Phishing, spam i reenviament a comptes maliciosos

Recentment hem patit una onada d’atacs a comptes de correu UB on, en alguns casos, s’han robat credencials d’usuaris (identificador i contrasenya UB). Una vegada l’atacant ha disposat de les credencials, ha pogut accedir al compte robat i des d’aquest fer diferents accions malicioses com:

  • Fer phishing a nous comptes: enviament de correus amb enllaços o fitxers maliciosos amb la finalitat d’apropiar-se de noves credencials.
  • Fer spam: enviament massiu de correu brossa.
  • Activar el camp “reenviament” del compte robat cap a l’adreça de correu de l’atacant, aconseguint que tot el correu que s’envia al compte robat també s’envii al seu.

Volem fer especial esment en aquest últim punt, el reenviament del correu a un altre compte. Aquesta acció pot haver-se fet per diferents motius: atac directe a la persona per conèixer informació privada, robatori d’informació a un grup d’investigadors que treballin en un projecte…

Els casos que hem detectat ja s’han solucionat però et demanem que estiguis alerta i comprovis de manera periòdica que no tinguis activat cap reenviament a un compte desconegut.

La manera de fer-ho és molt senzilla:

  • Accedeix al Núvol UB des d’un navegador http://nuvol.ub.edu (des del client d’escriptori o el mòbil no avisa).
  • Consulta el teu correu, si apareix una finestra emergent a la part dreta superior com la de la imatge, és que tens activat un reenviament.

Si el reenviament no l’has fet tu ni coneixes l’adreça de correu a la que s’està enviant el teu correu, tens o has tingut les credencials compromeses. Amb caràcter urgent, cal que:

  • Canviïs la contrasenya immediatament, et recomanem escollir una de ben diferent i que no facis servir en cap altre servei, bancs…
  • Seguidament treguis l’adreça fraudulenta i revisis també que no tinguis cap regla de correu que no hagis fet tu.
  • Obris un tiquet al PAU (si ets estudiant obre el tiquet al SAE) notificant d’aquest fet.

Treure un reenviament de correu és molt senzill:

Des del correu del núvol (http://nuvol.ub.edu)

  • Clica sobre l’enllaç Desactiva de la finestra emergent

  • Deshabilita el reenviament i una vegada tornis a obrir el correu comprovaràs que ja no surt la finestra d’avís informant que estàs reenviant correu.

Com sempre, cal que estiguis molt alerta amb correu que rebis i no cliquis enllaços ni descarreguis cap document que no estiguis segur que s’envia des d’una font fiable. Davant de qualsevol dubte contacta amb l’emissor del missatge per confirmar l’enviament del correu. No facilitis mai les credencials per correu o per telèfon.

Davant de qualsevol dubte, contacta amb el PAU.

Suplantació d’identitat en correus (Email Spoofing): Què és i com detectar-ho

El Email Spoofing són un conjunt de tècniques fraudulentes que fan servir el correu electrònic per enviar missatges simulant la identitat d’una persona coneguda per obtenir un guany.

El receptor del missatge veu un correu enviat per una persona que coneix, quan, qui l’ha enviat realment és una altra persona i, com ens podem imaginar, els correus (perquè normalment hi ha un intercanvi de correus) tindran com a objectiu aconseguir un benefici, generalment de caràcter econòmic o d’obtenció d’informació rellevant o sensible.

En un cas de spoofing, hi ha tres actors: la persona que vol fer el frau, la persona a la que se li suplanta la identitat  i la/es persona/es que reben el correu i que coneixen a la persona suplantada, aquestes seran les víctimes, en cas que el frau acabi exitosament.

En aquests últims dies hem conegut uns quants casos que han afectat a usuaris de la Universitat, n’expliquem un a mode d’exemple: imaginem una professora de la UB, l’anomenarem Marina Fonts Roure, amb adreça marina.fonts@ub.edu, la Marina Fonts fa classes en un màster de Biologia, té alumnes en diferents parts del món amb els quals intercanvia correus de manera habitual.

Un dia, uns quants alumnes reben un correu de la Marina on els demana ajuda urgent:

De: Marina Fonts Roure el correu que envia i al qual es respondrà és el fraudulent: ma.fonts.rou@gmail.com, encara que el nom que es veu és el de la professora

Assumpte: Ayuda urgente l’acció que cal fer ha de ser ja, no pot esperar

Hola,

Necesito ayuda urgentemente ¿Estás disponible? Contáctame cuanto antes, es muy grave.l’objectiu és que algú respongui el correu volen ajudar, aquesta serà la víctima

Muchas gracias

Marina Fonts Roure   Signatura de la Marina Fonts amb les seves dades
marina.fonts@ub.edu
Directora Màster
Departament de Biologia Cel·lular, Fisiologia i Immunologia
Universitat de Barcelona

Dos alumnes responen ràpidament preocupats. Després d’uns quants correus, la Marina demana una  transferència a un compte determinat. Un dels  alumnes decideix trucar a la Marina que, totalment sorpresa, li diu que ella no ha enviat cap correu.

Com podem estar alertes al spoofing?

  • La majoria d’aquests enganys fan servir adreces de correu semblants a la de persona suplantada, inclús fan servir el mateix nom d’aquesta. En el nostre cas, la falsa Marina ha enviat el correu des de l’adreça ma.fonts.rou@gmail.com, i com a nom s’ha posat el de la professora: Marina Fonts Roure.
  • El contingut del missatge indica urgència, fer una acció que no pot esperar…. Si responem a la falsa adreça, el suplantador ja té les possibles víctimes. A través de les respostes que li donem al correu de la falsa Marina, rebrem  nous missatges per donar més credibilitat a la demanda.
  • L’intercanvi de missatges acabarà amb la petició final: fer un pagament, facilitar informació sensible…

I què podem fer si detectem un cas de spoofing:

  • Contactar amb totes les persones implicades en el spoofing: la persona suplantada i les persones que han contestat als correus.
  • Denunciar el cas a la policia  facilitant la màxima informació, no esborreu doncs els correus.
  • Denunciar al proveïdor del domini de correu el fals compte de correu. En  tractar-se d’una adreça externa a la Universitat, consulteu les pàgines informatives de cada proveïdor, com aquesta de Gmail.
  • Obrir un tiquet al PAU: des de l’Àrea de Tecnologies procedirem a bloquejar el fals compte i a revisar, si és necessari, el tràfic de correu d’aquest, contactarem amb la persona suplantada i informarem a les autoritats, tant internes com externes.

Nova plataforma per gestionar les llistes de distribució

Des de l’Àrea de Tecnologies hem actualitzat la gestió i manteniment de les llistes de distribució de correu. Les llistes de distribució de correu permeten enviar missatges de correu electrònic a múltiples usuaris de forma simultània.

Les accions que s’han dut a terme són les següents:

  • Hem migrat totes les llistes de distribució existents amb un canvi en el nom i domini. Les antigues llistes nomllista-l@ub.edu s’han reanomenat i diferenciat entre:
    • Llistes de distribució estàtiques: són les que es generen sota petició i el conjunt de subscriptors és variable agrupant-se en funció del tema o col·lectiu al qual s’adreça.
      • Ara perden el “-l” de darrera el nom i tenen el domini: nomllista@llistes.info.ub.edu
    • Llistes de distribució dinàmiques: són aquelles en què el conjunt de subscriptors ve definit per la pertinença o no d’agrupacions del directori UB i que s’actualitzen automàticament.
      • Ara perden el “-l” de darrera el nom i tenen el domini: nomllista@difusió.ub.edu
  • Hem activat un nou portal web accessible a tota la comunitat UB, des d’on podràs accedir a les llistes de distribució estàtiques de les quals formes part i, en funció del teu rol: propietari, emissor o subscriptor, tindràs més o menys permisos per fer diferents accions.

Des del nou portal i una vegada identificat, podràs accedir a les llistes estàtiques de les quals formes part.

– Pantalla inicial al Portal de Llistes de distribució estàtiques –

  • Com a subscriptor podràs suspendre temporalment la subscripció a la llista, contactar amb el propietari de la llista o donar-te de baixa d’aquesta.
  • Com a propietari podràs afegir nous subscriptors o eliminar-ne, accedir a diferents estadístiques o a l’històric de missatges i fitxers enviats.

Per a més informació pots consultar l’apartat de llistes de distribució al nostre web.

Per saber-ne més de les llistes de distribució estàtica, pots consultar la guia d’usuari i si ets propietari d’alguna llista també et pot interessar la guia específica pel rol de propietari.

Per qualsevol dubte contacta amb el PAU.

Estàs esperant un correu i no t’arriba?

Amb l’ús massiu del correu electrònic rebem molt correu no desitjat.

Per aquest motiu la regulació del correu es fa cada cop més exigent i i encara que el teu correu no sigui correu brossa, pot arribar a parar a la bústia de correu brossa perquè té algun indici que el fa sospitós.

Tots els serveis de correu (Hotmail, Gmail, Microsoft…) tenen filtres per bloquejar certs correus i protegir-nos de correus maliciosos o no desitjats com suplantació d’identitat, estafes, spam…

El problema és que aquests filtres poden ser massa restrictius i, de vegades, correus legítims els trobem a la carpeta de correu brossa.

No hi ha criteris únics per determinar quan un correu acaba a la carpeta de correu brossa, a més dels filtres i regles establertes per l’antivirus, també s’executen les del proveïdor de serveis, les de la xarxa i d’altres. Però també hi ha procediments que tu mateix pots fer indicar que aquell correu és legítim.

Si el filtre de correu no desitjat de l’Outlook classifica incorrectament missatges legítims, els pots reclassificar ràpidament, seguint algun dels procediments que t’indiquem a continuació:

  • Etiquetar el missatge o missatges de la carpeta de correu brossa com correu legítim.
  • Afegir l’adreça com a contacte.
  • Afegir un filtre o una regla per aquesta adreça.
  • Afegir l’adreça com a remitent segur.

Consulta aquesta guia d’ajuda si vols saber com aplicar-los.

Tot i aquests procediments, et recomanem que revisis periòdicament la teva carpeta de correu brossa.

Si tens qualsevol dubte o consulta, contacta amb el PAU.

 

Ha finalitzat el meu contracte, puc accedir al meu correu UB?

Quan una persona acaba la relació contractual amb la Universitat o finalitza el seu període de col·laboració, perd automàticament la possibilitat d’accedir a la intranet, i en el cas de personal contractat per tant,  ja no podrà accedir al Portal UB.

Tot i això i en funció del seu perfil, disposa d’un període de gràcia de dos mesos, que li permet fer ús del seu correu corporatiu personal i de tots els serveis del núvol UB associats que tenia.

L’entrada al correu es pot fer sempre via navegador o bé accedint des del client de correu Outlook si ja es té configurat.

En passar aquests 2 mesos de gràcia i si no s’ha restablert la vinculació amb la UB, l’accés al compte de correu es tanca. En cas de tornar a establir-se es mantindria la  mateixa adreça de correu.

Més informació sobre les credencials i la seva caducitat.

 

Activació de regles de control per spam

Si un compte @ub.edu és detectat com correu que fa spammer (generador de correu brossa o spam ) a partir d’ara serà marcat i bloquejat per evitar que continuï enviant correu.

Una vegada bloquejat, en intentar enviar un correu, el propietari del compte rebrà un correu informatiu avisant-lo què està passant. Continuarà rebent correus però no en podrà enviar.

Exemple del missatge informatiu

Perquè el meu compte s’ha marcat com spammer?

Una de les conseqüències de patir un robatori de les nostres credencials, és fer-les servir per enviar spam o correu brossa a altres comptes.

Entre les conseqüències negatives que això pot generar destaquem el descrèdit per a la persona propietària de l’adreça emissora robada (el contingut del correu que envia pot ser de tipus sexual, publicitari, de phishing …), la possibilitat que l’emissor sigui afegit a una llista negra (els seus correus sempre anirien al correu brossa dels receptors) i en general un increment del volum de missatgeria nociva que impacta negativament sobre el servei de correu i compromet la seguretat de les dades.

També existeix la possibilitat de ser detectats com a spammers si fem un enviament massiu de correus en poc espai de temps.

I què cal fer si rebo aquest correu informatiu?

El compte no es desbloquejarà fins que l’usuari no es canviï la contrasenya (consulteu  la pàgina d’ajuda per saber com fer-ho). Una vegada fet el canvi, caldrà esperar aproximadament 1 hora per poder tornar a enviar missatges amb normalitat.

Recordeu que mai heu de facilitar les vostres credencials per correu o per telèfon per evitar el seu robatori. No feu servir la mateixa contrasenya que teniu a la Universitat per accedir a altres serveis externs a aquesta.

Per qualsevol dubte podeu contactar amb el PAU.

Veig una aparença del correu al Núvol UB diferent a la que jo tenia

Hem rebut algunes trucades d’usuaris que, sense saber perquè, en consultar el seu correu des del Núvol UB veuen una aparença diferent, tal com es mostra en la  imatge exemple:

Es tracta de la versió simplificada de l’Outlook web.

És molt senzill tornar a disposar de la versió completa, què, a més és la que recomanem, ja que la simplificada no acaba de funcionar del tot bé.

1 – Vés a Opcions (com assenyala la fletxa vermella de la imatge de dalt)

2 –  En el panel de l’esquerra tria – Versió de l’Outlook

3 – Treu la selecció de l’opció Utilitza la versió simplificada i prem el botó Desa com indiquen les fletxes vermelles de la imatge:

3 – Tanca la sessió en el Núvol UB per fer efectius els canvis. Quan et connectis, tornaràs a disposar de la versió completa, com la de la imatge exemple de sota. Si encara veus la versió simplificada, prova de tancar el navegador i tornar a connectar-te.

Per qualsevol consulta, pots contactar amb el PAU si ets PAS o PDI o amb el SAE si ets un estudiant.

Més mesures de protecció en el correu

El correu electrònic s’ha convertit en una de les eines principals en l’intercanvi d’informació i la seguretat d’aquest servei un dels reptes més importants per a la Universitat de Barcelona.

El passat mes d’abril vam aplicar unes millores en la configuració del correu electrònic de la UB. Ara, tots els correus @ub.edu entren directament a través d’Office 365 i fan ús de l’Exchange Online Protection (EOP). D’aquesta manera es protegeixen les nostres bústies en temps real, contra un nombre d’amenaces creixent com programari espia (spyware), pesca electrònica (phising) o suplantació (spoofing).

I com es tradueix això en les nostres bústies?

  • Rebem menys correu no desitjat a la nostra safata d’entrada.
  • Es redueix el risc de rebre correu maliciós.
  • Som avisats de correus dels quals es sospita que pugui haver-hi suplantació d’identitat (spoofing). Aquest és l’avís que apareix al principi del cos del missatge rebut: “Este remitente no superó nuestras comprobaciones de detección de fraude y es posible que no sea quien parece ser. Obtenga información acerca de la suplantación de identidad”.

En quin cas EOP sospita de suplantació (spoofing)?

Quan es detecta que un missatge té com a emissor un usuari @ub.edu i s’ha enviat des d’un servidor que no és de la UB o no està autoritzat per la UB.

Exemples de casos:

  • Un usuari utilitza el servei de  gmail, yahoo … per enviar correus simulant la seva identitat de @ub.edu. És una pràctica no recomanable i a evitar.
  •  Aplicacions o serveis no allotjats a la UB que envien correus com a comptes @ub.edu. En aquests casos, la persona responsable pot contactar amb el PAU per valorar la possibilitat de crear un subdomini UB al servei extern i tramitar les autoritzacions pertinents.
  • Respostes a correus de llistes de distribució no UB. On l’emissor del correu serà un usuari @ub.edu i el servidor de la llista no estarà autoritzat.

Hi ha correus marcats com a spoofing que poden anar a la carpeta de correu brossa.

És per aquesta raó que cal que reviseu de manera freqüent la carpeta de Correu brossa (en castellà Correo no deseado).

 Si ha entrat algun correu que és bo per nosaltres, el podem seleccionar i amb botó secundari del ratolí moure’l cap a una altra carpeta o seleccionar l’opció de Correu brossa i triar l’acció que més ens convingui.

Modificar les dades de contacte del correu UB

A la IntranetÀrea Personal hem substituït l’opció Pregunta i resposta, ja obsoleta, per una de nova anomenada Dades de contacte.

Des d’aquí  podem consultar les següents dades de contacte del correu UB i modificar-les:
  • L’àlies per si volem canviar-nos el nom visible amb què enviem els nostres correus. En un màxim de 24h. ja serà efectiu el canvi.
  • L’adreça alternativa que ens permetrà rebre aquí un correu, amb un enllaç per canviar-nos la contrasenya en cas d’oblit.
  • Els telèfons particular i/o mòbil que facilitem perquè ens puguin localitzar en cas necessari.

Us volem recordar la importància d’emplenar el camp Adreça alternativa amb qualsevol compte personal vostre gmail, yahoo …En cas d’oblit de la contrasenya us en podreu generar una de nova, sense haver d’obrir un tiquet d’incidència en el PAU.

Fals correu amb assumpte “UB SECURITY”

Aquest dimarts 31 d’octubre ha entrat, en alguns comptes de la Universitat, un correu phishing força perillós en estar redactat en català i incorporant el logo de la Universitat.

L’assumpte del correu és “UB SECURITY” i demana clicar sobre una URL (enllaç a una pàgina web) per activar “la nostra seguretat”. Tal i com podeu veure a l’imatge, si  posem el ratolí a sobre l’enllaç, la URL és diferent i ens envia a una pàgina de fora de la UB!

També podem observar que, tot i estar redactat en un català força correcte, el correu incorpora algunes paraules en anglès que ens han de fer sospitar de manera immediata.

Ara ja està filtrat l’accés a aquesta pàgina dins de la UB, però vigileu si llegiu aquest correu des de fora de la Universitat.

Si heu rebut un correu com el de l’imatge, no en feu cas i esborreu-lo.

Si heu rebut el correu i heu clicat a l’enllaç i us ha portat a una pàgina on heu introduït les vostres credencials, canvieu immediatament la contrasenya. En cas de dubte, contacteu en el PAU perquè us ajudi a fer-ho.

Com sempre, no cliqueu mai en enllaços sospitosos i abans d’introduir les vostres credencials, comproveu SEMPRE que la URL de la pàgina en la qual esteu es .ub.edu i que la pàgina és segura (surt un cadenat en color verd).

La imatge de la dreta mostra una URL falsa, la de l’esquerra és la legítima.

URL falsa, no és UB URL legítima, és UB