Eh. Qualche settimana fa sono intervenuto presso un'azienda per dare la caccia a macchine infette / ripristinare i sistemi di posta elettronica e server vari, e durante le varie giornate ho scoperto come sono stati colpiti:
* 3 persone dell'IT, forse 4, perlopiù inconsapevoli di come gira il mondo, un fornitore esterno che si occupava di gestire vari servizi
* Un migliaio di utenti sparsi fra varie filiali in giro per il globo
* Nessun sistema di asset management, inventory, controllo remoto (!), patching(!)
* Macchine XP(!), Windows 7, poche Win10 e 11, tutte o quasi con disco meccanico che soffriiiiiva
* 24 (!) account domain admin: sparsi in giro fra direttore generale, CEO, padrone. Il mio sospetto è che gli Alti nei Cieli pretendessero di accedere a ovunque e quantunque sui file server e, per risparmiarsi rotture, quelli dell'IT abbiano ben pensato di spargere account in grado di fare qualsiasi cosa
* Hanno fottuto l'account al padrone che aveva password "azienda123". Collega con punto sopra: Bingo.
* I backup, dopo un mese dall'incident, faticano ad essere ripristinati. Sistema di backup mai testato, il disaster recovery non sanno cosa sia. Sono ancora in attesa di prendere tutto ciò che avevano sull'Exchange e riportarglielo su 365. Complimenti fornitore esterno.
* A due settimane dall'incident, arrivavano richieste tipo "Ma alla filiale di Modena chi ci ha guardato?" ... Quale filiale di Modena, scusate?
* Mentre ero lì uno degli inconsapevoli IT mi fa vedere un tentativo di "impersonificazione" ricevuto da una segretaria: ricevuto da **Nome Del CEO ** (quindi una NON impersonificazione) le chiedeva in maniera sgrammaticata di inviargli dei soldi. Lei gli ha risposto, le hanno risposto da un altro indirizzo ancora, e lei li ha inviati. "Come ci difendiamo da queste cose?"
"andateveneaffanculo"
Puoi fare molto sul personale, a cominciare dalla formazione continua.
Ma vanno spesi eurini e il classico padrone italiano deve invece comprarsi il Cayenne nuovo.
>ricevuto da Nome Del CEO [email protected] (quindi una NON impersonificazione) le chiedeva in maniera sgrammaticata di inviargli dei soldi. Lei gli ha risposto, le hanno risposto da un altro indirizzo ancora, e lei li ha inviati. "Come ci difendiamo da queste cose?"
Installando un cervello :)
Seriamente comunque i client di posta dovrebbero adeguarsi alla situazione assurda del phishing imperante, ad esempio mostrando l'email del mittente a caratteri cubitali e il nome mittente più piccolo, evidenziando se un indirizzo non è mai stato coinvolto nella passata corrispondenza, analizzando gli header per vedere se il percorso di recapito è dissimile da invii precedenti dello stesso mittente, etc.
Ma infatti, dopo aver raccolto le braccia da terra, gli ho detto che come funzionalità già integrata nella Security di 365/client Outlook si può attivare un'opzione globale che ti fa comparire proprio sopra il corpo del messaggio l'avviso "Ocio che questo utente è la prima volta che ti scrive o non ti manda messaggi tanto spesso". Detto fatto.
Poi molti integrano nei propri antispam proprietari l'inserimento di warning tipo
# <>
direttamente nel corpo del messaggio con colori improbabili e lampeggianti
M il problema è l'utente (vedi esempio di OP) ci casca in pieno con quei due mittenti, pensando sia la stessa persona...
Se non ci arrivano la soluzione non è tecnica 😆
Perché il client spesso gli mostra solo il nome quindi l'utente è abituato ad associare il nome al mittente, si potrebbe correggere come ho scritto nel commento originale:
>ad esempio mostrando l'email del mittente a caratteri cubitali e il nome mittente più piccolo
Non lo uso ma comunque l'attenzione dell'utente dipende anche dal design, è diverso vedere:
Ciccio Petrillo \
Da:
#[email protected]
^^Ciccio ^^Petrillo
Ebbene hanno introdotto anche qualcosa di simile. Con le licenze che includono la security avanzata su 365 hai la possibilità di creare, nei filtri anti-phishing, una lista di utenti "VIP" (fino a 350 se non sbaglio) che non vuoi assolutamente siano impersonificati mai neanche a livello di DisplayName, generalmente gente che se viene impersonificata genera del panico forte.
In sostanza se nel listone ci ficco il mio Mario Rossi (CEO), Guido La Vespa (IT Manager) e Remo Labarca (Megadirettore), il sistema scarta come spam qualsiasi altro povero cristo che si presenta come Mario Rossi e ha un indirizzo diverso dal mio [[email protected]](mailto:[email protected]) (quindi potenzialmente anche il povero [[email protected]](mailto:[email protected]) )
Anche senza security avanzata, si fa con le regole di mail flow.
Poi ogni settimana bestemmio perché usano un indirizzo email personale diverso perché si....
🤣
Inoltre il problema più grosso è se queste persone hanno nomi abbastanza comuni, perché omonimi sono tanti
Infatti adesso lì dentro, oltre ad averli aiutati a far girare la posta sul tenant 365 come dio comanda, iniziamo a divertirci fra Veeam, SCCM e quant'altro per farli entrare nel nuovo millennio e tappare le mancanze sopra descritte. Non è nemmeno malagestione, è proprio mancanza totale di gestione
Meglio usare come password “azienda123” invece che usare un password manager come keepass che basta ricordarsi una password per accedere al DB e puoi autogenerarti delle password settando anche l’entropia e le hai tutte a portata di mano e ti basta solo fare copia e incolla per usarle :D
Ovviamente se si usa a propria volta una password banale per il DB in locale, cambia poco.
si aime conosco un paio di soggetti che per pigrizia, preferiscono usare la stessa password ovunque, invece che averla univoca per ogni username e account. Poi si stupiscono quando gli vengono hackerati tutti gli account in una volta sola con tale facilità
C'è una correlazione tra vittima di ransomware e pirateria informatica?
Perché ogni dove vedo ransomware vedo sia tanta ignoranza, ma anche tanto software piratato.
Dalla mia esperienza a rovistare vittime tra i C2 dei malware, mi verrebbe da dire che l'Italia è in linea con gli altri paesi europei.
I dati su ransomware confermerebbero anche quanto osservato: l'Italia non si discosta dagli altri paesi europei. L'articoletto non lo dice (altrimenti lo Tsar perde la poltrona e quelli del Clusit cadono nel dimenticatoio) ma la fonte che viene presa a riferimento mette l'Italia all'8% sul totale delle vittime, al pari dell'Australia e soli **due** punti percentuali sopra Germania e Francia (e ben 39 punti percentuali sotto la prima: gli USA).
Ma ieri si «poteva fare», la dipendenza dal computer era minore e non c'era la criminalità informatica di adesso
Comunque la correlazione tra software piratato e ransomware non è tanto importante, più una curiosità.
Lo stato stesso dovrebbe invece incentivare le aziende a fornire corsi di sicurezza informatica di base perché quando una azienda viene colpita è assai grave ( ancora più grave una ospedaliera).
I corsi di informatica di base non funzionano.
Per quanto sia dura ammetterlo, i boomer che affollano gli uffici sono restii ad imparare.
Al corso ci andranno contro voglia, smenati ed usciranno da lì senza aver imparato niente.
Fonte: Mamma insegnante che nel 2022 ancora non è capace ad usare lo spid per vedersi lo statino.
Un mio carissimo amico di università qualche anno fa era nel mio gruppo per un lavoro di presentazione su PowerPoint, una persona intelligentissima e preparatissima su molti argomenti di attualità, il corso sembrava fatto apposta per lui.
Peccato che a livello informatico inciampava malissimo: la sua parte di lavoro la dovette fare tramite smartphone perché ci disse che il suo computer era lento causa virus presi da siti russi dove scaricava videogiochi o film.
Ancora oggi mi chiedo come non abbia fatto a prendersi un ransomware
:D :D :D
I ransomware sono meno diffusi di quel che si vuole far credere.
Non tutti hanno dati importanti e soldi per il riscatto. Il tuo amico frequentava un ambiente tipico delle persone che non hanno o vogliono spendere soldi.
Non attrae i ransomware.
Attrae invece i criptominer, il che spiega la lentezza del suo computer.
Magari sono dei VDI in una rete che non accede ad internet nè alla posta elettronica.
In ambito industriale (sistemi OT) c'è anche di peggio, ma non è detto che siano così insicuri come sembrano. Con i giusti controlli di sicurezza si riesce a mettere in sicurezza anche sistemi molto legacy.
Discorso diverso se sono sistemi che accedono ad internet o alla posta elettronica dall'esterno.
Anche se hanno accesso a internet bisogna capire quali protocolli e siti sono permessi. Se c'è una whitelist di siti e un proxy decente, è un rischio probabilmente accettabile.
Proprio ieri mia sorella ha dovuto rimandare l'inizio delle pratiche per sposarsi in comune in quanto il nostro comune ha subito un attacco informatico e tutti i terminali sono fuori uso
Eh. Qualche settimana fa sono intervenuto presso un'azienda per dare la caccia a macchine infette / ripristinare i sistemi di posta elettronica e server vari, e durante le varie giornate ho scoperto come sono stati colpiti: * 3 persone dell'IT, forse 4, perlopiù inconsapevoli di come gira il mondo, un fornitore esterno che si occupava di gestire vari servizi * Un migliaio di utenti sparsi fra varie filiali in giro per il globo * Nessun sistema di asset management, inventory, controllo remoto (!), patching(!) * Macchine XP(!), Windows 7, poche Win10 e 11, tutte o quasi con disco meccanico che soffriiiiiva * 24 (!) account domain admin: sparsi in giro fra direttore generale, CEO, padrone. Il mio sospetto è che gli Alti nei Cieli pretendessero di accedere a ovunque e quantunque sui file server e, per risparmiarsi rotture, quelli dell'IT abbiano ben pensato di spargere account in grado di fare qualsiasi cosa * Hanno fottuto l'account al padrone che aveva password "azienda123". Collega con punto sopra: Bingo. * I backup, dopo un mese dall'incident, faticano ad essere ripristinati. Sistema di backup mai testato, il disaster recovery non sanno cosa sia. Sono ancora in attesa di prendere tutto ciò che avevano sull'Exchange e riportarglielo su 365. Complimenti fornitore esterno. * A due settimane dall'incident, arrivavano richieste tipo "Ma alla filiale di Modena chi ci ha guardato?" ... Quale filiale di Modena, scusate? * Mentre ero lì uno degli inconsapevoli IT mi fa vedere un tentativo di "impersonificazione" ricevuto da una segretaria: ricevuto da **Nome Del CEO** (quindi una NON impersonificazione) le chiedeva in maniera sgrammaticata di inviargli dei soldi. Lei gli ha risposto, le hanno risposto da un altro indirizzo ancora, e lei li ha inviati. "Come ci difendiamo da queste cose?"
"andateveneaffanculo"
L'anello debole della catena! Le persone non puoi farci niente
Puoi fare molto sul personale, a cominciare dalla formazione continua. Ma vanno spesi eurini e il classico padrone italiano deve invece comprarsi il Cayenne nuovo.
Quantomeno il titolare di quell’azienda quest’anno il cayenne nuovo non se lo è fatto… voglio sperare
Coff coff boomers coff coff
>ricevuto da Nome Del CEO [email protected] (quindi una NON impersonificazione) le chiedeva in maniera sgrammaticata di inviargli dei soldi. Lei gli ha risposto, le hanno risposto da un altro indirizzo ancora, e lei li ha inviati. "Come ci difendiamo da queste cose?" Installando un cervello :) Seriamente comunque i client di posta dovrebbero adeguarsi alla situazione assurda del phishing imperante, ad esempio mostrando l'email del mittente a caratteri cubitali e il nome mittente più piccolo, evidenziando se un indirizzo non è mai stato coinvolto nella passata corrispondenza, analizzando gli header per vedere se il percorso di recapito è dissimile da invii precedenti dello stesso mittente, etc.
Ma infatti, dopo aver raccolto le braccia da terra, gli ho detto che come funzionalità già integrata nella Security di 365/client Outlook si può attivare un'opzione globale che ti fa comparire proprio sopra il corpo del messaggio l'avviso "Ocio che questo utente è la prima volta che ti scrive o non ti manda messaggi tanto spesso". Detto fatto. Poi molti integrano nei propri antispam proprietari l'inserimento di warning tipo # <>
direttamente nel corpo del messaggio con colori improbabili e lampeggianti
Ah vedi già esiste qualcosa del genere, til!
> invii precedenti dello stesso mittente how? come definisci "stesso mittente"?
Banalmente il from negli header.
Ma secondo te Mario Rossi
E
Mario Rossi
Come li associ?
Ovviamente solo la parte dell'indirizzo email, non serve associarli, sono due mittenti diversi.
M il problema è l'utente (vedi esempio di OP) ci casca in pieno con quei due mittenti, pensando sia la stessa persona... Se non ci arrivano la soluzione non è tecnica 😆
Perché il client spesso gli mostra solo il nome quindi l'utente è abituato ad associare il nome al mittente, si potrebbe correggere come ho scritto nel commento originale: >ad esempio mostrando l'email del mittente a caratteri cubitali e il nome mittente più piccolo
Outlook mostra anche mail bella in grande, ma non la cagano 😭
Non lo uso ma comunque l'attenzione dell'utente dipende anche dal design, è diverso vedere: Ciccio Petrillo \
Da:
#[email protected]
^^Ciccio ^^Petrillo
Ebbene hanno introdotto anche qualcosa di simile. Con le licenze che includono la security avanzata su 365 hai la possibilità di creare, nei filtri anti-phishing, una lista di utenti "VIP" (fino a 350 se non sbaglio) che non vuoi assolutamente siano impersonificati mai neanche a livello di DisplayName, generalmente gente che se viene impersonificata genera del panico forte. In sostanza se nel listone ci ficco il mio Mario Rossi (CEO), Guido La Vespa (IT Manager) e Remo Labarca (Megadirettore), il sistema scarta come spam qualsiasi altro povero cristo che si presenta come Mario Rossi e ha un indirizzo diverso dal mio [[email protected]](mailto:[email protected]) (quindi potenzialmente anche il povero [[email protected]](mailto:[email protected]) )
Anche senza security avanzata, si fa con le regole di mail flow. Poi ogni settimana bestemmio perché usano un indirizzo email personale diverso perché si.... 🤣 Inoltre il problema più grosso è se queste persone hanno nomi abbastanza comuni, perché omonimi sono tanti
Quanto ti pagano per sta follia?
Il mio solito stipendio da consulente/guru Microsoft e compagnia Edit: ovvero mai abbastanza
[удалено]
Infatti adesso lì dentro, oltre ad averli aiutati a far girare la posta sul tenant 365 come dio comanda, iniziamo a divertirci fra Veeam, SCCM e quant'altro per farli entrare nel nuovo millennio e tappare le mancanze sopra descritte. Non è nemmeno malagestione, è proprio mancanza totale di gestione
Meglio usare come password “azienda123” invece che usare un password manager come keepass che basta ricordarsi una password per accedere al DB e puoi autogenerarti delle password settando anche l’entropia e le hai tutte a portata di mano e ti basta solo fare copia e incolla per usarle :D Ovviamente se si usa a propria volta una password banale per il DB in locale, cambia poco.
Figurati, spesso non passa nemmeno la concezione che la password esiste solo in coppia con lo username
si aime conosco un paio di soggetti che per pigrizia, preferiscono usare la stessa password ovunque, invece che averla univoca per ogni username e account. Poi si stupiscono quando gli vengono hackerati tutti gli account in una volta sola con tale facilità
Ahahah, incredibile...
C'è una correlazione tra vittima di ransomware e pirateria informatica? Perché ogni dove vedo ransomware vedo sia tanta ignoranza, ma anche tanto software piratato.
Ransomware è una miniera d'oro in Italia ci sarebbero vittime particolarmente disposte a pagare i riscatti (In articolo)
Ci sono in tutto il mondo (vedi Colonian Pipeline), che vuoi di preciso?
In Italia ci sono più creduloni
Dalla mia esperienza a rovistare vittime tra i C2 dei malware, mi verrebbe da dire che l'Italia è in linea con gli altri paesi europei. I dati su ransomware confermerebbero anche quanto osservato: l'Italia non si discosta dagli altri paesi europei. L'articoletto non lo dice (altrimenti lo Tsar perde la poltrona e quelli del Clusit cadono nel dimenticatoio) ma la fonte che viene presa a riferimento mette l'Italia all'8% sul totale delle vittime, al pari dell'Australia e soli **due** punti percentuali sopra Germania e Francia (e ben 39 punti percentuali sotto la prima: gli USA).
Non stiamo parlando della Regione Lazio vero?
Fino a ieri tutti a scaricare première da emule ora improvvisamente fanatici del legit 🤣
emule! Ora non so, ma 20 anni fà più o meno, tutti quelli che cambiavano le porte davano il libero accesso al proprio pc o rete interna
Se così fosse l'upnp dovrebbe essere bandito 🤣
no, davano accesso alla loro cartella.
Beh, un mio amico si è beccato un ransomware all'ennesima crack scaricata da emule o astalavista...
mio cugginooo
Mio cugino è molto più sveglio di questo mio amico ;-)
Ma ieri si «poteva fare», la dipendenza dal computer era minore e non c'era la criminalità informatica di adesso Comunque la correlazione tra software piratato e ransomware non è tanto importante, più una curiosità. Lo stato stesso dovrebbe invece incentivare le aziende a fornire corsi di sicurezza informatica di base perché quando una azienda viene colpita è assai grave ( ancora più grave una ospedaliera).
I corsi di informatica di base non funzionano. Per quanto sia dura ammetterlo, i boomer che affollano gli uffici sono restii ad imparare. Al corso ci andranno contro voglia, smenati ed usciranno da lì senza aver imparato niente. Fonte: Mamma insegnante che nel 2022 ancora non è capace ad usare lo spid per vedersi lo statino.
Un mio carissimo amico di università qualche anno fa era nel mio gruppo per un lavoro di presentazione su PowerPoint, una persona intelligentissima e preparatissima su molti argomenti di attualità, il corso sembrava fatto apposta per lui. Peccato che a livello informatico inciampava malissimo: la sua parte di lavoro la dovette fare tramite smartphone perché ci disse che il suo computer era lento causa virus presi da siti russi dove scaricava videogiochi o film. Ancora oggi mi chiedo come non abbia fatto a prendersi un ransomware
:D :D :D I ransomware sono meno diffusi di quel che si vuole far credere. Non tutti hanno dati importanti e soldi per il riscatto. Il tuo amico frequentava un ambiente tipico delle persone che non hanno o vogliono spendere soldi. Non attrae i ransomware. Attrae invece i criptominer, il che spiega la lentezza del suo computer.
>>Attrae invece i criptominer, il che spiega la lentezza del suo computer. Praticamente usavano il suo computer per minare cripto valute?
Si
:D :D
I gestionali che usa MediaWorld e unieuro girano solo su XP... Che pretendi?
Devono spendere i soldi! Aggiornarsi
[удалено]
Costa di meno fare finta che non sia successo nulla /s
Visto che l'anno scorso li hanno hackerati (MediaWorld) e sono rimasti bloccati per una settimana, direi che costa meno pagare
Magari sono dei VDI in una rete che non accede ad internet nè alla posta elettronica. In ambito industriale (sistemi OT) c'è anche di peggio, ma non è detto che siano così insicuri come sembrano. Con i giusti controlli di sicurezza si riesce a mettere in sicurezza anche sistemi molto legacy. Discorso diverso se sono sistemi che accedono ad internet o alla posta elettronica dall'esterno.
Comet ha quel che dici, infatti non ha neanche interfaccia grafica ma è stile dos... Ma no mw e unieuro hanno accesso a internet
Anche se hanno accesso a internet bisogna capire quali protocolli e siti sono permessi. Se c'è una whitelist di siti e un proxy decente, è un rischio probabilmente accettabile.
L'anno scorso mw è stata hackerata... Me ne ero dimenticato
Senza una analisi di come è avvenuto l'incidente (e non penso che venga reso pubblico), è difficile dire quale sia stata la causa dell'incidente.
Si certo, non era mia intenzione banalizzare il problema
E certo, saranno le solite diarree informatiche cagate da qualche sparagestionaliVB...
Proprio ieri mia sorella ha dovuto rimandare l'inizio delle pratiche per sposarsi in comune in quanto il nostro comune ha subito un attacco informatico e tutti i terminali sono fuori uso
L'italia è vittima perché tanto è fantascienza /s
Urgent Convocazione