Link alla notizia: http://www.hwupgrade.it/news/sicurezza/22426.html

Una nuova insidia si nasconde in oltre 300 siti web del tutto estranei all'iniziativa: tramite codice malevolo e l'utilizzo di un trojan appositamente sviluppato sono stati violati alcuni account

Click sul link per visualizzare la notizia.

E anche in questo caso bisogna ringraziare NoScript.
Chi lo usa almeno... ;)

...per strada, rischi che ti rapinino, ti sequestrino, i mettano sotto....

...se navighi, rischi che usino la tua identità, ti rapinino con i metodi di pagamento elettronici...

CHe bisogna fare?
Forse stava meglio il protagonista del film Cast Away con Tom Hanks

Una nuova insidia si nasconde in oltre 300 siti web del tutto estranei all'iniziativa

Speriamo che non siano arrivati anche qui su hwupgrade:sperem:
:D :D :D :D

E anche in questo caso bisogna ringraziare NoScript.
Chi lo usa almeno... ;)

versione 1.1.6.21;)

noscript? mah...qua serve qualcosa di "importante" tra la sedia e il monitor....

noscript? mah...qua serve qualcosa di "importante" tra la sedia e il monitor....

la tastiera e il mouse? :sofico:

Per sicurezza ho ripulito la cache e i biscottini (cookie), in questo modo l'unico modo di risalire al mio account ebay sarebbe un login con keylogger installato...

Questo è il prezzo che si paga con la diffusione dell' informatica a chiunque.

...per strada, rischi che ti rapinino, ti sequestrino, i mettano sotto....

...se navighi, rischi che usino la tua identità, ti rapinino con i metodi di pagamento elettronici...

CHe bisogna fare?
Forse stava meglio il protagonista del film Cast Away con Tom Hanks
pensa che a me nelle schermate di caricamente passano gli omini che mi vogliono pulire il monitor!

pensa che a me nelle schermate di caricamente passano gli omini che mi vogliono pulire il monitor!

Quindi non sei di Firenze...:D

oltre a no script, usate qualche altro addons di firefox per la sicurezza?

Scusate, ma che cosa intendete *esattamente* con Noscript? Ho fatto una ricerca e ho visto che è un plug-in per Firefox.

il mio IE 7 è impostato (personalizzazione) come segue:

Chedi conferma:
* Consenti accesso agli appunti a livello di codice.
* Esegui script attivo
* Esecuzione script delle Applet Java

Disattiva:
* Consenti aggiornamenti della barra di stato tramite Script
* Consenti ai siti web di richiedere informazioni mediante finestre...

C'è da qualche parte un'indicazione sicura per IE 7? (già così come l'ho impostato navigo con difficoltà, disattivando tutto la navigazione diventa praticamente impossibile)

C'è da qualche parte un'indicazione sicura per IE 7? (già così come l'ho impostato navigo con difficoltà, disattivando tutto la navigazione diventa praticamente impossibile)

passa a firefox e installa noscript, non navigherai con difficoltà;)

Mah, mi piacerebbe sapere perché passando a Fiorefox dovrei navigare meglio: forse FireFox sa distinguere tra script buoni e script cattivi?

passa a firefox e installa noscript, non navigherai con difficoltà;)

Non mi dite che IE7 non ha una funzione tipo NOSCRIPT !!! :muro: :muro: :muro:

Mah, mi piacerebbe sapere perché passando a Fiorefox dovrei navigare meglio: forse FireFox sa distinguere tra script buoni e script cattivi?

Noscript ti blocca tutti gli script, ma con due click di muose puoi sbloccare il/i sito/i, che non ti sembrano sospetti in modo da attivare gli script e navigare normalmente

Non mi dite che IE7 non ha una funzione tipo NOSCRIPT !!! :muro: :muro: :muro:

mai detto!:rolleyes:

A me un paio di settimane fà è arrivato un avviso di eBay che diceva che si erano accorti di un probabile accesso al mipo account, però non potevano dirmi come (leggendo così ho pensato subbito ad una truffa).
Poi però ho controllato bene il mittente, ho visto che era indirizzata al mio nome e cognome (non al nick o ad un generico "ebay user"), quindi per sicurezza ho cambiato la password (naturalmente senza cliccare in nessun link sull'email ma digitando a mano l'indirizzo).

Scusate, ma queste cose accadono seguendo i link di mail false?
Non basta controllare per benino il mittente, e vedere se l'indirizzo è attendibile o meno?
Di fronte a mail sospette è la prima cosa che faccio!
Poi mi chiedevo se linux è immune da queste cose o c'è comunque la possiiblità di venire "attaccato".
Bye

A me un paio di settimane fà è arrivato un avviso di eBay che diceva che si erano accorti di un probabile accesso al mipo account, però non potevano dirmi come (leggendo così ho pensato subbito ad una truffa).
Poi però ho controllato bene il mittente, ho visto che era indirizzata al mio nome e cognome (non al nick o ad un generico "ebay user"), quindi per sicurezza ho cambiato la password (naturalmente senza cliccare in nessun link sull'email ma digitando a mano l'indirizzo).

Anche a me è successo, se cliccavi sul link, sicuramente, ti mandava ad una pagina dove ti chiedevano i dati e.....puf!! addio account:cry:
Invece io l'ho cestinato subito, tanto anche su ebay ti dicono che non ti arriveranno e-mail che ti chiedono i dati;)

Scusate, ma queste cose accadono seguendo i link di mail false?
Non basta controllare per benino il mittente, e vedere se l'indirizzo è attendibile o meno?
Di fronte a mail sospette è la prima cosa che faccio!
Poi mi chiedevo se linux è immune da queste cose o c'è comunque la possiiblità di venire "attaccato".
Bye

In questo caso non centra niente il sistema operativo, conta solo chi lo sta usando...

beh a me hanno fregato l'account ebay..e vi giuro che non ho la più pallida idea di come sia stato (probabilmente navigando..) ed usavo (ora non uso più windows) firefox con noscript, ma diventa limitativo, succede che scappi qualcosa
..so solo che è stato un cinese..per fortuna che era un account del cavolo ed ho cancellato direttamente l'account..pensate che avevo"comprato" dei pupazzi..

ECCOMIIII ECCOMIIII
E' successo a me questo bel gran casino.

Non mi chiedete come e perche. Fatto sta' che mi sono trovato da un giorno all'altro a mia insaputa oltre 400MILAEURO di acquisti fatti con il mio account

Ho sollecitato un immediato intervento di ebay (dopo aver camiato pass)che ha provveduto dopo i relativi controlli a cancellarmi gli acquisti...peccato pero' che nei giorni successivi mi si sono accumulati altri 150MILAEURO di aste aggiudicate a mio nome.
Io nel frattempo sono partito per le ferie.....i venditori hanno iniziato a solleciare i pagamenti...e casini che mi ci vuole un ora per scrivere tutto quello che ne e' conseguito.

Allo stato attuale mi trovo l'account sospeso da circa un mese. E due denuncie(fatte da me) alla Postale verso ignoti e a ebay.
Il comportamento di ebay in questa situazione e' stato ASSOLUTAMENTE VERGOGNOSO. Sono in attesa di riavere il mio accounto per procedere con la cancellazzione.
Non voglio mai piu' sentir parlare di ebay. Non sono resposabili per quello che mi e' successo ma per come hanno gestito la questione.

mai detto!:rolleyes:

...e allora come si attiva in IE7 la funzione tipo noscript ? :)

1100000110100000
:)

ma x curiosità: cosa cavolo ha comprato questo x 400,000€??????

Guglielmit, ma tu avevi 400mila euro su PostePay? Beato te: io appena supero 300 euro provvedo subito a spenderli in dissolutezze...

ma come si fa a cancellare l'account??

ma leggete bene...Non è stato fatto un acquisto di 400.000€ ma l'ammontare degli acquisti è di 400.000€.

Super Sandro...no comment...


Piuttosto è mai possibile che non sia possibile rendersi conto dell'infezione?


ci mancava solo questa

Guglielmit, ma tu avevi 400mila euro su PostePay? Beato te: io appena supero 300 euro provvedo subito a spenderli in dissolutezze...

non si possono avere 400mila euro su postepay -.-

Il limite è molto ma molto meno , se non proprio nell ordine dei 1000-5000euro

ma allora c'e' un modo per non cadere nel tranello oppure anche chi ha il sitema super aggiornato può caderci inconsapelvolmente? nel senso questi falsi siti web arrivano tramite mail oppure li puoi trovare tranquillamente su ebay nei negozi cercando qualcosa?

...Super Sandro...no comment...

... non si possono avere 400mila euro su postepay -.- Il limite è molto ma molto meno , se non proprio nell ordine dei 1000-5000euro.


Ma è mai possibile che ogni volta che uno fa una battuta bisogna precisarlo?

non si possono avere 400mila euro su postepay -.- Il limite è molto ma molto meno , se non proprio nell ordine dei 1000-5000euro

Ma è mai possibile che ogni volta che uno fa una battuta bisogna precisarlo?

Comunque, eBay, prima di autorizzare l'invio di merce ordinata, non dovrebbe verificare se (almeno con PayPal) la procedura di pagamento è andata a buon fine? Se non c'è credito - o se la carta di credito risulta scoperta - la procedura dovrebbe interrompersi.

Non è così?

non si possono avere 400mila euro su postepay -.-

Il limite è molto ma molto meno , se non proprio nell ordine dei 1000-5000euro

Forse mi sono spiegato male.
Con il mio account hanno fatto acquisti,si sono aggiudicati aste acquistando di tutto...a macchia di leopardo. Cellulari...auto...computer...gioielleria e quant'altro...
Ha fine asta la gente ha iniziato a sollecitare i pagamenti...e tutto il casino che ne consegue.
Non auguro a nessuno un esperienza del genere...mi son fatto tanto di quel mal di stomaco!!!
Come gia' detto,sono in attesa che il mio account venga riattivato per cancellarmi da ebay .

io direi che il modo più sicuro è adottare password alfanumeriche relativamente lunghe ... non roba del tipo "sesso" "pluto" "hounlungoattrezzo" etc etc

oppure usare linux...

si certo, fammi un fischio quando faranno programmi professionali che vanno su Linux
oltretutto se questi ti vogliono entrare nel pc lo possono fare pure se hai Linux, se uno ci sa fare entra ovunque

quali sono quetsi siti? ed è vulnerabile chi non usa IE ?

Mamma mia, ma che c'entrano i programmi Professionali con Linux, Windows, IE7 E FF...

La notizia è quantomeno "generica" , sul link fornito invece viene spiegato più in dettaglio cosa e come fanno.
Quello che colpisce e che hanno usato ,combinato ed organizzato diverse tecniche, cambiandole anche "in corsa".

Tutto parte dalla solita rete di PC Zombie, infettano frame di siti conosciuti, che una volta visistati dai malcapitati utenti eseguono una serie di script che a loro volta aprono una serie di pagine pensate appositamente per sfruttare diversi bug (e, tra i tanti parecchi sono basati sui conosciuti bug di IE) inoltre scaricano anche del codice malevolo che appunto usa tecniche di brute-force per trovare quest password. In pratica non sfruttano UN BUG..ma una serie di bug per raggiungere lo scopo, e la cosa che lascia da pensare è che più che il singolo utente possano essere mirate ad aziende, che in genere hanno PC meno aggiornati in termini di patch di sicurezza/ tool di sicurezza.

Come è lecito immaginare una parte delle tecniche usate non funzioneranno su Linux, ne tantomeno su FFox (magari con noscript attivato e funzionante, certo è che se uno attiva il permesso per lo script...si è bruciato con le proprie mani), ma non è da escludere che alcune tecniche possano funzionare anche li.
Immagino che tra le tante cose ci siano anche keylogger, quindi va bene cancellare i cookie ma fino ad un certo punto.

Spero di aver fatto cosa gradita riassumendo e traducendo l'articolo.

Bha.... forse sarò l'unico (ma non credo), io per la massima sicurezza tengo sempre la scheda vuota e la carico solo quando serve.... ok sarà un gran rottura andare ogni volta alle poste ma.... io preferisco così.. poi fate vobis

no script serve proprio per non far funzionare gli script nascosti nei siti web, ed è una protezione altissima perche non ha bisnogno di aggiornamenti in quanto blocca lo script , sia benevolo o malevolo, di qualsiasi tipo.

oltre a no script, usate qualche altro addons di firefox per la sicurezza?

io oltre a noscript uso anche adblock e adblock filterset updater

poi uso ie-tab per poter aprire col motore di explorer le pagine che funzionano male con firefox

inoltre uso fasterfox per velocizzare il caricamento delle pagine

se uno ci sa fare entra ovunque
vedi rocco :sisi:

Spero di aver fatto cosa gradita riassumendo e traducendo l'articolo.

si grazie.

Ma chi usa ancora IE6 come me, e non passerà mai ad IE7, che tipo di plug-in può usare ?
Intendo un no-script generico, dov' che lo posso trovare ?
Quello che a suo tempo diffuse symantec, funziona allo stesso modo di firefox ?

Anche a me hanno rubato l'account la settimana scorsa, ad opera del solito cinese che ha messo in vendita otto televisori al plasma a mio nome erichiedendo il pagamento sul suo conto corrente (in cina!)... purtroppo non tutti gli acquirenti si erano insospettiti del fatto che avevano comprato un televisore da 52" a 150 euro (+30 di spese di spedizione...sic!) ed uno con un nome italiano rispondesse alle email in inglese e chiedesse il pagamento in cina, comunque pare che nessuno avesse già pagato quando mi sono accorto dello scherzetto. Ovviamente ho fatto denuncia alla polizia postale ma pur avendo in mano un nome, un indirizzo ed un conto bancario a Pechino ho molti dubbi che ne venga fuori qualcosa!

Per quanto mi riguarda non ho idea di come abbiano fatto. Non sono proprio un pivellino e le norme basilari di sicurezza le rispetto, il mcafee è sempre aggiornato e rompe le scatole in continuazione bloccandomi di tutto, roboform mi inserisce le password ecc... L'unica grossa ingenuità che ho fatto è stata quella di usare una password piuttosto difficile ma che ero in grado di ricordarmi sia per ebay che per l'account di posta elettronica ad esso collegato, quindi hanno preso due piccioni con una fava e da lì hanno avuto campo libero.

Peraltro lo stesso giorno hanno rubato gli account di un altro paio di utenti del mio stesso provider di posta elettronica... il che mi fa pensare che forse più che un problema mio si sia trattato di un attacco più ampio, a meno di qualche virus con un payload legato ad una data specifica (che peraltro il mcafee nega)... e sui forum di ebay è pieno di segnalazioni di furti di account... tutti fessi che mettono le password nei siti di phishing o che usano pc che fanno acqua da tutte le parti? Possibile, ma ho qualche dubbio...

Secondo me eBay dovrebbe consentire, a chi desidera maggior sicurezza (gli altri sono semplicemente avvisati...), di inviare un SMS al titolare di un account eBay ogni volta che pubblica un annuncio; insomma, proprio come fanno le banche quando ti inviano unSMS se fai un prelievo o un pagamento POS.

Certo, è una spesa in più - comunque limitata a 10 centesimi per ogni SMS - che l'utente non "intensivo" potrebbe voler sostenere: per 100 (cento) annunci la spesa sarebbe di 10 (dieci) euro. Se fai più di cento annunci all'anno vuol dire che sei un utente professionale, "visiti" eBay praticamente tutti i giorni e potresti non aver bisogno di questa sicurezza in più.

Del resto, come ho già detto, chi preferisce risparmiare 10 cent può seguire la via tradizionale...

Sai che novità... ed il mio account è ancora bloccato da 2 anni :@

oltre a no script, usate qualche altro addons di firefox per la sicurezza?

LINUX!!:ciapet:

a chi prima ha detto che non centra l'OS

Lo script dei siti infettati installa in malmware sul PC sfruttando delle vulnerabilità microsoft, linux ne è immune perchè quel codice non può essere eseguito. Certo è che noscript di firefox su windows aiuta a evitare l'infezione bloccando lo script che lo carica tramite browser

A me accadde un anno fa... chiesi un'informazione sul pagamento di un DVD, e fui quasi bannato per non avere pagato il prodotto. Per mesi continuai a ricevere e-mail "investigative". Il motivo? Il sistema non era aggiornato per Internet Explorer 7 e pertanto non sempre i click coincidevano con la volontà del povero utente che ero io.
Non sono più entrato in eBay, per evitare altri problemi simili.

Mi sà che non avevi pagato le tariffe ebay...quello è un altro discorso.....

Anch'io sono tra quelli che hanno subito il furto dell'account eBay, è successo la settimana scorsa ed ancora non capisco come sia potuto accadere. Non credo che la colpa sia da addebitare al tipo di browser o di SO utilizzato piuttosto sono convinto che buona parte del caos generato sia da attribuire a problemi interni di eBay. Sono sempre stato un maniaco della sicurezza (per quanto possibile) del computer, uso Linux da più di 5 anni, nessuno ha accesso fisico al mio computer, uso due distinti browser per la connessione internet: Opera per la navigazione web in genere e Firefox esclusivamente per accedere al mio conto online, ad eBay e a Gmail, i tre indirizzi vengono digitati da tastiera nella barra degli indirizzi, mai utilizzati link esterni. Quindi il mio Firefox, in vita sua , ha conosciuto solo 3 indirizzi web ed ogni volta che chiudo il browser cancello cookies, cronologia, cache e tutto quanto sia possibile cancellare, eppure il solito cinese o presunto tale è riuscito ad impadronirsi dell'account. Ho ricevuto email dal mio account a me stesso e all'interno del messaggio c'era l'avviso pubblicitario di un grande distributore di elettronica cinese che ti invitava a comprare dal suo negozio. Ho informato eBay e da lì tutta la procedura di blocco, cambio password ecc. Rientrato nell'account ho trovato più di 50 tentativi di compravendita ma, per fortuna, tutto è stato fermato in tempo. Quando ho chiesto spiegazioni sull'accaduto hanno risposto che per motivi di sicurezza non potevano rivelare nulla, ad una seconda richiesta di spiegazioni nella quale descrivevo il mio modo di operare, all'incirca le stesse cose che ho scritto sopra, e nella quale dichiaravo di aver sempre seguito le regole di sicurezza suggerite da eBay, un certo Sig. Dennis Frischer - eBay Regolamento e Sicurezza - mi ha risposto consigliandomi di usare la massima cautela nel caso in cui dovessi
ricevere email che mi invitassero ad accedere a una pagina ed inserire i miei dati di accesso.
Naturalmente ho risposto a questo signore in modo abbastanza incazzato invitandolo a rileggersi quanto avevo scritto in precedenza e che viste le loro risposte alquanto elusive era mia convinzione che il tutto dipendesse da un bug nei loro sistemi. L'ho esortato a darmi una risposta più pertinente ma ancora oggi non ho ricevuto nessuna comunicazione. Traetene voi le conclusioni.

?????????????:confused: :confused: :confused:

69e, a me eBay rispose che non potevano farci niente, se non bannarmi perché non avevo pagato. Io non ho mai ricevuto il pacco, né ho mai confermato il voler d'acquisto! Alla fine, mi hanno scritto di non preoccuparmi, che era presto perché aggiornassero il sito per i browser più recenti... intanto però io non ci sono più entrato.

Io nelle mie denuncie...non ho accusato ebay per il furto account che ho subito,purtroppo anche se non sono uno sprovveduto e' successo..
Io accuso Ebay del modo di gestire la sicurezza. Non c'e' modo di contattare nessuno se non via messaggio ....neppure in situzioni gravi come un furto account!! Ho mandato loro decine di richieste di aiuto e ho ricevuto solo notifiche di messaggio inviato!!!
Mi sono trovato SOLO con decine e decine di utenti che sollecitavano pagamenti di aggetti da me nn comprati!! Per piu' di 20gg ho dovuto risponde a minacce legali e non da parte di utenti convinti che io avessi acquistato da loro...fino ad arrivare al punto che mi hanno sospeso l'account per un motivo che non aveva a che fare con il furto accout...semplicemente avevo il numero di tel sbagliato(quando sono passato a fw mi sono dimenticato di aggiornare le info)
Ora e' da 2 mesi che non so' piu' nulla...account sospeso senza nessun caz.. di messaggio da parte di ebay
Situazione vergognosa da parte di un azienza che fattura milioni di euro!

Non auguro a nessuno di trovarsi in una situazione del genere!!
Per me EBAY puo' fotter*i. Non appena la storia si conclude non ne vorro' mai piu' sentir parlare

L'unico modo per parlare con qualcuno di ebay è utilizzare il live help presente sul sito americano... a quel punto si viene messi in contatto con un operatore con il quale è possibile parlare (in inglese ovviamente) e farsi risolvere il problema. Nel mio caso hanno immediatamente provveduto ad annullare le spese di inserzione che ovviamente erano state generate dalle inserzioni "fraudolente".

Aggiungo una nota a margine: l'operatore di ebay come unici dati identificativi della mia vera identità mi ha chiesto solo nome, indirizzo e data di nascita (se non ricordo male). Dati peraltro facilmente prelevabili dal profilo di ebay... Fossi stato nei panni del cinese che mi ha rubato l'account, la prima cosa che avrei fatto sarebbe stata quella di segnarmi questi dati, in modo da potermi sempre spacciare per il vero proprietario dell'account e poterne riprendere il controllo... Un po' scarsetta, come verifica, o no?

Aggiungo una nota a margine: l'operatore di ebay come unici dati identificativi della mia vera identità mi ha chiesto solo nome, indirizzo e data di nascita (se non ricordo male). Dati peraltro facilmente prelevabili dal profilo di ebay... Fossi stato nei panni del cinese che mi ha rubato l'account, la prima cosa che avrei fatto sarebbe stata quella di segnarmi questi dati, in modo da potermi sempre spacciare per il vero proprietario dell'account e poterne riprendere il controllo... Un po' scarsetta, come verifica, o no?

L'unica cosa "buona" è che il cinese parla l'inglese con accento cinese, tu con quello italiano. Ma missà che ripeterebbe il furto dell'identità via telematica, non telefonica.:mad:

Link alla notizia: http://www.hwupgrade.it/news/sicurezza/22426.html

Una nuova insidia si nasconde in oltre 300 siti web del tutto estranei all'iniziativa: tramite codice malevolo e l'utilizzo di un trojan appositamente sviluppato sono stati violati alcuni account

Click sul link per visualizzare la notizia.
me lo hanno violato il mese scorso e nonostante le sollecitazioni, i fax, e le documentazioni Ebay ancora non ha fatto nulla

uno schifo
avevo 78 feedback

me lo hanno violato il mese scorso e nonostante le sollecitazioni, i fax, e le documentazioni Ebay ancora non ha fatto nulla

uno schifo
avevo 78 feedback

E' la cosa che piu' mi ha fatto incazzare!!! Se ne fottono delle richieste di aiuto!! Ho decine di comunicazioni via emai e fax (in copia alla Postale) di richieste di aiuto e da Ebay il NULLA!!
Si dovrebbero solo VERGOGNARE

L'unica cosa "buona" è che il cinese parla l'inglese con accento cinese, tu con quello italiano. Ma missà che ripeterebbe il furto dell'identità via telematica, non telefonica.:mad:

No no, non ci siamo capiti.... la chat non è vocale... è "scritta", come se fosse una finestra di un qualsiasi messenger. a quel punto il mio inglese diventa brutto quanto il suo! l'unica ulteriore verifica che potrebbero fare è un bel traceroute e vedere da che parte proviene il tuo indirizzo ip... ma a quel punto potresti sempre dirgli che se in cina per lavoro ma che sei italiano...

No no, non ci siamo capiti.... la chat non è vocale... è "scritta", come se fosse una finestra di un qualsiasi messenger. a quel punto il mio inglese diventa brutto quanto il suo! l'unica ulteriore verifica che potrebbero fare è un bel traceroute e vedere da che parte proviene il tuo indirizzo ip... ma a quel punto potresti sempre dirgli che se in cina per lavoro ma che sei italiano...
Eh, già. Magari si potesse usare la voce... tranne uno 007 esperto, per noi comuni mortali potrebbe essere difficile far capire che abbiamo una pronuncia "modificata".
Missà che eBay stia davvero perdendo colpi. Conosco una persona che ha avuto tali problemi che ha deciso d'aprire un suo sito "anti-eBay", in pratica un altro sistema d'asta, ma questa volta controllato seriamente.

Se il bug è di ebay siamo tutti fritti potrebbero fregarsi di tutto dalla postepay a paypal a tutto quello collegato... io uso linux solo per ebay, gmail, poste e tutto quello richiede sicurezza, sono ancora piu' pipino dell'utente 69er...spero di non capitare nei casini ....e che sti cinesi si fanno i BIT loro...

io invece mi ritrovo con una cosa ancora più divertente... un account a nome mio mai attivato, e creato anni fa :D

mai attivato... che cacchio di account è?

bo... auguri a tutti gli utenti di ebay :oink: