giovedì, Agosto 13, 2020

Sicurezza informatica, i rischi che si corrono quando ci si sente al sicuro: “la domanda non é quando saremo attaccati, ma, da quanto siamo stati attaccati”

Nei mesi passati sono stati pubblicati diversi articoli i quali “prevedono che il più grande attacco informatico nella storia” è destinato a verificarsi presto (entro la fine del 2020). Uno dei principali fattori alla base di questa affermazione è, sempre più, la grande superficie di attacchi aziendali e inoltre, il grande aumento degli hacker, a cui stiamo assistendo durante la pandemia COVID-19.

Chiediamo all’ Ing. Benito Mirra, esperto in cybersecurity, un parere tecnico su cosa ci dobbiamo aspettare nei prossimi mesi:

Redazione: Secondo lei, esistono delle soluzioni per proteggere le reti e gli utenti dagli attacchi informatici a cui stiamo assistendo soprattutto in questa situazione emergenziale e critica causata dal COVID-19?


BM: Non esiste, mi passi il termine, un “vaccino”, ma esistono delle procedure preventive che possono sicuramente aiutare. Effettivamente sono in aumento le campagne di phishing e malspam e gli attacchi cyber che, sfruttando l’ondata di emotività e allarmismo creata dalla diffusione del coronavirus, fanno arrivare via mail vari tipi di malware che cercano di rubare informazioni personali/aziendali. In prima linea, quelle con malware Emotet e Trickbot; ma di recente si riportano casi con altri malware.

A seguito di ciò occorre aggiungere, alla quotidiana prudenza, il sospetto su qualsiasi attività informatica proveniente dall’esterno. Siate sospettosi. Qualsiasi email potrebbe essere un tentativo di attacco.

Ciò che ha reso questa emergenza diversa dagli eventi precedenti è l’impatto immediato e rapido che ha avuto sull’economia Cyber Crime. Con i criminali informatici che non hanno lasciato nulla di intentato.

Redazione: Come difendersi da phishing, malspam e malware a tema coronavirus?
BM: In questo tipo di attacchi, vengono utilizzati strumenti automatizzati al fine di inserire combinazioni di nomi utente e password da elenchi di credenziali precedentemente compromesse durante i data- breach.
Una volta che gli aggressori indovineranno la combinazione giusta, avranno pieno accesso alla macchina bersaglio e, di solito, utilizzeranno questo accesso per rubare informazioni sensibili, per installare malware o spostarsi lateralmente all’interno della rete dell’organizzazione per trovare obiettivi più preziosi e stabilire silenziosamente la loro permanenza nel network.

Per mantenere il giusto livello della Business-Continuity si è reso necessario, per molti utenti, continuare ad avere accesso ai dispositivi presenti on-site in azienda anche da remoto. Questo non ha fatto altro che aumentare la possibile superficie d’attacco a disposizione dei criminal hacker.

Redazione: phishing e malspam, come funzionano?
BM: In Italia ci sono campagne di mail che contengono Trickbot in documenti Word, all’interno delle quali si promettono informazioni utili sul coronavirus. Analogamente, nelle settimane passate c’è stata una diffusione massiccia di e-mail contenenti allegati con il banking-trojan Emotet. Si noti come questi due malware vadano spesso a braccetto: Emotet è a volte usato come framework di distribuzione di Trickbot. Obiettivo, esfiltrare informazioni personali dell’utente, soprattutto dati bancari. E’ stato diffuso, qualche settimana fa, un alert dalla Polizia Postale in merito ad un attacco phishing ai danni di utenti degli istituti bancari Intesa San Paolo e Monte dei Paschi, sempre con l’intento di rubare dati bancari. In questo caso particolare, i criminali hacker stanno diffondendo e-mail con una falsa informativa e una comunicazione urgente in merito all’emergenza sanitaria.
L’utente viene spinto a cliccare su un link che lo porta su una finta pagina della banca dove gli si chiede di inserire i propri dati e-banking.
In relazione all’emergenza sanitaria connessa alla diffusione del coronavirus, la stessa Polizia Postale, tramite il suo sportello della sicurezza web, aveva già segnalato un aumento di messaggi divulgati mediante applicazioni di messaggistica e social network contenenti notizie che potevano generare disinformazione oltre che veicolare malware di vario tipo.

Redazione: ultimamente si è sentito parlare delle finte e-mail dell’OMS.
BM: Confermo, come se non bastasse, anche l’Organizzazione mondiale della sanità (OMS) avverte di attacchi di phishing a tema coronavirus che impersonano l’organizzazione stessa con l’obiettivo finale di rubare informazioni e consegnare virus informatici alle vittime. I messaggi appaiono a prima vista inviati da funzionari dell’OMS che chiedono agli interlocutori di condividere le proprie credenziali, reindirizzandoli poi ad una pagina di destinazione di phishing tramite collegamenti dannosi incorporati nelle e-mail o chiedendo loro di aprire allegati malevoli armati con i più insidiosi malware in circolazione.
Un esempio di tale campagna di phishing che utilizza Covid-19 come esca:

L’e-mail, che porta il logo dell’Organizzazione Mondiale della Sanità, invita a scaricare l’allegato sul proprio computer facendo click sul pulsante “Misure di sicurezza”. In realtà, questo link reindirizza verso un sito compromesso che carica il sito Web dell’OMS in un frame HTML e visualizza un popup in primo piano richiedente una verifica di e-mail e password. Queste credenziali verranno esfiltrate su un server controllato dagli stessi hacker. Nel mese di Maggio, invece, la scoperta di un eseguibile “CoronaVirusSafetyMeasures_pdf.exe”, il cui metodo più probabile di diffusione sembra essere una campagna di phishing che lo consegnerebbe come allegato. L’eseguibile, un dropper RAT Remcos, dopo aver assicurato la propria persistenza sul sistema colpito, inizia a registrare le sequenze di tasti e quindi a rubare password e dati di accesso ai servizi online e altri dati riservati dell’utente, esfiltrandoli poi su un loro server in ascolto.
All’inizio del mese di Febbraio, invece, i ricercatori di IBM X-Force Threat Intelligence hanno scoperto un’altra campagna di phishing che distribuiva il malware info-stealer Lokibot tramite e-mail, progettate per sembrare come se fossero state inviate dal Ministero della Salute della Repubblica Popolare Cinese. Alla fine del mese di Gennaio è stata osservata anche un’ennesima distribuzione di payload di Emotet mentre si avvertivano segnalazioni di infezione da coronavirus in varie prefetture giapponesi.
Qualche settimana fa, il collettivo di ricerca sulla sicurezza Malware-Hunter-Team ha trovato invece un documento di Microsoft Office, sempre a tema coronavirus, contenente macro dannose, fingendo di provenire dal Center for Public Health del Ministero della Salute dell’Ucraina.

Redazione: si parla sempre più spesso di siti malevoli…
BM: Fonti autorevoli dichiarano che nel mese di Marzo sono nati ca. 17 mila siti infetti contenenti mappe che si dichiarano aggiornate sull’epidemia. Queste pagine web contengono un codice malevolo che cerca di rubare i dati personali. Spesso il codice è proprio nella mappa.

Redazione: ci può dare qualche indicazione sui vari tipi di malware e come funzionano?
BM: ci sono vari tipi di malware con specifiche funzioni: i Ransomware, gli account specifici per gli attacchi informatici, Vishing, Smishing, le APP, un trojan che ruba informazioni delle carte di credito dal cellulare.
Alcuni malware allegati alle email sono Ransomware:

  • Cyberark è in pagine web segnalate con link via mail e mira a bloccare il PC.
  • CovidLock invece è nascosto in alcuneAPPGoogle Play e blocca lo smartphone.

Ancora diverso GINP (il mobile banking trojan) che promette di visualizzare la posizione delle persone risultate positive al coronavirus. In realtà il suo scopo è quello di rubare i dati delle carte di credito delle vittime. Si diffonde via sms sul cellulare e spinge a scaricare un’app malevola, che poi porta ad inserire i dati della propria carta di credico su un modulo. Per contrastare questo fenomeno in evoluzione, occorre innanzitutto cautela e seguire delle semplici regole di buona pratica valide, in generale, sia il phishing sia il malspam. Si ricorda, inoltre, che le uniche informazioni e comunicazioni attendibili riguardo al coronavirus in Italia, sono quelle divulgate dal Ministero della Salute e dalla Protezione Civile Nazionale.
L’account takeover, invece, è un attacco in cui i criminali informatici sfruttano le credenziali rubate nel corso di data-breach per prendere il controllo di account come on-line banking e simili. Ora, in maniera più preoccupante, sapendo che i bambini di tutto il mondo non vanno a scuola, i truffatori si rivolgono direttamente a loro nella speranza di accedere ai loro account, specialmente nel mondo gaming. Questi, infatti, sono spesso collegati alle carte di credito dei genitori. Informare i soggetti target (in questo casi ragazzi e bambini) della possibilità di essere soggetti di messaggi falsi con scopo di adescamento è il primo passo da compiere.
Una volta rilevato il messaggio bisogna poi informare la Polizia Postale. Ecco alcuni siti utili:
· https://www.commissariatodips.it/
· https://www.google.com/intl/it/contact/
· https://support.apple.com/it-it/HT201303
· http://www.protezionecivile.gov.it/media-comunicazione/news/dettaglio/-/asset_publisher/default/content/emergenza-coronavirus-attivato-il-conto-corrente-per-le-donazioniPhishing

Redazione: Cosa hanno in comune i conti bancari online e COVID-19?
BM: Non molto, a meno che non siate un Hacker. Hacker che invia ai clienti di una banca un’e-mail e consiglia loro di chiamare la sede per risolvere un mancato pagamento.
Si tratta di un tipico stratagemma. Tranne per il fatto che include anche la frase “Se la vostra situazione finanziaria è stata influenzata da COVID-19, chiamateci per discutere le opzioni…”. L’e-mail fornisce poi un numero di telefono VoIP da chiamare al posto di un link da cliccare.
Mentre gli attacchi di vishing comportano la ricezione di una telefonata VoIP non richiesta da parte di qualcuno che sembra rappresentare una banca o un’altra organizzazione, questo nuovo tipo di attacco, soprannominato “reverse vishing”, utilizza e-mail, annunci online o post sui social media per convincere le potenziali vittime a chiamare un numero di telefono controllato dal truffatore.
E’ utile, in questo caso, consultare direttamente i siti ufficiali dei soggetti coinvolti, chiedere sempre i nominativi delle persone che vi contatteranno o contattare telefonicamente le forze dell’ordine. Utile, sarebbe, dotarsi preventivamente diAPPIOS e Android anti Phishing..

Redazione: lei accennava al Smishing, cosa è esattamente?
BM: Un attacco smishing è un attacco di phishing che utilizza SMS invece di messaggi e-mail per effettuare l’attacco. I truffatori aggiungono un tocco di Coronavirus a questo tipo di truffa già sperimentata. Questo tipo di attacchi in genere cercano di ingannare chiunque risponda, allo scopo di fornire informazioni sul proprio conto come condizione per richiedere il pagamento o i punti offerti.
Anche in questo caso è utile dotarsi diAPPIOS e Android anti-Phishing.

Redazione: si parla sempre più spesso della pericolosità dei Social Media.
BM: Come per le truffe menzionate, l’ Hacker usa il COVID-19 come pretesto per un atto di generosità, per esempio, un post su Facebook o un tweet , nei quali sono contenuti link maligni che imitano qualche raccolta fondi o iniziativa benefica. In questo caso, ciò che gli attaccanti vogliono davvero dai social media è che il lettore clicchi e fornisca informazioni personali o si iscriva a costosi servizi o, ancora peggio, condivida il post con gli amici, in modo da attirare ancora più vittime.
In questo caso è importante consultare i supporti ufficiali dei Social:
· https://it-it.facebook.com/help/1079477105456277/?helpref=hc_fnav
· https://www.google.com/intl/it/contact/
· https://support.apple.com/it-it/HT201303

Redazione: leAPPfanno parte della nostra quotidianità, sono un pericolo?
BM: Non tutti i tentativi di attacco riguardano e-mail, telefonate o messaggi. Le applicazioni mobile sono un vettore di attacco in rapida crescita per la diffusione di malware, spyware e ransomware.
Giocando sull’interesse globale per l’argomento, gli Hacker hanno rilasciato una serie di falseAPPmobile relative al COVID-19 che affermano di offrire le ultime notizie e gli aggiornamenti più recenti.
Queste falseAPPstanno invece scaricando malware e ransomware in grado di compromettere il dispositivo della vittima.
Le fake App, in questi casi, riescono a passare i controlli dei relativi ambienti ufficiali di distribuzione Android ed Apple. E’ utile quindi dotarsi di applicazioni terze e consultare Play Store e ITunes.
Qui due link utili:
· https://www.google.com/intl/it/contact/
· https://support.apple.com/it-it/HT201303

Redazione: In conclusione esiste un comune denominatore, una chiave di lettura? Quali contromisure possiamo prendere?
BM: Il Social Engineering è la chiave. Il Cyber Crime dipende moltissimo dall’elemento umano e gli Hacker sanno di dover manipolare i nostri istinti primordiali per avere successo. Sono intelligenti e astuti e fanno leva sulle tattiche che molte organizzazioni di marketing utilizzano per colpire le nostre emozioni e per farci acquistare un prodotto o un servizio.
Gli Hacker erano ben preparati a trarre profitto dalla pandemia prima ancora che la maggior parte di noi avesse sentito parlare del virus. Già a Gennaio, erano stati identificati decine di migliaia di nuovi domini che contenevano le parole coronavirus e COVID-19.
Mentre le persone lavorano sempre più spesso da casa e le piattaforme di comunicazione online come Zoom e Microsoft Teams diventano cruciali, gli Hacker inviano e-mail di phishing che includono file dannosi con nomi come:

  • “zoom-us-us-zoom_.exe”
  • “microsoft-teams_X#zu#zu#P_.exe”
    nel tentativo di ingannare le persone a scaricare malware sui loro dispositivi. Alcuni ricercatori hanno scovato finti siti governativi con delle fake news per spingere gli utenti a cliccare sul link e soprattutto campagne spam che annunciavano cure o le ultime notizie sul virus, per portare poi a pagine maligne e inoculare così codici malevoli nei dispositivi degli utenti.

Occorre perciò prendere le dovute contromisure: il consiglio è sempre lo stesso, non abbassare mai la guardia di fronte a tutto ciò che riceviamo via mail o che decidiamo di scaricare.
Evitare di cliccare sui link nelle e-mail non richieste e diffidare degli allegati di posta elettronica, non rendere MAI pubbliche le riunioni e assicurarsi che siano protette da password per evitare il dirottamento di eventuali videoconferenze.

Redazione: ci può dare un Vademecum per proteggerci dagli attacchi informatici?
BM: come detto all’ inizio di questa intervista, non esiste un “vaccino”, ma esistono delle procedure preventive che possono sicuramente aiutare. Qui di seguito alcune suggerimenti che possono essere utili gli utenti (soprattutto aziende) a fare prevenzione:

a. Non installare software sconosciuti o di dubbia provenienza senza autorizzazione della amministrazione.

b. Non scaricare file compressi con estensione ZIP, RAR, TAR, GZ.

c. Non cliccare su link che provengono da fonti sconosciute o sono allegati a messaggi sospetti.

d. Prima di aprire un documento Word verificare che l’estensione sia DOCX e diffidare delle estensioni DOCM o DOC.

e. Prima di aprire file Excel verificare che l’estensione sia XLSX e diffidare delle estensioni XSLM o XLS.

f. Non inserire mai username e password di lavoro su siti o programmi esterni all’amministrazione dell’azienda per cui lavori.

g. Seguire scrupolosamente le policy e le raccomandazioni dettate dalla tua Amministrazione

h. Assicurati che gli accessi siano protetti da una password sicura e comunque conforme alle policy-password emanate dalla tua Amministrazione

i. Non installare software proveniente da fonti/repository non ufficiali

j. Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro

k. Non cliccare su link o allegati contenuti in email sospette

l. Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette

m. Non collegare a pc aziendali pen-drive, hdd-esterno, etc, di cui non conosci la provenienza e comunque sempre previa autorizzazione della amministrazione.

n. Effettuare sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.

o. Non collegarti con il tuo smartphone o pc alla rete (wifi) aziendale, previa autorizzazione della amministrazione.

p. Non dare accesso a clienti / fornitori alla rete aziendale (wifi) previa autorizzazione della amministrazione.

q. Verificare sempre il mittente controllando l’indirizzo e-mail

r. Controllare dove puntano realmente i link contenuti nei messaggi di posta prima di fare clic: basta passarci di sopra con il mouse e leggere l’indirizzo reale nella barra di stato del programma di posta elettronica

s. Prestare attenzione quando si forniscono informazioni personali/aziendali: non fornire mai le credenziali a terzi; se abbiamo fornito incautamente informazioni riservate, avvisare immediatamente l’ amministrazione per reimpostare al più presto le credenziali di accesso sui siti ufficiali; nessuna banca o altra autorità ci chiederà mai le nostre credenziali

t. Non farsi prendere dal panico o sentirsi sotto pressione, cedendo a trucchi allestiti puntualmente per far cliccare su collegamenti o aprire allegati malevoli

Da NON DIMENTICARE: la cura per il COVID-19 non la troveremo mai online!

- Advertisement -
- Advertisement -
- Advertisement -

More Articles Like This

- Advertisement -