Un pacchetto per voi. Si prega di scansionare il codice QR

Tratto da Blog Kaspersky
Autore:  Roman Dedenok – 07/07/2022

Come i criminali informatici sottraggono i dati delle carte di credito fingendosi DHL

Lo shopping online è ormai parte integrante della vita quotidiana: con un paio di click ci facciamo consegnare a casa cibo, vestiti e altri prodotti. Gli amanti dello shopping online, che sono molti, a volte si dimenticano un pacco o perdono la chiamata dal corriere. Non sorprende che questa situazione venga sfruttata dagli criminali che utilizzano come esca false notifiche di consegna.

Un esempio è rappresentato dai criminali informatici che fingono di essere DHL, il noto servizio di corriere express internazionale. Tuttavia, a dare il via a questo tipo di truffa non è il solito link di phishing, ma un codice QR contenuto nell’e-mail. Oggi in questo post vi spieghiamo come e perché.

“Il tuo pacco è all’ufficio postale”

L’attacco inizia con un’e-mail, apparentemente proveniente da DHL. Sebbene l’indirizzo del mittente sia una serie di parole casuali che non hanno alcuna somiglianza con il nome del corriere, il corpo del messaggio è abbastanza convincente: logo dell’azienda, numero d’ordine (anche se falso) e presunta data di ricezione del pacco.

Il messaggio stesso (in questo caso in spagnolo) afferma che un ordine è arrivato presso l’ufficio postale locale, ma il corriere non è riuscito a consegnarlo di persona. Di solito queste esche sono accompagnate da un link che consente di “risolvere il problema”, ma questa volta c’è un codice QR.

E-mail con codice QR presumibilmente proveniente da DHL. Per sicurezza, abbiamo sostituito il codice QR nello screenshot con uno innocuo

E-mail con codice QR presumibilmente proveniente da DHL. Per sicurezza, abbiamo sostituito il codice QR nello screenshot con uno innocuo

Un codice QR è piuttosto versatile. Può essere utilizzato, ad esempio, per connettersi al Wi-Fi, pagare un acquisto o confermare l’acquisto di un biglietto per un concerto o un film. Ma forse l’uso più comune è quello di distribuire link offline: la scansione di uno di questi quadrati in bianco e nero, che possono comparire sulle confezioni dei prodotti, sui manifesti pubblicitari, sui biglietti da visita o altrove, consente di accedere rapidamente al sito web in questione.

In questo caso, ovviamente, gli hacker non hanno pensato alla comodità dell’utente. L’idea sembra essere che se la vittima apre l’e-mail su un computer, dovrà comunque leggere il codice QR con uno smartphone, il che significa che il sito dannoso si aprirà sul piccolo schermo di un cellulare, dove i segni di phishing sono più difficili da individuare. A causa dei limiti di spazio dei browser mobili, gli URL non sono completamente visibili. Inoltre, in Safari, la barra degli indirizzi è stata recentemente spostata nella parte inferiore dello schermo, dove molti utenti non guardano nemmeno. Questo fa il gioco dei criminali informatici, perché l’URL del loro sito falso non assomiglia affatto a quello ufficiale: la parola DHL non compare nemmeno.

Il testo del sito è inoltre di dimensioni ridotte, il che significa che eventuali difetti di stile sono meno evidenti. In ogni caso, non ce ne sono molti: la pagina da il benvenuto agli utenti con i colori gialli e rossi del marchio, il nome dell’azienda è riportato in basso e il testo è praticamente privo di errori, a parte un paio di lettere minuscole all’inizio delle frasi.

La vittima viene informata che il pacco arriverà entro 1-2 giorni; per riceverlo, le viene richiesto di inserire nome, cognome e indirizzo con codice postale. Il servizio di consegna richiede effettivamente questo tipo di informazioni, quindi non desta alcun sospetto.

Falso sito DHL chiede informazioni personali, oltre ai dati della carta di credito

Falso sito DHL chiede informazioni personali, oltre ai dati della carta di credito

Ma la raccolta dei dati non finisce qui. Nella pagina successiva, alla vittima viene chiesto di condividere altre informazioni sensibili: i dati della carta di credito, compreso il codice CVV sul retro, presumibilmente per pagare la consegna. Gli hacker non specificano l’importo, ma si limitano a dire che il costo dipende dalla zona e ad assicurare che il denaro non verrà addebitato fino all’arrivo del pacco. In realtà, il vero DHL richiede il pagamento della consegna in anticipo, al momento dell’ordine. Se il cliente non riceve il corriere, viene effettuato un altro tentativo di consegna gratuito.

Cosa fanno i criminali con i vostri dati di pagamento?

È improbabile che i criminali inizino ad addebitare immediatamente la carta della vittima, in modo che quest’ultima non colleghi gli addebiti all’e-mail fasulla di “DHL”. È più probabile che vendano i dati di pagamento sul dark web e che sia l’acquirente a trafugare i fondi in un secondo momento, quando la vittima potrebbe essersi già dimenticata del pacco inesistente.

Come proteggersi da queste frodi

In questo caso si applicano tutte le regole consuete per proteggersi dalle frodi informatiche:

  • Quando si riceve un’e-mail che sostiene di provenire da un servizio noto, controllare sempre l’indirizzo e-mail del mittente. Il vero nome dell’azienda non compare dopo la @? È molto probabile che si tratti di una truffa.
  • Se siete in attesa di un pacco, annotate il codice di tracking e verificate voi stessi lo stato del sito ufficiale aprendolo dai Preferiti o inserendo manualmente l’URL in un motore di ricerca.
  • Per essere sicuri, quando si scansionano i codici QR, utilizzare il nostro Kaspersky QR Scanner (disponibile sia per Android che per iOS. L’applicazione vi dirà se il codice punta a un sito pericoloso).
  • Dotate tutti i dispositivi di un antivirus affidabile con protezione anti-phishing e anti-frode che vi avviserà tempestivamente di eventuali pericoli.

Per ulteriori informazioni sulle soluzioni antivirus Kaspersky: dircom@argonavis.it

14 Luglio 2022

Come proteggere i dispositivi aziendali IoT

Tratto da Blog Kaspersky
Autore:  Hugh Aver – 08/07/2022

Gateway cyber immune in grado di proteggere i dispositivi IoT e IIoT dalle minacce informatiche

I dispositivi IoT sono da tempo parte integrante dei processi tecnologici e produttivi di molte aziende moderne. Sono utilizzati negli stabilimenti industriali, negli edifici intelligenti e in ufficio quotidianamente. Tuttavia, la loro sicurezza ha sempre destato preoccupazioni, soprattutto se si considera che molti dispositivi richiedono l’accesso a sistemi remoti tramite Internet per l’aggiornamento del firmware, il monitoraggio o la gestione. In effetti, l’introduzione dei dispositivi IoT nell’infrastruttura aziendale aumenta notevolmente la possibilità di essere attaccati; purtroppo, però, non è possibile dotare ogni dispositivo di tecnologie protettive.

Da cosa devono essere protetti i dispositivi IoT?

In linea generale, un dispositivo di rete non protetto può diventare la base per un attacco all’infrastruttura aziendale. Esistono alcuni motori di ricerca in grado di scansionare range di indirizzi IP in base a determinati parametri (analoghi a quelli del sistema Shodan). In teoria, si tratta di strumenti per i ricercatori, ma in realtà sono spesso utilizzati anche dai criminali informatici per cercare dispositivi IoT connessi a Internet vulnerabili o semplicemente obsoleti. Tutto dipende poi dalle intenzioni dei criminali e dalle debolezze specifiche del dispositivo IoT in questione: a volte i cybercriminali cercano di assumere il controllo del dispositivo attraverso l’interfaccia web, a volte inseriscono un falso aggiornamento del firmware o altre volte semplicemente disabilitano il dispositivo. Le botnet IoT stanno facendo qualcosa di simile: infettano molti dispositivi IoT e poi li usano per realizzare attacchi DDoS.

Un altro possibile uso dannoso dei dispositivi IoT è lo spionaggio. L’anno scorso, un gruppo di hacker ha avuto accesso a 150.000 telecamere IP di aziende, ospedali, scuole, caserme di polizia e persino carceri e ha poi diffuso alcuni dei filmati a cui aveva avuto accesso. Questo tipo di incidenti mostra bene quanto sia facile infiltrarsi all’interno delle reti di enti sensibili. Tuttavia, lo spionaggio non si limita solo alle telecamere: i criminali possono cercare di intercettare i flussi di dati provenienti da una gran varietà di dispositivi (ad esempio, sensori di diverso tipo).

I dispositivi dell’Industrial Internet of Things (IIoT) rappresentano un problema ancora più grave. La potenziale interferenza nei processi produttivi di un’infrastruttura critica potrebbe portare a conseguenze catastrofiche sia per l’azienda che per l’ambiente.

Come proteggere i dispositivi IoT

Per proteggere dalle cyberminacce tutti i dispositivi IoT o IIoT utilizzati in azienda non è affatto necessario smettere di utilizzare Internet. Al contrario, è possibile gestire le comunicazioni di questi dispositivi sui servizi cloud attraverso un gateway di sicurezza specifico. Di recente, abbiamo lanciato a livello mondiale una soluzione di questo tipo: Kaspersky IoT Secure Gateway 1000.

Il nostro gateway è in grado di proteggere i dispositivi IoT da attacchi di rete, DDoS, MitM e altre attività dannose. Kaspersky IoT Secure Gateway 1000 è progettato come parte integrante della nostra strategia di cyber immunity basata sul nostro sistema operativo sicuro, KasperskyOS, grazie al quale è possibile proteggersi in modo affidabile da interferenze esterne.

Kaspersky IoT Secure Gateway 1000

Kaspersky IoT Secure Gateway 1000

Per saperne di più sul funzionamento della cyber immunity e sull’utilizzo di KasperskyOS, potete consultare il nostro whitepaper Best Practice Cyber Immunity 2022. Qui si possono trovare anche diversi casi reali di utilizzo di Kaspersky IoT Secure Gateway 1000 nell’ambito della protezione delle infrastrutture critiche.

Kaspersky IoT Secure Gateway 1000 è gestito attraverso la console Kaspersky Security Center, che consente agli amministratori di rete di visualizzare tutti gli eventi di sicurezza e fornisce agli specialisti informazioni sui dispositivi IoT in funzione. Supporta i protocolli Syslog e MQTT e può inviare gli eventi a sistemi di monitoraggio esterni e piattaforme cloud, tra cui Microsoft Azure, Siemens MindSphere, AWS, IBM Bluemix e altri. Potete trovare informazioni dettagliate sul dispositivo stesso così come altre tecnologie cyber immuni targate Kaspersky sulla nostra pagina dedicata alla sicurezza delle infrastrutture IoT

Per ulteriori informazioni: dircom@argonavis.it

11 Luglio 2022

Kaspersky rivela le email di phishing più ingannevoli per i dipendenti

Tratto da www.lineaedp.it
Autore:  Redazione LineaEDP – 04/07/2022

Secondo quanto emerso dai dati rilevati dal simulatore di phishing di Kaspersky Security Awareness Platform, i dipendenti spesso tendono a ignorare le insidie nascoste nelle e-mail dedicate a questioni aziendali o a notifiche relative a problemi di consegna.

Kaspersky rivela le email di phishing più ingannevoli per i dipendenti

Secondo quanto emerso dai dati rilevati dal simulatore di phishing di Kaspersky Security Awareness Platform i dipendenti spesso tendono a ignorare le insidie nascoste nelle e-mail dedicate a questioni aziendali o a notifiche relative a problemi di consegna. Quasi un dipendente su cinque (dal 16 al 18%), infatti, ha cliccato su link contenuti nei modelli di e-mail che simulano attacchi di phishing. Secondo le stime, il 91% di tutti i cyberattacchi inizia con un’e-mail di phishing, le cui tecniche sono implicate nel 32% dei casi di tutte le violazioni di dati andate a buon fine.

Per fornire ulteriori informazioni su questa minaccia, Kaspersky ha analizzato i dati raccolti da un simulatore di phishing e forniti volontariamente dagli utenti. Si tratta di uno strumento integrato in Kaspersky Security Awareness Platform, che aiuta le aziende a verificare se il personale è in grado di distinguere un’e-mail di phishing da una reale, senza mettere a rischio i dati aziendali. L’amministratore sceglie dal set di modelli che imitano gli scenari di phishing più comuni, o crea un modello personalizzato, lo invia al gruppo di dipendenti senza preallertarli e tiene traccia dei risultati. Un numero elevato di utenti che cliccano sul link è una dimostrazione evidente della necessità di formazione aggiuntiva sulla cybersecurity.

La protezione anti-phishing è inclusa in alcune soluzioni di sicurezza, anche per le piccole imprese, come Kaspersky Small Office Security.

Per ulteriori informazioni: dircom@argonavis.it

7 Luglio 2022

Follina: file di Office come cavallo di troia

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 02/06/2022
 
 

La nuova vulnerabilità CVE-2022-30190, nota come Follina, consente di sfruttare il Windows Support Diagnostic Tool attraverso i file di MS Office

 

 

I ricercatori hanno scoperto un’altra grave vulnerabilità nei prodotti Microsoft che potenzialmente permette agli hacker di eseguire un codice arbitrario. Il MITRE ha classificato questa vulnerabilità con il nome di CVE-2022-30190, mentre i ricercatori l’hanno chiamata in modo un po’ poetico Follina. La cosa più preoccupante è che non esiste ancora un fix per questo bug e ciò che è ancor più grave è che la vulnerabilità viene già sfruttata attivamente da molti criminali informatici. L’aggiornamento è in fase di sviluppo, ma nel frattempo consigliamo a tutti gli utenti e amministratori di Windows di utilizzare workaround temporanei.

Che cos’è CVE-2022-30190 e quali sono i prodotti interessati?

La vulnerabilità CVE-2022-30190 è contenuta nello strumento di diagnostica Microsoft Windows Support Diagnostic Tool (al quale ci riferiremo con la sua sigla MSDT), il che non sembra un grosso problema. Purtroppo, a causa dell’implementazione di questo strumento, la vulnerabilità può essere sfruttata tramite un file MS Office dannoso.

L’MSDT è un’applicazione utilizzata per raccogliere automaticamente informazioni diagnostiche e inviarle a Microsoft quando qualcosa non funziona su Windows. Lo strumento può essere richiamato da altre applicazioni (Microsoft Word è l’esempio più noto) attraverso un protocollo URL speciale di MSDT. Se la vulnerabilità viene sfruttata con successo, un utente malintenzionato può eseguire un codice arbitrario con i privilegi dell’applicazione che ha richiamato l’MSDT, ovvero, in questo caso, con i diritti dell’utente che ha aperto il file dannoso.

La vulnerabilità CVE-2022-30190 può essere sfruttata in tutti i sistemi operativi della famiglia Windows, sia desktop che server.

Come i cyber-criminali sfruttano CVE-2022-30190

Per capire come funziona un attacco, i ricercatori che hanno scoperto questa vulnerabilità offrono il seguente esempio.

I criminali creano un documento Office dannoso e fanno in modo che la vittima lo riceva. Il modo più comune per farlo è inviare un’e-mail con un allegato dannoso, condito con qualche classico stratagemma di social engineering per convincere il destinatario ad aprire il file in questione. Per esempio, un e-mail con un messaggio del tipo “controlla urgentemente il contratto, firma domani mattina” potrebbe funzionare.

Il file infetto contiene un link a un file HTML che contiene a sua volta un codice JavaScript capace di eseguire un codice dannoso nella riga di comando tramite l’MSDT. Se lo sfruttamento va a buon fine, gli hacker possono installare programmi, visualizzare, modificare o distruggere dati, nonché creare nuovi account, ovvero avere il via libera all’interno del sistema utilizzando i privilegi della vittima.

Come proteggersi

Come menzionato in precedenza, non esiste ancora una patch. Nel frattempo, Microsoft consiglia disabilitare il protocollo URL di MSDT. Per farlo, è necessario aprire il prompt dei comandi con diritti di amministratore ed eseguire il comando reg delete HKEY_CLASSES_ROOT\ms-msdt /f. Prima di farlo, vi raccomandiamo di eseguire un back up del registro eseguendo il seguente codice: reg export HKEY_CLASSES_ROOT\ms-msdt filename. In questo modo, potrete ripristinare velocemente il registro con il comando reg import filename non appena questo workaround non sarà più necessario.

Naturalmente, questa è solo una misura temporanea e la cosa migliore sarebbe installare, non appena disponibile, l’aggiornamento che corregga la vulnerabilità Follina.

I metodi descritti per sfruttare questa vulnerabilità prevedono l’uso di e-mail con allegati dannosi e metodi di social engineering. Pertanto, si consiglia di prestare ancora più attenzione del normale alle e-mail provenienti da mittenti sconosciuti, in particolare ai file Office allegati. Per le aziende, è opportuno sensibilizzare regolarmente i dipendenti circa i trucchi più importanti e comuni utilizzati dagli hacker.

Inoltre, tutti i dispositivi con accesso a Internet dovrebbero essere dotati di solide soluzioni di sicurezza. Tali soluzioni possono impedire l’esecuzione di codici dannosi sul computer dell’utente anche quando si sfrutta una vulnerabilità sconosciuta.

6 Giugno 2022

Vulnerabilità di Windows sfruttata attivamente

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 13/05/2022
 
 

Microsoft ha rilasciato le patch per diverse decine di vulnerabilità, una delle quali viene già attivamente sfruttata dai cybercriminali

 

 

Nell’ultimo Patch Tuesday (10 maggio) Microsoft ha rilasciato aggiornamenti per 74 vulnerabilità. Gli hacker stanno già attivamente sfruttando almeno una di queste vulnerabilità; pertanto, è importante installare le patch il prima possibile.

CVE-2022-26925, la vulnerabilità più pericolosa tra quelle trattate

A quanto pare, la vulnerabilità più pericolosa a cui fa riferimento questo pacchetto di aggiornamenti è la CVE-2022-26925, contemplata dall’autorità di sicurezza locale di Windows. Tuttavia, la vulnerabilità ottiene un punteggio di 8,1 nella scala CVSS, il che è un indice relativamente basso. Però i rappresentanti di Microsoft ritengono che quando questa vulnerabilità viene utilizzata negli attacchi NTLM Relay nei confronti dei servizi certificati di Active Directory, il livello di gravità di questo bundle sale a 9,8 (scala CVSS). Il motivo dell’aumento del livello di gravità è che in queste circostanze, CVE-2022-26925 potrebbe consentire a un hacker di autenticarsi su un domain controller.

La vulnerabilità può interessare tutti i sistemi operativi Windows da Windows 7 (Windows Server 2008 per i sistemi server) in avanti. Microsoft non è entrata nei dettagli e non ha specificato come sia possibile sfruttare questa vulnerabilità; tuttavia, a giudicare dalla descrizione del problema, alcuni cybercriminali sconosciuti stanno già utilizzando attivamente gli exploit per CVE-2022-26925. La buona notizia è che, secondo gli esperti, sfruttare questa vulnerabilità in attacchi reali è piuttosto difficile.

La correzione rileva e blocca i tentativi di connessione anonima al Remote Protocol dell’autorità di sicurezza locale. Tuttavia, secondo le FAQ ufficiali, l’installazione di questo aggiornamento su Windows Server 2008 SP2 potrebbe influire sul software di backup.

Altre vulnerabilità

Oltre a CVE-2022-26925, l’ultimo aggiornamento corregge altre vulnerabilità con un livello di gravità “critico”. Tra queste vi sono la vulnerabilità RCE CVE-2022-26937 nel Network File System (NFS) di Windows, nonché CVE-2022-22012 e CVE-2022-29130, due vulnerabilità RCE che interessano il servizio LDAP.

Altre due vulnerabilità erano già note al pubblico al momento della pubblicazione delle patch. La prima è CVE-2022-29972, un bug che colpisce il driver Magnitude Simba Amazon Redshift di Insight Software; mentre la seconda è CVE-2022-22713, una vulnerabilità DoS che interessa Hyper-V di Windows. Tuttavia, ad oggi, non sono stati rilevati tentativi di sfruttamento.

Come proteggersi

Innanzitutto, installate gli ultimi aggiornamenti di Microsoft. Se per qualche motivo, nel vostro ambiente non è possibile, consultate la sezione FAQ e le soluzioni e mitigazioni dei rischi nella guida ufficiale agli aggiornamenti di sicurezza di Microsoft (data maggio 2022). Sicuramente, potrete utilizzare uno dei metodi descritti in precedenza e proteggere così la vostra infrastruttura dalle vulnerabilità più rilevanti.

16 Maggio 2022

Blog & News

Categorie