UN BRUTTO NATALE PER ALCUNI COLLEGHI. ALLARME GENERALE. SI RACCOMANDA DI CONDIVIDERE SUBITO QUESTO ARTICOLO.
L’attivita’ criminale sul web è sempre pronta a sfruttare le nostre negligenze e disattenzioni. E’ da anni che se ne parla, ma questi criminali diventano sempre piu’ sofisticati e specializzati nelle truffe online. Dotiamoci di aggiornati antivirus; non custodiamo mai password sul pc o inviarle per email o messaggistica istantanea. Attenzione anche a inviare documenti di riconoscimento. Sui social dare meno informazioni possibili, tipo data di nascita, localita’, codice fiscale, telefono. informazioni queste da non mettere mai. Possono ricostruire la vostra identita’. Effettuare i collegamenti in aree riservate tipo noipa con pc assolutamente sicuri. Non compromessi da virus o trojan.
Notizia ufficiale da noipa: Notizie di phishing a danno di utenti NoiPA
Chiarimenti su notizie relative ad attività di phishing su alcune utenze NoiPA. Si stanno diffondendo in queste ore notizie relative ad attività di phishing su utenze NoiPA. Queste azioni avvengono in genere per carpire le credenziali di accesso ai sistemi e, attraverso ciò, porre in essere azioni fraudolente.
In effetti sono stati rilevati limitati e circoscritti casi (15 su un totale di oltre due milioni di amministrati) di modifiche dell’IBAN non confermati dal dipendente beneficiario. Tali casi sono stati prontamente gestiti, anche grazie all’intervento della Polizia Postale.
Al momento Sogei, la società in house del MEF che ha in conduzione il sistema NoiPA, sta analizzando e monitorando i dati al fine di garantire un puntuale presidio. Da quanto emerso, la stessa Sogei ha assicurato che non sono riscontrabili violazioni del sito NoiPA.
Si coglie l’occasione per raccomandare ulteriormente agli utenti di proteggere con la massima cura i dati di accesso al sistema NoiPA, non comunicandoli a terzi, evitando di rispondere a e-mail la cui provenienza o il cui mittente non siano riconosciuti e verificabili e che richiedano l’inserimento di dati sensibili.
Il Ministero dell’economia e delle finanze assicura sicurezza e riservatezza dei dati degli oltre due milioni di dipendenti amministrati confidando in una corretta gestione delle credenziali da parte degli utenti che devono utilizzarle unicamente per accedere al Portale e alla App ufficiale del sistema NoiPA.
23/12/2019
Segue articolo di giornale.
Roma, 25 dic 2019 – Questa volta è toccato al portale NOIPA…anzi per meglio dire le chiavi di accesso ai propri dati sono stati consegnati agli hacker direttamente dagli utenti rispondendo alle email pishing. Di seguito si riporta l’articolo de ILSOLE24.COM (leggi l’articolo)
(di Biagio Simonetta – il sole24.com) – Numeri ufficiali non ce ne sono, ma una conferma sì. E basta per lanciare un allarme pesantissimo. Secondo fonti vicine alla Polizia Postale, infatti, il portale NoiPA sarebbe stato colpito da un attacco informatico che avrebbe consentito agli hacker di sottrarre stipendio e tredicesima di alcuni utenti.
Un’operazione complessa, basata su tecniche di phishing, che riguarderebbe un numero non definito di dipendenti pubblici. Un furto in piena regola che lascia spazio a molti interrogativi e al pesante dubbio di non poter recuperare il maltolto. Ma andiamo con ordine.
Cos’è NoiPA
NoiPA è il sistema stipendiale per la Pubblica Amministrazione gestito dal ministero dell’Economia e delle Finanze. Ma è anche un portale a tutto tondo per gestire il trattamento economico e giuridico del personale centrale e periferico della PA e per i connessi adempimenti previdenziali e fiscali. Per i dipendenti pubblici, NoiPA è il sito dove gestire cedolini e verificare, tra le altre cose, lo stato dei pagamenti.
Cosa è successo
Oggi, se un dipendente pubblico cambia banca e ha necessità di fornire il nuovo Iban per l’accredito dello stipendio, deve farlo direttamente online sul portale. Ed è proprio qui che avrebbe avuto origine l’attacco informatico. Grazie a migliaia di mail di phishing (le classiche mail esca che – travestite da mail istituzionali – chiedono la modifica di dati personali), alcuni utenti avrebbero dato in pasto a un gruppo di hacker tutte le informazioni per accedere al portale NoiPA, comprese quelle che consentono di cambiare il numero di telefono e l’Iban su cui accreditare le spettanze.
In questo caso, il cambio del numero di telefono è determinante, perché nella procedura di cambio Iban, l’utente deve effettuare una chiamata di sicurezza dal numero di telefono impostato nel sistema, così da verificare la sua identità. Una chiamata di sicurezza che viene gestita da sistemi informatici (la chiamata viene chiusa dopo uno squillo, senza alcuna risposta). FINE ARTICOLO.
ALCUNI CONSIGLI SULLA SICUREZZA:
Mai condividere i propri dati personali: date di nascita, indirizzi, numeri telefono ecc. sui social. Se lo avete fatto cambiateli subito e rendete privato qualsiasi vostro dato sensibile. Non rendete pubblica e visibile a tutti la vostra pagina Facebook (che contiene i vostri dati personali, luogo di nascita ecc.), attuate le modifiche tramite le impostazioni. Pubblicate meno informazioni possibili (vostre fotografie e di altre persone).
Dotatevi di un robusto antivirus a pagamento per il PC (Link consigliato>>>>>)
Antivirus per android (Link consigliato>>>>>)
Gestore di password (Link consigliato>>>>>)
I cellulari con sistema operativo Android sono particolarmente vulnerabili.
Tutti i vostri account di qualsiasi genere devono avere password uniche e complesse, se un vostro account viene violato ed usate la stessa password per altri account rendete il gioco facile agli hacker. Per gestire le password usate un password manager sia sul PC che sul vostro cellulare. Con una sola password complessa da ricordare gestite l’accesso ai vostri account in automatico. Non memorizzate le vostre password sui siti e nel vostro pc.
App sullo smartphone
utilizzare solo quelle che usate veramente. Disinstallate le altre. Attenzione al pishing tramite sms, whatsapp e altre app di messaggistica. Alcuni messaggi con link a siti malevoli potrebbero provenire in automatico dai vostri contatti che sono stati già a loro insaputa contaggiati da trojan.
Nell’ ultimi mesi gli hacker si stanno specializzando a sostituire le app bancarie ufficiali con altre identiche ma fasulle che però passano i vostri di accesso dati a loro. Successivamente il vostro cellulare non riceve più gli sms alert inviati dalle banche online per le successive operazioni fraudolente fatte da loro.
Ciò avviene anche clonando le Sim, quindi massima allerta! E’ indispensabile installare un valido soluzione antivirus che monitora il traffico in rete in tempo reale.
Carte di credito
Disattivate le carte di credito che avete caricato sui siti di e-commerce (es. Amazon). Per Paypal, conviene attivare nel sito l’autenticazione a due fattori, in modo che prima di effettuare il pagamento dovrà essere confermato da un codice che vi verrà inviato sul vostro cellulare.
Utilizzate a tale scopo le carte ricaricabili con pochissimo denaro. Prima di effettuare un acquisto online caricate la carta per l’ importo richiesto. Monitorate costantemente i movimenti del vostro conto corrente e fate denuncia alle competenti autorità di polizia e successivamente ricorso, nei tempi stabiliti, alla banca per gli addebiti di somme che ritenete fraudolente.
Considerazione finale
Il portale NOIPA non offre garanzie di sicurezza adeguate. Ci sono tre modi per accedere, quello per l’accesso con PIN (il meno sicuro) prevede l’inserimento del codice fiscale e di una password, per questo tipo di accesso non è prevista l’autenticazione a due fattori 2FA ma il sistema richiede solo un cambio di password, obbligatorio dopo un certo numero di mesi. Cosa grave è che la password da reimpostare viene generata dopo una schermata ed è visibile subito sul sito di Noipa….invece dovrebbe essere inviata all’indirizzo email dell’intestatario della posizione.
Quindi l’ accesso con PIN necessita del codice fiscale che si riesce a ricostruire con un tool con le semplici informazioni che di solito gli sprovveduti inseriscono e rendono visibili su Facebook o altrove (nome e cognome, data e luogo di nascita). La password è di solito composta da sole 8 lettere maiuscole. Una volta fatto login il sistema NON avvisa tramite sms o email che è avvenuto un accesso al portale. Non è il massimo della sicurezza no?
Cos’è l’autenticazione a due fattori e a cosa serve?
Serve principalmente a tutelare la tua sicurezza. Il codice che dovrà essere inserito oltre al nome utente ed alla password verrà generato all’istante e ti sarà inviato via email (o mostrato) su un dispositivo di tua proprietà.
In questo modo, se qualcuno dovesse scoprire/rubare il tuo nome utente e la tua password (come è avvenuto con il pishing) non potrà comunque accedere al servizio perché avrà bisogno del secondo codice che arriverà sul tuo dispositivo personale o alla tua email.
Questa procedura potrebbe essere non agevole per chi non ama destreggiarsi con email e smartphone, ma è il minimo che un portale di una certa importanza dovrebbe garantire. Ci sarà un responsabile di quanto accaduto e del danno procurato?
Sicuramente SI ma lasciamo che sia la magistratura ad indagare e decidere sul caso.
E allora come porre rimedio?
Attivare al più presto l’autenticazione SPID, se si sceglie l’ Identity Provider delle Poste Italiane il riconoscimento avverrà DI PERSONA gratuitamente presso gli uffici postali.
CREA LA TUA IDENTITA’ DIGITALE QUI>>>>>
Prendere appuntamento presso qualsiasi Ufficio Postale per completare la procedura di registrazione davanti a un operatore, dopo esserti autenticato sul sito Poste Italiane. MAGGIORI INFO QUI
Verifica se sei stato coinvolto in una violazione di dati online – collegati al seguente link per verificare:
ALCUNI LINK UTILI
Il Blog di kaspersky (dedicatevi alla lettura)
https://www.kaspersky.it/blog/?s=pishing
https://statistics.securelist.com/en
One thought on “NEWS / IL REGALO DI NATALE SU NOIPA – RUBATI STIPENDI E TREDICESIME AD UN NUMERO (LIMITATO?) DI DIPENDENTI PUBBLICI”