La sicurezza delle app per videochiamate

 

Quanto sono sicure le applicazioni più popolari per videochiamate?

#iorestoacasa non è solo un tag popolare sui social network, ma anche una dura realtà per le aziende costrette dalla pandemia da coronavirus a far lavorare da remoto la maggior parte del proprio personale. Gli incontri faccia a faccia sono stati sostituiti dalle videochiamate. Tuttavia, le conferenze aziendali non servono solo per parlare del tempo, quindi prima di affidarsi a un’applicazione per videoconferenze, date un’occhiata ai suoi meccanismi di protezione dei dati. Per essere chiari, non abbiamo condotto dei test di laboratorio su queste app; abbiamo consultato fonti disponibili pubblicamente per informazioni su problemi noti nei software più diffusi.

Google Meet e Google Duo

Google offre due servizi di videochiamata: Meet e Duo. Il primo è un’applicazione che si integra con gli altri servizi di Google (G Suite). Se la vostra azienda li utilizza, Hangouts Meet si adatta bene.

Sicurezza — Google Meet

Tra i vantaggi di Meet, il vendor cita un’infrastruttura di elaborazione dati affidabile, la cifratura (non end-to-end, però) e una serie di strumenti di protezione, tutti attivi di default. Come la maggior parte degli altri prodotti aziendali, G Suite (e quindi anche Google Meet), segue standard di sicurezza avanzati e offre, tra le sue caratteristiche, opzioni di configurazione e di gestione dei diritti di accesso fra le sue impostazioni di sicurezza.

Sicurezza — Google Duo

L’app per cellulari Duo, invece, protegge i dati con la cifratura end-to-end. Tuttavia, si tratta di un’applicazione pensata per utenti privati, non per aziende. Le sue videochiamate possono ospitare un massimo di 12 partecipanti.

Vulnerabilità e lati negativi

A parte alcuni messaggi che ricordano a tutti noi che Google raccoglie i dati degli utenti e quindi può essere una minaccia per i segreti commerciali non siamo riusciti a trovare informazioni concrete sulle prestazioni di sicurezza di queste applicazioni di videoconferenza. Questo non significa che i servizi di Google siano impeccabili, ma sono supportati da un team di sicurezza molto forte che tende a risolvere i problemi prima che causino danni.

Slack

Su Slack, è possibile creare più spazi di lavoro in chat per i team, comodamente visualizzati in un’unica finestra, più canali all’interno dello spazio di lavoro dedicato ai diversi progetti. Le conferenze sono limitate a 15 partecipanti.

Sicurezza

Slack rispetta una serie di standard di sicurezza internazionali, tra cui SOC 2. Il servizio può essere configurato per lavorare con dati medici e finanziari e permette alle aziende di selezionare una zona per l’archiviazione dei dati. Inoltre, per entrare a far parte di uno spazio di lavoro Slack è necessario un invito o un indirizzo e-mail utilizzando il dominio aziendale.

Slack in più offre ai propri clienti strumenti flessibili di gestione dei rischi, integrazione con soluzioni di Data Loss Prevention (DLP) e strumenti di controllo di accesso ai dati. Ad esempio, gli amministratori possono limitare l’uso di Slack da dispositivi personali e la copia di informazioni dai propri canali.

Vulnerabilità e lati negativi

Secondo gli sviluppatori di Slack, solo un numero limitato di aziende ha realmente bisogno di una cifratura end-to-end, e l’implementazione della stessa per la sicurezza nell’applicazione per le videoconferenze può limitare le funzionalità. Pertanto, Slack apparentemente non ha intenzione di aggiungere la cifratura end-to-end.

Slack consente inoltre di integrare applicazioni di terze parti, la cui sicurezza non è di sua competenza.

Per di più, i ricercatori hanno trovato delle vulnerabilità gravi in Slack. L’azienda ha rilasciato patch per due vulnerabilità: un bug che permetteva ai cybercriminali di rubare i dati e uno che consentiva l’intercettazione della sessione di un utente.

Microsoft Teams

Microsoft Teams è integrato in Office 365, principale vantaggio per un utente aziendale. In risposta alla crescente richiesta di tool per lavorare da casa, Microsoft offre ora una prova gratuita di sei mesi di Microsoft Teams, ma gli utenti di prova non potranno configurare le impostazioni e le politiche degli utenti, un potenziale pericolo per la sicurezza.

Sicurezza

Teams rispetta diversi standard internazionali, può essere impostato per lavorare con dati medici riservati e vanta opzioni di gestione della sicurezza flessibili. Per quanto riguarda alcuni piani dei servizi, su Teams è possibile integrare strumenti aggiuntivi, come il DLP o la scansione dei file in uscita. La nostra soluzione di sicurezza per la protezione di MS Office 365 esegue la scansione dei dati scambiati attraverso Teams per evitare che i malware si diffondano attraverso la rete aziendale.

I dati inviati al server, sia che si tratti di chat che di videochiamate, sono cifrati, ma anche in questo caso non stiamo parlando di cifratura end-to-end. Parlando di immagazzinamento ed elaborazione, le informazioni non lasciano mai la zona in cui opera la vostra azienda.

Vulnerabilità

È una buona idea monitorare le vulnerabilità su Teams. In genere Microsoft le risolve rapidamente, ma si ripresentano di tanto in tanto. Ad esempio, dei ricercatori hanno recentemente scoperto una vulnerabilità (già risolta) che permetteva di prendere il controllo di un account.

Skype for Business

La versione su cloud di Skype for Business (il predecessore di Teams for Office 365) sta gradualmente diventando un ricordo del passato, ma è ancora possibile installarla in locale. Alcuni utenti lo trovano più comoda rispetto a Teams e Microsoft continuerà a fornire supporto per la versione locale di Skype durante i prossimi due anni.

Sicurezza

Skype for Business cifra le informazioni, ma non end-to-end, e la protezione del servizio è configurabile. Questa applicazione per videoconferenze utilizza anche un software per server locali, in modo tale che le videochiamate e altri dati non escano mai dalla rete aziendale, un evidente vantaggio.

Vulnerabilità e lati negativi

Il prodotto non durerà per sempre, per questo sarà vulnerabile ad attacchi come gli spyware commerciali. A meno che Microsoft non modifichi i suoi piani, il supporto per l’applicazione terminerà a luglio 2021 e Skype for Business Server 2019 riceverà supporto esteso fino al 14 ottobre 2025.

WebEx Meetings e WebEx Teams

Cisco WebEx Meetings è un servizio focalizzato esclusivamente sulle videoconferenze e Cisco WebEx Teams è un servizio completo di coworking che, tra le altre cose, supporta le videochiamate. Per quanto riguarda l’argomento di questo post, la differenza è nell’approccio dal punto di vista della cifratura.

Sicurezza

Cisco WebEx Meetings include servizi aziendali e cifratura end-to-end (l’opzione è disattivata di default, ma il provider del servizio può attivarla su richiesta. In questo modo si limita in qualche modo la funzionalità, ma se i vostri dipendenti si occupano di informazioni riservate durante le riunioni, è certamente una buona opzione da prendere in considerazione). Cisco WebEx Teams fornisce una cifratura end-to-end solo per i messaggi e i documenti, mentre le chiamate video e audio vengono decifrate sui server Cisco.

Vulnerabilità e lati negativi

Solo a marzo scorso, il vendor ha rilasciato una patch per due vulnerabilità di WebEx Meetings che minacciavano l’esecuzione da remoto del codice. E all’inizio dello scorso anno, un grave bug è stato individuato nel client WebEx Teams. Ciò ha permesso l’esecuzione di comandi con i diritti propri di un utente. Nonostante ciò, Cisco è noto per la sua serietà in materia di sicurezza e aggiorna i suoi servizi in modo rapido.

WhatsApp

WhatsApp è stato ideato per la comunicazione sociale, non per il business, ma l’applicazione gratuita può coprire le esigenze di videoconferenza di piccole aziende o team. Il programma non è adatto alle grandi aziende; la videoconferenza è disponibile solo per un massimo di quattro partecipanti alla volta.

Sicurezza

WhatsApp ha l’indiscutibile vantaggio di una vera cifratura end-to-end. Ciò significa che né terzi né i dipendenti di WhatsApp possono vedere le vostre videochiamate. Ma a differenza delle applicazioni aziendali, WhatsApp non offre quasi nessuna opzione di gestione della sicurezza per chat e chiamate, ma solo ciò che è integrato.

Vulnerabilità e lati negativi

Solamente l’anno scorso gli hacker hanno diffuso lo spyware Pegasus attraverso le videochiamate WhatsApp. Il bug è stato risolto, ma ricordate che l’app non è stata pensata per offrire una protezione per le aziende, quindi, come minimo, gli utenti dovrebbero seguire attentamente le notizie sulla sicurezza informatica.

Zoom

Zoom, una piattaforma di videoconferenza su cloud fa notizia fin dall’inizio della pandemia da coronavirus. Il suo prezzo flessibile (con conferenze gratuite di 40 minuti fino a 100 partecipanti) e la facilità d’uso hanno attirato tantissimi utenti, ma anche i punti deboli della piattaforma hanno richiamato altrettanta attenzione. Per questo, vi suggeriamo di seguire questi consigli per la sicurezza su Zoom.

Sicurezza

Il servizio rispetta lo standard internazionale di sicurezza SOC 2, offre un piano di servizio separato conforme all’HIPAA per i fornitori di servizi sanitari e ha una configurazione flessibile. Gli organizzatori delle sessioni possono bloccare i partecipanti anche quando il link corretto e la password, può impedire la registrazione della conferenza e altro ancora. Se necessario, Zoom può essere impostato in modo tale che il traffico non esca dall’azienda.

Zoom ha affrontato attivamente i problemi di vulnerabilità segnalati, e l’azienda afferma di voler dare priorità alla sicurezza dei prodotti rispetto all’aggiunta di nuove funzionalità.

Vulnerabilità e lati negativi

Zoom sostiene di aver implementato la cifratura end-to-end, ma la dichiarazione non è del tutto esatta. Con la cifratura end-to-end, nessuno, a parte il mittente e il destinatario, può leggere i dati trasmessi, mentre Zoom decifra i dati video sui suoi server e non sempre nemmeno nel paese d’origine della vostra azienda.

Nelle applicazioni Zoom sono state scoperte vulnerabilità di varia entità. I clienti di Windows e macOS che utilizzano Zoom hanno segnalato un bug (già risolto) che permetteva ai cybecriminali di rubare i dati contenuti nel computer. Altri due bug nell’app macOS consentono potenzialmente ai cybercriminali di impossessarsi completamente del dispositivo.

Inoltre, sono emerse numerose segnalazioni di troll su Internet che entravano nelle conferenze pubbliche non protette da password, per pubblicare commenti discutibili e condividere schermate con contenuti osceni. Nel complesso, è possibile risolvere il problema riguardante la sicurezza configurando correttamente la privacy della vostra conferenza, ma Zoom ha anche aggiunto una protezione con password di default per essere sicuri.

La notizia dei problemi di sicurezza di Zoom ha portato grandi protagonisti a screditare il servizio. Ma tutti i servizi hanno delle vulnerabilità e, nel caso di Zoom, l’esplosione di popolarità ha portato a essere sotto i riflettori.

Scegliete l’app più adatta a voi

Non esiste un’app per videochiamate perfettamente sicura, o nessuna app di alcun tipo, se è per questo. Scegliete un servizio i cui aspetti negativi non siano problematici per il vostro business. E ricordate, la scelta dell’app giusta è solo il primo passo.

  • Prendetevi il tempo necessario per configurare la privacy del servizio. Le impostazioni permissive hanno reso possibile molte fughe di dati;
  • Aggiornate tempestivamente le vostre app per risolvere le vulnerabilità il prima possibile;
  • Assicuratevi che i vostri dipendenti abbiano almeno le competenze di base di cybersecurity per un comportamento sicuro su Internet. In caso contrario, organizzate un corso di formazione a distanza di cybersecurity attraverso la nostra piattaforma Kaspersky Security Automated Awareness Platform.

Autore
Sergey Golubev
Kaspersky blog

30 Aprile 2020

Formare i dipendenti per uno smart working sicuro

Avete avuto la possibilità di formare i vostri dipendenti con le nozioni base di sicurezza informatica prima di spingere loro a lavorare da casa?

dipendenti sono l’anello debole di qualsiasi sistema di sicurezza aziendale. Chiunque abbia il compito di proteggere i sistemi informatici può confermarlo: non importa quanto sia avanzata una tecnologia di sicurezza, un dipendente disattento o incauto può sempre commettere un errore e mettere a rischio l’infrastruttura. Se di recente siete passati alla modalità smart working (come quasi la metà della popolazione attuale), il margine di errore adesso è di gran lunga maggiore.  

Quando si lavora in ufficio, i sistemi di protezione e il personale IT sono lì per sobbarcarsi una parte dell’onere. Non è una garanzia di perfetta sicurezza, naturalmente, ma almeno la soluzione antivirus dell’azienda bloccherà i siti di phishing e il team di sicurezza informatica potrà individuare anomalie nel traffico di un dispositivo infetto. Il teamIT installa prontamente gli aggiornamenti per correggere le vulnerabilità più recenti. 

dipendenti che sono passati alla modalità smart working ora si devono occupardi tutti questi aspetti e anche di altri. Qui è dove la cosiddetta “security awareness” comincia a svolgere un ruolo molto più significativo.  

Essere l’amministratore IT di sé stessi 

Quali dispositivi utilizzano i vostri dipendenti per lavorare da casa? Un portatile da ufficio in conformità con le politiche aziendali? Ottimo, ma non è ancora abbastanza. Quel portatile è ora collegato a una rete domestica sconosciuta. Quali altri dispositivi sono collegati al router? Che tipo di router è? Quanto è forte la sua password, chi ha configurato il dispositivo e come? Se il dipendente utilizza un computer di casa personale invece di uno aziendale, non si sa chi altro vi ha accesso, quale soluzione di sicurezza sia installata o se qualcuno si occupi di aggiornare il sistema operativo.   

Non stiamo suggerendo che tutti debbano diventare degli amministratori di sistema professionisti da un giorno all’altro, ma se si fosse in grado di identificare le minacce e i punti deboli sarebbe un grande vantaggio per tutti. Questo impedirebbe ai dipendenti di connettersi direttamente ai database aziendali senza un filtro VPN messo a disposizione dall’azienda o eviterebbe l’installazione di falsi “aggiornamenti flash player” e di lasciare che degli “esperti” esterni giochino con le impostazioni.

Essere il responsabile dati di sé stessi

Quali dati utilizzano i vostri dipendenti per svolgere il loro telelavoro quotidiano? Sanno cosa significa effettivamente detenere delle informazioni riservate e quali dati costituiscono un segreto aziendale? In un mondo perfetto, lo avrebbero imparato il primo giorno, in ufficio. Tuttavia, per un dipendente una cosa è lavorare con un elenco di clienti dell’UE su una sottorete di un ufficio isolato, un’altra completamente diversa è accedere a tali file da casa.  

Dopotutto, quando si lavora da remoto, la possibilità di utilizzare un tool di collaborazione non monitorato e non ufficiale può essere piuttosto allettante. Tutti devono avere ben chiaro quali dati possono essere inviati attraverso canali non ufficiali e quali non devono mai lasciare la rete indicatin nessuna circostanza. 

Essere l’esperto in sicurezza informatica di sé stessi 

Sia i lavoratori a distanza, sia gli esperti informatici devono capire che l’attuale pandemia è una benedizione per i cybercriminali. Abbiamo visto ondate di phishing relazionato al COVID-19, attacchi di massa o diretti a aziende specifiche. Alcuni truffatori cercano di portare a termine attacchi BEC, sperando che i loro messaggi sfuggano al flusso di e-mail in aumento dovuto allo smart working. Le nostre tecnologie di sicurezza hanno rilevato infrastrutture aziendali sottoposte a costanti scansioni dall’esterno alla ricerca di porte RDP aperte per portare a termine attacchi mirati. Questo è un motivo sufficiente per raddoppiare la vigilanza. 

Come formare i dipendenti in questo scenario  

Innanzitutto, bisogna trasmettere ai dipendenti l’idea che oggi sono più responsabili che mai della sicurezza delle informazioni. Questo può sembrarvi ovvio, ma semplicemente molte persone non ci pensano. Inoltre, è necessario aumentate il loro livello di sensibilizzazione in materia di sicurezza. Certo, al momento non ci sono sessioni di formazione in sicurezza informatica faccia a faccia, ma i nostri programmi a distanza compensano ampiamente questo inconveniente, programmi che aggiorniamo e miglioriamo costantemente.  

Il modo più semplice per impostare la formazione sulla cybersecurity a distanza è utilizzando la nostra piattaforma Kaspersky Automated Security Awareness. Non solo mantiene i dipendenti informati sulle ultime minacce, ma insegna anche a contrastarle. Inoltre, il manager ha il controllo del processo e può impostare il programma di formazione a distanza. Le lezioni sono state create da specialisti nel campo dell’educazione e della psicologia, che hanno reso il materiale interessante e facile da memorizzare 

Proprio di recente, i nostri esperti hanno aggiunto due moduli di formazione sui temi più rilevanti che riguardano i dati riservati e iGDPR. Il primo è destinato ai dipendenti che lavorano con dati personali, segreti commerciali o documenti interni. Il secondo è per le aziende i cui clienti o dipendenti sono cittadini dell’UE. 

Inoltre, i nostri esperti di formazione, insieme ad Area9 Lyceum, hanno creato un modulo complementare gratuito che si compone di due parti principali. La prima insegna ai partecipanti a organizzare un ambiente di lavoro sicuro da casa. La seconda non riguarda la sicurezza delle informazioni in sé, ma spiega come minimizzare il rischio di contrarre il COVID-19. Il modulo è disponibile qui.  

Autore
Nikolay Pankov
Kaspersky blog

23 Aprile 2020

8 errori di cybersecurity delle piccole e medie imprese

Anche se la vostra azienda è una piccola impresa, come una panetteria, non andrà lontano senza un computer. D’altronde, vendere e comprare al giorno d’oggi non è possibile senza un computer, quindi non averne almeno uno è inimmaginabile, per non parlare dei dispositivi mobili, che non sono solo onnipresenti ma indispensabili. Pertanto, chiunque avvii un’attività deve essere in grado di gestire la tecnologia moderna. In questo post parleremo degli errori informatici più comuni che abbiamo visto da parte di imprenditori in erba.

1. Password sui post-it

È divertente, in modo ironico, ma purtroppo vero: le password di accesso a tutte le risorse condivise tra aziende finiscono spesso scarabocchiate su dei post-it che poi rimangono attaccati sui computer dei dipendenti , dove chiunque entri in ufficio può vederle. Parliamo quindi di un uso scorretto delle password. Le conseguenze dipendono molto da quali risorse svela la password, ad esempio l’host del sito web, il sistema di contabilità o il computer che memorizza il database dei clienti, ma il tipico risultato di tale negligenza è il furto di informazioni o di denaro.

Soluzione: Assicuratevi che ogni computer dell’ufficio, i computer e i dispositivi mobili di ogni dipendente siano protetti da una password unica. Utilizzate un Password Manager per evitare password deboli, riutilizzate e dimenticate. Gli utenti della nostra soluzione per piccole aziende possono utilizzare lo stesso codice di licenza per attivare anche il nostro Password Manager.

2. Password condivise

Un’altra cosa da dire sulla sicurezza delle password: mantenetele private. Quando alcuni dipendenti hanno più diritti di accesso di altri, a volte le condividono, per comodità o per necessità. “Ehi, Cris, sono a letto con il raffreddore. Manderesti un file dal mio computer al capo? Ecco la mia password”. Mettiamo che più tardi, Cris se ne vada in preda alla rabbia, e anche se la sua password viene revocata prontamente, conosce le credenziali di accesso dell’altro e può scatenare il caos.

Soluzione: Sottolineate l’importanza della sicurezza delle password al personale e utilizzate l’autenticazione a due fattori, dove possibile.

3. Password semplici

Se la password dell’e-mail del vostro commercialista è password123 o simili, hackerarla su un semplice computer di casa richiede circa sei secondi. Per craccare una password come MyPaSsWoRd123 ci vogliono due giorni, poco tempo in ogni caso. Tuttavia, una password come P’@’s’w’0’r’d o simili richiederebbe più di 3.000 anni per essere craccata (almeno senza l’accesso a risorse di livello da data center). Un criminale informatico che cerca di ottenere quella password con un attacco di forza bruta non ha tutto questo tempo da perdere.

Soluzione: Anche le password devono essere diverse l’una dall’altra, il che le rende praticamente impossibili da ricordare. Utilizzate una sorta di regola mnemonica o installate il nostro password manager e dimenticatele senza rimorsi. A dire il vero, anche le password complesse possono essere oggetto di fughe di dati, quindi dovreste attivare l’autenticazione a due fattori dove possibile, poiché vi offre protezione in casi di questo tipo.

4. Nessun backup

I vostri database, i vostri registri contabili, i vostri file importanti e gli altri documenti indispensabili sono conservati da qualche parte, che sia su un computer personale, su un server o altrove. Per motivi di sicurezza, copiateli regolarmente anche da un’altra parte; in modo tale che, se l’hard disk dovesse rompersi, o il server venisse compromesso, i vostri file dovrebbero essere ancora protetti. Anche il vostro sito web ha bisogno di backup periodici.

Detto questo, fare i backup è una seccatura e la tentazione di rimandare è forte. Però è davvero necessario farli, e spesso. Nessuno si aspetta un’emergenza, ma un giorno un custode staccherà una spina che non doveva o l’hard disk (e il database dell’account di sistema su di esso) si romperà, o un malware bloccherà i vostri file importanti. Tutto ciò accadrà domani o tra un anno e trentatré giorni? Nessuno lo sa, ma scommetteremmo che qualunque “cosa” sia, nessuno se la sarebbe mai aspettata. Il custode attuale del vostro ufficio può anche stare molto attento, ma che ne sarà della sua eventuale sostituzione? La contabilità può essere inserita su tutti i nuovi computer, ma ogni disco rigido ha una sua “durata di vita”. E se un tubo scoppiasse proprio sopra la stanza dove c’è il server? Il punto è che ci si può preparare ad ogni sorta di possibilità, ma nessuno può aspettarsi l’imprevisto.

Soluzione: Eseguite il backup dei dati importanti e aggiornate regolarmente tutti i firmware e i software, in modo da ridurre al minimo il numero di falle nel sistema e nei software, falle attraverso le quali un intruso potrebbe entrare nella vostra rete. Avvaletevi di un’opzione di backup personalizzata. Se utilizzate [KSOS placeholder] Kaspersky Small Office Security[/KSOS placeholder], allora avete già un’utility sicura di automazione del backup.

5. Autorizzazioni di accesso dimenticate

I dipendenti e le aziende spesso prendono strade diverse. Se uno sviluppatore di un sito web, ad esempio, si licenzia a causa di una discussione, potrebbe potenzialmente cancellare parti del sito. La revoca dell’accesso è una parte importante di qualsiasi interruzione di collaborazione professionale, ma anche prima di ciò, limitate comunque l’accesso dei dipendenti solamente alle risorse di cui hanno bisogno per il loro lavoro.

Soluzione: Se un membro del personale va via, cambia posizione o gli viene chiesto di andarsene, verificate immediatamente quali siano le sue autorizzazioni di accesso e, se necessario, tali permessi vanno revocati o trasferiti.

6. Impostazioni di default

Anche un panificio ha bisogno di un router. Qualcuno ha impostato correttamente il vostro? In molti casi, la priorità di un dipendente di un ISP (fornitore di servizi Internet) è solo quella di farvi connettere, quindi inseriscono le impostazioni dell’ISP ed è tutto lì. Tuttavia, le combinazioni di login e password predefinite lasciano la vostra rete di lavoro essenzialmente scoperta. Essere hackerati ed essere aggiunti ad una botnet di spam non è la cosa peggiore che può accadervi. Per esempio, qualcuno potrebbe installare uno sniffer  (uno strumento che analizza tutto il vostro traffico)  a quel punto nessuna password complessa vi salverà. In poche parole, è fondamentale modificare le impostazioni di default sui router e su altri dispositivi di rete ed è semplicemente giusto farlo per ogni vostro dispositivo.

Soluzione: Impostate il router e la rete in modo appropriato. Non è un compito divertente, ma è veloce. Vanno cambiati almeno il nome dell’amministratore e la password, ma prendetevi anche un momento per assicurarvi che la vostra rete utilizzi la crittografia WPA2 e disabilitate la gestione remota del router, poi controllate (e installate) gli eventuali aggiornamenti del firmware disponibili. 

7. Mancanza di protezione antivirus

È allettante, e comune, pensare di essere troppo “piccoli” per essere un bersaglio. Altre scuse illusorie includono: “Sono intelligente e attento, quindi non mi succederà niente di male”; e “Ho un Mac, quindi non sarò infettato dai malware“. Essere intelligenti e utilizzare un sistema più sicuro con un minor numero di programmi malware è un bene. Ma tutti i vostri dipendenti dovrebbero essere intelligenti e attenti e i malware sono solo uno dei tanti pericoli. Considerate, almeno, il phishing, che per i Mac è rischioso tanto quanto lo è per Windows, per non parlare del fatto che è immensamente popolare tra i truffatori che attaccano le aziende.

Soluzione: Installate e configurate una soluzione di sicurezza forte e affidabile come Kaspersky Small Office Security. Impostatela per verificare e installare automaticamente gli aggiornamenti di sicurezza. Questa soluzione progettata specificamente per le piccole imprese dispone di un modulo antiphishing che vi aiuterà ad evitare pagine web volte a rubare le vostre credenziali di accesso e altri dati.

8. Dipendenti disinformati

Il primo passo è capire che si ha un problema; è improbabile che i dipendenti che non hanno una buona conoscenza dei moderni protocolli di sicurezza comunichino un incidente o una anomalia, se non ne sono nemmeno consapevoli. Bella sfida, no?! In ogni caso, a meno che non trasmettiate le vostre informazioni a tutti coloro che lavorano al vostro fianco, in modo comprensibile e attuabile, mediante formazione sulla cybersicurezza, uno di loro finirà per essere l’anello debole.

Soluzione: Formate sia i dipendenti di vecchia data, sia i nuovi arrivati. Le basi di una cultura digitale sicura sono: non aprire gli allegati di posta elettronica di mittenti sconosciuti, non cliccare su link senza prima verificare, utilizzare servizi su cloud affidabili con l’autenticazione a due fattori per i dati sensibili, non scaricare software da siti inaffidabili o illegali, e così via. Non avete tempo per la formazione sulla cybersicurezza? Utilizzate una piattaforma di apprendimento automatizzata.

Autore
Hugh Aver
Kaspersky blog

15 Aprile 2020

Attacchi informatici alle aziende: un’esca chiamata coronavirus

La paura generata dal coronavirus viene sfruttata dai cybercriminali per attaccare le aziende e installare malware

Sappiamo che le e-mail con allegati dannosi inviati alle aziende non sono certo una novità. Sono ormai almeno tre anni che ne vediamo di tantissime nel traffico di e-mail spazzatura. Più il messaggio falso si avvicina all’originale (grazie alle tecniche di ingegneria sociale), più è probabile che la vittima non sospetti nulla.

Questo genere di phishing è particolarmente pericoloso per le aziende che vendono direttamente della merce, dal momeno che le e-mail con richieste di ordini, consegne e ordini di acquisto sono il loro pane quotidiano. Anche chi è ben allenato a identificare un’e-mail falsa a volte fa fatica a capire se si tratta di phishing o di un vero ordine di un cliente. E così il numero di e-mail false (ma molto convicenti) continua ad aumentare, anche se non parliamo dello stesso volume del normale spam, poiché si tratta di e-mail create con uno scopo preciso e inviate a indirizzi scelti per raggiungere un obiettivo.

Nel corso delle ultime settimane, gli scammer stanno sfruttando l’epidemia del coronavirus per dare un tocco ancora più credibile alle loro e-mail, che spesso fanno riferimento a problemi con le spedizioni per colpa del coronavirus (il destinatario, a sua volta, si domanda a cosa si riferiscano). In altri casi, invece, i cybercriminali sfruttano la pandemia per giustificare l’ordine urgente, visto che i loro partner abituali non riescono a spedire la merce in tempo. Qualunque sia il caso, lo scopo è quello di convincere la vittima ad aprire l’allegato dannoso. I trucchi standard sono usati spesso come pretesto e di solito implicano che la vittima verifichi i dati dell’ordine, le informazioni di invio o di pagamento, oppure la disponibilità di un prodotto.

Di seguito vi proponiamo alcuni esempi che riguardano questo tipo di phishing e i rischi che ne derivano.

Ritardo nella consegna

I truffatori scrivono che, a causa del COVID-19, la consegna di una certa merce sarà posticipata. Si allegano i dati di consegna aggiornati, insieme ad altre istruzioni. In particolare, nell’e-mail si chiede se i tempi di consegna sono idonei, costringendo in un certo qual modo il destinatario ad aprire l’allegato, che a un primo sguardo sembra una fattura in formato PDF.

Al posto della fattura, all’interno si trova un installer NSIS che esegue uno script dannoso; lo script poi avvia un processo cdm.exe standard, grazie al quale viene eseguito un codice dannoso. In questo modo, il codice viene eseguito nel contesto di una procedura legittima, bypassando i meccanismi di difesa standard. Lo scopo finale è quello di spiare ciò che fa l’utente. I nostri prodotti di sicurezza per le caselle di posta identificano la minaccia come Trojan-Spy.Win32.Noon.gen.

Nuovo ordine in tutta fretta

I truffatori sostengono che, per via dell’epidemia di coronavirus, i loro fornitori cinesi non possono portare a compimento quanto richiesto. Può sembrare piuttosto convincente, date le circostanze. Per evitare la delusione dei clienti, i truffatori desiderano effettuare un ordine urgente di certe merci (non specificate nell’e-mail) presso la compagnia per la quale lavora il destinatario. Quale azienda può resistere a un’opportunità del genere, arrivata così all’improvviso?

Sorpresa, sorpresa, il file allegato non contiene un ordine ma una Backdoor.MSIL.NanoBot.baxo che, una volta avviata, esegue un codice dannoso all’interno del processo RegAsm.exe (anche in questo caso, un tentativo di aggirare i meccanismi di difesa). Il risultato è che i cybercriminali riescono a ottenere l’accesso da remoto al computer della vittima.

Un altro ordine improvviso

Una variante del trucco appena descritto. Di nuovo, i cybercriminali menzionano un fantomatico fornitore cinese che ha problemi con le consegne e richiedono prezzi e termini di consegna per le merci indicate nell’allegato, un file DOC.

Il fatto che si tratti di un file DOC ha una ragione. All’interno si trova un exploit che sfrutta la vulnerabilità CVE-2017-11882 presente in Microsoft Word (le nostre soluzioni la identificano come Exploit.MSOffice.Generic). Quando si apre il file, viene scaricata e avviata la Backdoor.MSIL.Androm.gen. L’obiettivo, come avviene per tutte le backdoor, è quello di ottenere l’accesso da remoto al sistema infettato.

Non c’è tempo da perdere!

Questa truffa è rivolta a quelle compagnie que stanno subendo interruzioni nel proprio workflow a causa dell’epidemia di coronavirus (un gruppo già grande e sempre più nutrito). I truffatori vogliono che il mittente evada comunque l’ordine ma, al contempo, sperano che l’azienda possa tornare alla normalità e possa risolvere i problemi causati dal coronavirus.

Invece dell’ordine, l’allegato contiene il Trojan.Win32.Vebzenpak.ern che, una volta avviato, esegue il codice dannoso all’interno del processo legittimo RegAsm.exe. Anche stavolta, lo scopo è quello di ottenere l’accesso da remoto al dispositivo ormai compromesso dal Trojan.

Come difendersi dagli allegati e-mail dannosi

Per evitare che i cybercriminali vi lascino come ricordo un Trojan o una backdoor in allegato, vi consigliamo di seguire queste indicazioni:

  • Esaminate attentamente le estensioni dei file in allegato. Se si tratta di un file eseguibile, la probabilità che si tratti di un allegato non sicuro si avvicina al 100%;
  • Verificate l’effettiva esistenza della compagnia che ha mandato l’e-mail. Al giorno d’oggi, anche le aziende più piccole sono presenti online in qualche modo (sui social network, ad esempio). Se non trovate nulla, lasciate perdere tutto: in ogni caso, anche se l’azienda esistesse, forse non varrebbe la pena collaborarci;
  • Verificate che i dati nel campo del mittente e quelli nella firma automatica Che ci crediate o no, i cybercriminali spesso non fanno caso a questi dettagli quando falsificano le e-mail;
  • Ricordate che i cybercriminali possono ricavare informazioni sulla propria “azienda” da risorse disponibili per tutti, per poi perpetrare attacchi di spear phishing. Se avete dubbi sulle informazioni contenute in un’e-mail che avete ricevuto, mettetevi in contatto con l’azienda per assicurarvi che il messaggio sia legittimo;
  • E soprattutto, fate in modo che la vostra azienda utilizzi una [KESB placeholder] soluzione di sicurezza affidabile[KESB placeholder] sia sulle workstation, sia sul server di posta elettronica. La soluzione di sicurezza deve essere aggiornata regolarmente e avvalersi di database altrettanto aggiornati. Se così non fosse, sarebbe difficile stabilire se un allegato e-mail sia dannoso, in particolare se si ha a che fare con documenti Office.
 

Autore
Tatyana Shcherbakova
Kaspersky blog

8 Aprile 2020

Configurare Kaspersky Security for Windows Server per Chrome

Kaspersky Security for windows server è una applicazione studiata appositamente per proteggere al meglio i Sistemi Operativi Windows Server.

Kaspersky Security for windows server contiene accorgimenti tecnici in grado di non rendere necessario il riavvio del sistema operativo in caso di installazione o aggiornamento, limitare il carico di lavoro sui server, ma allo stesso tempo garantire una protezione ottimale grazie a moduli espressamente progettati per proteggere sistemi operativi Server, come Anti Cryptor, che impedisce ad altre macchine infette da Ransomware, la possano cifrare tutti i documenti delle cartelle condivise ed Exploit Prevention.

Exploit Prevention

Il componente Exploit Prevention, tiene traccia dei file eseguibili eseguiti dalle applicazioni potenzialmente vulnerabili.

Se si verifica un tentativo di esecuzione di un file eseguibile da parte di un’applicazione vulnerabile non eseguito dall’utente, la protezione Kaspersky , blocca l’esecuzione di questo file.

Google Chrome e Edge Chromium

A partire dalla versione 79, i browser Google Chrome e Edge Chromium utilizzano il meccanismo di integrità del codice Microsoft. Questo meccanismo impedisce la modifica del codice del browser e blocca eventuali exploit dei processi Edge e Chrome.

Le librerie di terze parti, inclusa la libreria Exploit Prevention, non possono essere caricate nello spazio degli indirizzi di un browser che sta utilizzando il meccanismo di integrità del codice Microsoft.

Soluzione per la configurazione

Per visualizzare correttamente le pagine del sito Web, disabilitare la libreria Prevenzione exploit per i processi chrome.exe e msedge.exe

  • Aprire Kaspersky Security Center.
  • Andare su Managed devices → Policies.
  • Aprire la politica per Kaspersky Security 10 for Windows Server policy.
  • Selezionare la sezione Real-time server protection.
  • In Exploit Prevention premere Settings.
Kaspersky Security for Windows server
  • Premere la scheda Protected processes e cercare i processi chrome.exe e msedge.exe
  • Togliere la spunta da questi due processi e premere ОК.
  • Salvare la politica di Kaspersky Security 10 for Windows Server.

In questa maniera Exploit Prevention non potrà più lavorare su Google Chrome e Edge Chromium, ma sarà possibile aprire correttamente le pagine web.

Autore
Angelo Penduzzu
Questar blog

6 Marzo 2020