Search the Community

E' stata individuata ormai da qualche giorno una vulnerabilità relativa al browser web Firefox 2.0. Il problema individuato espone gli utenti a possibili attacchi di Phishing. Recentemente è stato individuato un attacco rivolto agli utenti di MySpace e in tale circostanza si era cercato di appropriarsi delle credenziali di accesso per utilizzare i servizi del portale.Il componente incriminato è il "gestore password" e ulteriore problema di Firefox è il fatto che i dati da inserire nei vari form online registrati dall'utente vengono inviati dal browser senza alcun controllo sull'indirizzo di destinazione. Mozilla Foundation ha confermato il problema e ha realizzato un'apposita pagina web dove è possibile verificare se il proprio browser espone a questa minaccia o meno. La vulnerabilità verrà risolta con ogni probabilità nelle release Firefox 2.0.0.1. TheInquirer.net segnala però che anche la più recente release di Internet Explorer 7 espone gli utenti ai medesimi problemi. Ulteriori dettagli sono disponibili qui. Fonte:Hwupgrade

Fino ad oggi, per chi usufruiva di una connessione Adsl, i dialer erano un pericolo inoffensivo. Grazie ad un decreto (Dm Comunicazioni 145/2006 - GU n. 84 del 10.4.2006) che forse entrerà in vigore a breve (aprile) non lo sarà più. Un comunicato stampa dell'Anuit (Associazione Nazionale Utenti Italiani Di Telecomunicazioni), ci porta a conoscenza che nel Decreto sui servizi a sovrapprezzo è stata inserita la possibilità per i gestori di far pagare agli utenti ADSL la navigazione su alcuni siti (oroscopi, numeri del lotto, servizi porno ed altri); servizi denominati VAS (servizi a valore aggiunto). I nuovi dialer sfrutteranno il riconoscimento dell’ip (i modem Adsl non compongono numeri di telefono), da li si risalirà all'utente finale ed infine il costo verrà addebitato sulla bolletta; infatti l'articolo 16 comma 4 riporta: "Gli operatori titolari della numerazione predispongono ed aggiornano un database pubblico, consultabile anche sul loro sito web, contenente le seguenti informazioni: generalità del centro servizi e del/dei fornitori di informazioni o prestazioni, tipologia del servizio a sovrapprezzo offerto e numeri associati o indirizzi IP per l'accesso al servizio stesso". Questi servizi devono essere forniti in modo trasparente, le chiamate a sovrapprezzo con “dialer” devono essere effettuate in modo che quest’ultimo non si configuri in automatico ogni volta che ci si connette alla rete, né che generi, in modo incontrollabile dal cliente, connessioni ripetute alla numerazione su cui viene erogato il servizio a sovrapprezzo. Inoltre dovrà essere fornito un codice PIN personale per controllare i consumi e di poter dotare la linea di un blocco selettivo delle chiamate gratuito. Nonostante queste rassicurazioni finali gli utenti connessi con Adsl, che sono sempre più, si dicono preoccupati per l'apertura di una nuova era di dialer incontrollabile, nutrono ugualmente preoccupazione per una nuova era di dialer incontrollabile. Fonte: PCfacile

Ancora un tentativo di phishing ai danni di Poste Italiane ed i suoi clienti, confermandolo di fatto l'obiettivo italiano preso maggiormente di mira nel 2006 da parte dei phisher. L'e-mail dall'italiano perfetto, ossia non frutto di software di traduzione automatica come avvenuto nella maggior parte dei tentativi di phishing in Italia, cerca di spaventare la malcapitata vittima informandola che in seguito ad una serie di controlli sui dati anagrafici forniti al momento della sottoscrizione dei servizi offerti da Poste Italiane è stata riscontrata un'incongruenza. Che oltre a rappresentare una violazione del contratto stipulato, è punibile ai sensi del codice penale, pertanto la vittima è pregata di riaggiornare i propri dati attraverso due modalità : recandosi presso l'ufficio postale dove ha stipulato il contratto e direttamente on-line realizzato appositamente dal phisher. La possibilità di utilizzare due metodi se da un lato fornisce veridicità alla comunicazione, dall'altra può ritorcersi contro il truffatore stesso, ed ecco che compare nell'e-mail la seguente dicitura evidenziata in rosso: "L'aggiornamento dei dati OnLine ha gli stessi effetti dell'aggiornamento tramite ufficio postale.Per cui, effettuando l'aggiornamento dei dati OnLine NON sarà necessario recarsi successivamente in un ufficio postale." Cliccando sul link proposto l'utente è trasportato in un clone del sito poste.it, ospitato in un server americano e tranquillamente riconosciuto come truffa dai sistemi anti-phishing di Firefox e Internet Explorer. Fonte: Anti-Phishing Italia Anti-Phishing Italia: Il portale contro le truffe on-line Valerio