för säkerheten för ditt konto. Lämna alla begärda uppgifter. securelogin:http/umus.se<http://www.123contactform.com/contact-form-UMU2010-88008.html> http://www.123contactform.com/contact-form-UMU2010-88008.html Webmaster Copyright © 2010 Umeå universitet

Jag har de senaste dagarna fått ett flertal frågor varför användaren fått mail med innehållet:

Det gick inte att leverera meddelandet till följande personer eller
distributionslistor

När man tittar på mailets innehåll, så ser man att det avsändande IP-numret inte kommer från UmU eller någon svensk leverantör. Det är alltså någon illvillig spammare som använt epost-adresser tillhörande UmU som avsändaradresser till sina spam. Tyvärr kan man sätta godtycklig avsändare på epost.

När mottagaren sedan inte finns, så kommer returen och felmeddelandet tillbaka till den intet anande innehavaren av epost-adressen. Detta är med dagens system i princip omöjligt att stoppa.

Det är inte alltid phishing-mail som är riktade mot UmU-användare som dyker upp i mailboxen. Här är ett exempel på att vi på UmU kan få phishing-mail som är riktade mot andra universitet. Lätt att luras om man kanske har kopplingar mot andra universitet och högskolor, som Karlstad i detta fall.

Kopia av mailet:

Från: Karlstads universitet [mailto:admin@kau.se]
Skickat: den 19 juli 2010 05:53
Ämne: Bäste kau.se konto användare

Bäste kau.se konto användare,

Detta e-postmeddelande från (kau.se) helpdesk och vi sänder den till alla
av (kau.se) användarkonton för säkerhet / underhåll från spam mails.we har
haft flaskhalsar på grund av anonym registrering av (kau.se) svarar så vi
stänga vissa (kau.se) räkenskaper och kontot var bland de som skall som
måste åter aktualiserats på grund av detta villkor.

Vi skickar detta mail så att du kan kontrollera och för att för säkerhet
och underhåll av ditt konto. Om du fortfarande är intresserad bekräfta
ditt konto genom att fylla Användarnamn utrymme below.Your, lösenord,
födelsedatum och ditt land information skulle behövas för att bekräfta
ditt konto.

* Användarnamn: (……………..) (Obligatorisk)
* Lösenord: (………………… …..)( Obligatorisk)
* Födelsedatum: (……………………..) (tillval)
* land eller område: (………………) (tillval)

Innan du skickar din kontoinformation till oss, är du råd att logga in den
här länken nedan: https: / / mail.kau.se /

Observera att om ditt konto Logga skickar oss information om det annars
betyder det redan har tagits bort. Ledsen för det besvär som detta kan få
dig vi bara försöker se till att du bläddra bra med våra räkenskaper.

Allt du behöver göra är att klicka Svara och lämna den information som
ovan, ditt konto kommer inte att avbrytas och kommer att fortsätta som
vanligt. Tack för er uppmärksamhet på detta request.Once igen Vi ber om
ursäkt för eventuella olägenheter.

* * * VARNING * * *

Konto användare som vägrar att uppdatera hans eller heraccount efter 7
dagar från mottagandet av denna varning kommer att förlora hans eller
hennes konto permanent.

Obehörig åtkomst till denna dator är i strid med Annotated koden,
straffrätt artikel § § 8-606 och 7-302 och datorn bedrägeri och missbruk,
18 USC § § 1030 ff. Detta kontor kan övervaka användningen av sina
datorresurser som tillåts i statlig och federal lag, inklusive elektronisk
brevhemlighet, 18 USC § § 2510-2521 och Md Annotated koden, domstolar och
rättsliga förfaranden artikel, avsnitt 10, Växla 4. Alla som använder
detta system medger att alla använder är föremål för (kau.se) Politik för
godtagbar användning av informationsteknologi De resurser som finns på
https: / / mail.kau.se

© Webmaster Enhet (Karlstads universitet) (kau.se)

Patchen fixar ett säkerhetshål som upptäcktes för cirka två veckor sedan. Problemet drabbar samtliga versioner av Windows.

Säkerhetshålet bygger på en bugg i Windows som gör det möjligt att utnyttja så kallade genvägar för att köra skadlig kod. En hackare kan skapa en genväg på skrivbordet i Windows hos en användare och sedan länka genvägen till ett skadligt program.
Dessutom gör buggen det möjligt att enkelt sprida skadlig kod mellan datorer via usb-minnen och minneskort. En användare behöver endast ansluta ett smittat usb-minne eller minneskort för att drabbas.

Enligt Microsoft kommer uppdateringen att finnas tillgänglig i Windows uppdateringsfunktion cirka 19.00 svensk tid. Samtliga användare uppmanas uppdatera sina datorer så snart uppdateringen finns tillgänglig.

Användare av Windows 2000 och Windows XP SP2 kommer inte att kunna ta del av säkerhetsuppdateringen då Microsoft inte längre ger support på dessa plattformar. Använder du någon av dessa versioner kan du istället hämta ett gratisverktyg som säkerhetsföretaget Sophos släppte i förra veckan.

Ett spam med en bifogad virussmittad fil damp ner i min brevlåda idag. Avsändaren ser ut att vara Umeå universitet, men som vanligt stämmer inte detta. Så här ser det smittade spam-mailet ut och den bifogade filen som innehåller en trojan heter setup.zip.

PS. Ironport upptäcker att det här mailet innehåller virus och har stoppat det för vidare befordran till våra användare. Då det ser ut som att UmU är avsändare, tycker jag dock ändå att en varning är på plats, då jag inte vet vilka andra vägar man har försökt att prångla ut sitt virus på.

Subject: McAfee VirusScan Plus Date: Wed, 28 Jul 2010 15:43:03 +0900 To: abuse@umu.se From: ”umu.se Member Services” <support@umu.se>

Download a FREE 30-day Trial of MCAfee VirusScan Plus and Be Automaticaly Entered to Win

Installation file attached

Download setup.zip
application/zip 128.6k

Det går ut på att få användaren att lämna ut information om sig själv!

Man får en inbjudan till www.meetyourmessenger.se, där man uppmanas att registrera sig.

Se mer info på: http://sakerhet.idg.se/2.1070/1.87603

Ett nytt phishingmail dök upp idag. Jag hoppas att våra användare är lika misstänksamma och uppmärksamma som vanligt och inte går på denna bluff, trots att solen skiner ute och semester nalkas för många av oss.

Mailet ser ut som nedan.

Kontakta stödcentrum om det finns eventuella frågor ankn 6300.

Från: umu.se Web Admin [info@umu.se]
Skickat: den 24 juni 2010 12:13
Ämne: Brådskande Varning meddelande!

En DGTFX virus har upptäckts i dina mappar.
Ditt e-postkonto måste uppgraderas till vår
nya Säker DGTFX anti-virus 2010 version för
att förhindra skador på vår webmail logga
och dina viktiga filer.

Klicka på ditt svar knappen Fyll i formuläret
nedan och skicka tillbaka eller ditt e-postkonto
kommer att upphöra omedelbart för att förhindra
spridning av viruset.

Username/Användarnamn:
Password/Lösenord:
Phone Number/Telefonnummer:
Date Of Birth/Födelsedatum:

cas.umu.se Web-admin ledningsgrupp.

Observera att ditt lösenord kommer att krypteras
med 1024-bitars