<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small">Hello, I'm not sure if this is related to the other reports below, but we just experienced a phishing email virus sent to our users, which specifically refers to "library services" in the subject line and even includes our full name, paper mailing address, and circulation email address in the signature (which appears to be copied right off our homepage footer). The email of course tells the user to click on a link which will then trick them into giving up their campus username/password.  I'm guessing that the intended use of this is to hack the library databases, because of the way the library's identity is targeted in the phishing email.  We definitely know of some patrons who have been tricked already.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small">So I'm expecting some vendor blocking problems to arise in the next day or two.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small">Has anyone else gotten attacked with a similar phishing attack that reference the library in particular, lately?</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small">Melissa Belvadi, UPEI</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jun 8, 2016 at 12:29 PM, Heather Shipman <span dir="ltr"><<a href="mailto:heather.shipman@cornell.edu" target="_blank">heather.shipman@cornell.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">If you see the same user appearing in the logs over and over again, it might be worth getting IT to check their computer for viruses, too. One of our ACS blocks was associated
 with a single user whose computer had to be referred to Security/IT; it was downloading the same content over and over, and “not honoring” a block from “Network Quarantine”.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">Heather Shipman<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">E-resources Acquisition Specialist<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">110 Olin Library, Cornell University<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><a href="mailto:Heather.shipman@cornell.edu" target="_blank"><span style="color:#0563c1">Heather.shipman@cornell.edu</span></a> ; <a href="tel:607-254-1499" value="+16072541499" target="_blank">607-254-1499</a><u></u><u></u></span></p>
</div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><u></u> <u></u></span></p>
<div>
<div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Eril-l [mailto:<a href="mailto:eril-l-bounces@lists.eril-l.org" target="_blank">eril-l-bounces@lists.eril-l.org</a>]
<b>On Behalf Of </b>Sally Krash<br>
<b>Sent:</b> Wednesday, June 08, 2016 8:18 AM<br>
<b>To:</b> <a href="mailto:eril-l@lists.eril-l.org" target="_blank">eril-l@lists.eril-l.org</a><br>
<b>Subject:</b> Re: [Eril-l] American Chemical Society blocked IPs<u></u><u></u></span></p>
</div>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">They unblocked us Monday afternoon, after we identified the account associated with the unauthorized use. So, they are working on restoring access to libraries.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Sally Krash<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">Head of Information Resources Management<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">W.E.B. Du Bois Library<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d">University of Massachusetts Amherst<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><a href="tel:413-545-6865" value="+14135456865" target="_blank">413-545-6865</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><a href="mailto:krash@library.umass.edu" target="_blank">krash@library.umass.edu</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<div>
<div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Eril-l [<a href="mailto:eril-l-bounces@lists.eril-l.org" target="_blank">mailto:eril-l-bounces@lists.eril-l.org</a>]
<b>On Behalf Of </b>Bob Pearson<br>
<b>Sent:</b> Wednesday, 8 June 2016 9:59 a.m.<br>
<b>To:</b> Kathleen Folger <<a href="mailto:kfolger@umich.edu" target="_blank">kfolger@umich.edu</a>>; Egan,Noelle <<a href="mailto:nme26@drexel.edu" target="_blank">nme26@drexel.edu</a>><br>
<b>Cc:</b> <a href="mailto:eril-l@lists.eril-l.org" target="_blank">eril-l@lists.eril-l.org</a><br>
<b>Subject:</b> [FORGED] Re: [Eril-l] [FORGED] Re: American Chemical Society blocked IPs<u></u><u></u></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-NZ"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-NZ" style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#1f497d">Yep, into our 3<sup>rd</sup> day of being blocked. Identified a compromised account and reset the password and notified ACS. They have asked for
 the IP addresses used, which I will collate and give them, but they have not unblocked us in the meantime.  </span><span lang="EN-NZ" style="font-size:10.0pt;font-family:Wingdings;color:#1f497d">L</span><span lang="EN-NZ" style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-NZ" style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-NZ" style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#1f497d">Clearly this was a large-scale planned breach. From my first quick look at IPs they seem to be Russian. I’m curious whether others found the same,
 or is there a wider geographic spread?<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-NZ" style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-NZ" style="font-size:9.0pt;font-family:"Verdana",sans-serif;color:#1f497d">Bob Pearson<br>
Digital Access Librarian<br>
Digital Services<br>
The University of Auckland Library<br>
New Zealand</span><span lang="EN-NZ" style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-NZ" style="font-size:10.0pt;font-family:"Verdana",sans-serif;color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Eril-l [<a href="mailto:eril-l-bounces@lists.eril-l.org" target="_blank">mailto:eril-l-bounces@lists.eril-l.org</a>]
<b>On Behalf Of </b>Kathleen Folger<br>
<b>Sent:</b> Wednesday, 8 June 2016 8:37 a.m.<br>
<b>To:</b> Egan,Noelle <<a href="mailto:nme26@drexel.edu" target="_blank">nme26@drexel.edu</a>><br>
<b>Cc:</b> <a href="mailto:eril-l@lists.eril-l.org" target="_blank">eril-l@lists.eril-l.org</a><br>
<b>Subject:</b> [FORGED] Re: [Eril-l] American Chemical Society blocked IPs<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-NZ"><u></u> <u></u></span></p>
<div>
<p class="MsoNormal"><span lang="EN-NZ">Noelle,<u></u><u></u></span></p>
<div>
<p class="MsoNormal"><span lang="EN-NZ"><u></u> <u></u></span></p>
</div>
<div>
<p class="MsoNormal"><span lang="EN-NZ">Thanks so much for sharing this information. We got a report from ACS of a breach via our proxy server and investigated as we do normally. We identified a compromised user account and reported back to ACS but they have
 not been responding to our requests to have the block removed.  Now I know why.<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal"><span lang="EN-NZ"><u></u> <u></u></span></p>
</div>
<div>
<p class="MsoNormal"><span lang="EN-NZ">-Kathleen<u></u><u></u></span></p>
</div>
</div>
<div>
<p class="MsoNormal"><span lang="EN-NZ"><br clear="all">
<u></u><u></u></span></p>
<div>
<div>
<p class="MsoNormal"><span lang="EN-NZ" style="background:white">_________________________________________<br>
Kathleen M. Folger, Electronic Resources Officer<br>
University of Michigan Library<br>
312 Hatcher North<br>
Ann Arbor, MI 48109-1190<br>
V:<a href="tel:%28734%29%20764-9375" value="+17347649375" target="_blank">(734) 764-9375</a><br>
F:<a href="tel:%28734%29%20764-0259" value="+17347640259" target="_blank">(734) 764-0259</a><br>
<a href="mailto:kfolger@umich.edu" target="_blank">kfolger@umich.edu</a></span><span lang="EN-NZ"><u></u><u></u></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-NZ"><u></u> <u></u></span></p>
<div>
<p class="MsoNormal"><span lang="EN-NZ">On Tue, Jun 7, 2016 at 4:19 PM, Egan,Noelle <<a href="mailto:nme26@drexel.edu" target="_blank">nme26@drexel.edu</a>> wrote:<u></u><u></u></span></p>
<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal">Hi All,<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Here at Drexel we had a hack of 4 users account on Sunday, and the accounts were used to download massive numbers of articles from ACS.  ACS subsequently blocked our access through
 our EZProxy IP address.  <u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">I just got off the phone with Richard at ACS about this, who let me know that many universities had user accounts hacked in the same way, and this breach was affecting several other
 publishers as well.   I was surprised I hadn’t seen any traffic about the issue on this listserv – has anyone else been blocked by ACS or another publisher in the last few days for excessive downloading? 
<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">FYI – ACS says they are not unblocking any IP addresses until they have the issue resolved, at which time they’ll email all their affected customers about reinstated access. 
<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal">Thanks, Noelle<u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#003377">-------------------------------------------------------------------</span></b><u></u><u></u></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#003377">Noelle Egan<br>
</span></b><i><span style="font-size:10.0pt;color:black">eResources & Acquisitions Librarian</span></i><u></u><u></u></p>
<p class="MsoNormal"><span style="font-size:10.0pt;color:black">Drexel University Libraries<i> </i></span><b><i><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black"><br>
</span></i></b><b><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:#003377">Drexel University<br>
</span></b><span style="font-size:10.0pt;color:black">3300 Market Street<br>
W. W. Hagerty Library<br>
Philadelphia, PA 19104<br>
Tel: <a href="tel:215.895.2752" target="_blank">215.895.2752</a>  |  Fax: <a href="tel:215.895.2070" target="_blank">
215.895.2070</a><br>
<a href="http://www.library.drexel.edu/" target="_blank">drexel.edu/library</a></span><u></u><u></u></p>
<p class="MsoNormal"> <u></u><u></u></p>
</div>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN-NZ"><br>
_______________________________________________<br>
Eril-l mailing list<br>
<a href="mailto:Eril-l@lists.eril-l.org" target="_blank">Eril-l@lists.eril-l.org</a><br>
<a href="http://lists.eril-l.org/listinfo.cgi/eril-l-eril-l.org" target="_blank">http://lists.eril-l.org/listinfo.cgi/eril-l-eril-l.org</a><u></u><u></u></span></p>
</blockquote>
</div>
<p class="MsoNormal"><span lang="EN-NZ"><u></u> <u></u></span></p>
</div>
</div>
</div>

<br>_______________________________________________<br>
Eril-l mailing list<br>
<a href="mailto:Eril-l@lists.eril-l.org">Eril-l@lists.eril-l.org</a><br>
<a href="http://lists.eril-l.org/listinfo.cgi/eril-l-eril-l.org" rel="noreferrer" target="_blank">http://lists.eril-l.org/listinfo.cgi/eril-l-eril-l.org</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Melissa Belvadi</div><div>Collections Librarian</div><div>University of Prince Edward Island</div><div><a href="mailto:mbelvadi@upei.ca" target="_blank">mbelvadi@upei.ca</a> 902-566-0581</div><div><br></div><div><br></div></div></div>
</div>