Kaspersky Automated Security Awareness Platform (ASAP): la formazione efficace dei dipendenti sulla sicurezza informatica

Autore: Redazione Argonavis

La formazione del personale è fondamentale per accrescere la Security Awareness tra i dipendenti, motivarli a prestare attenzione alla minacce informatiche e alle relative contromisure, anche se ciò non viene percepito come parte specifica delle loro responsabilità sul lavoro.

Molte aziende scelgono tra una formazione una tantum (come ad esempio “tutto sulla cybersecurity in 1 ora”) e programmi di formazione professionale ben strutturati di cui, però, utilizzano solo alcune funzioni e strumenti di base.

In genere si tratta di una serie di attacchi di phishing simulati, oltre ad alcune lezioni più generiche, perché gli altri elementi del programma sono troppo difficili da implementare e gestire.

Ad ogni modo, i dipendenti non acquisiscono le competenze necessarie a rafforzare efficientemente la strategia di sicurezza dell’organizzazione.

Tale formazione è, naturalmente e di conseguenza, considerata uno spreco di tempo e tutti i partecipanti continuano ad agire come prima.

Kaspersky Automated Security Awareness Platform (ASAP) è una soluzione di security awareness a 360°, per aziende di ogni dimensione, e rappresenta un nuovo approccio rispetto ai programmi formativi online che sono in grado di creare vere e proprie competenze di cybersecurity.

L’approccio di Kaspersky Lab si basa su moderne tecniche di apprendimento e combina sessioni ludiche, in cui si generano anche interessanti dinamiche di gruppo, apprendimento attraverso attività pratiche e rafforzamento dei concetti.

Tra questi, l’approccio ludico rappresenta la chiave per formare l’atteggiamento delle persone e per costruire nuovi modelli comportamentali tramite il confronto e le discussioni durante le attività di gruppo in grado di stimolare l’apprendimento.

Questo approccio ha già registrato risultati:

Fino al 90% di riduzione del numero totale di incidenti
Non meno del 50% di riduzione dell’impatto finanziario degli incidenti
Un sorprendente 86%: la percentuale dei partecipanti disposta a consigliare l’esperienza.

Kaspersky ASAP offre all’organizzazione una guida integrata per tutti gli step del percorso verso una strategia aziendale di cybersecurity:

Step 1: Definizione degli obiettivi di formazione e del programma

Step 2: Garanzia che la formazione sia ottimale per tutti i dipendenti

Step 3: Controllo dei progressi con analisi e report pratici

Step 4: Apprezzamento della formazione: garanzia ed efficienza.

L’implementazione e la gestione della Piattaforma non richiedono risorse e configurazioni specifiche.

Per ulteriori informazioni o per richiedere una prova gratuita della Piattaforma: dircom@argonavis.it

A tutti gli utenti: aggiornate immediatamente Google Chrome

Tratto da Blog Kaspersky

Autore: Kaspersky Team – 08/02/2021

I cybercriminali stanno sfruttando attivamente una pericolosa vulnerabilità presente in Google Chrome. È stata risolta con la versione 88.0.4324.150.

I ricercatori hanno individuato in Google Chrome una vulnerabilità critica, rinominata CVE-2021-21148. Consigliamo di prendere provvedimenti il prima possibile perché i criminali informatici la stanno già sfruttando. Le versioni del browser per i principali sistemi operativi desktop (Windows, MacOS e Linux) sono tutte vulnerabili. Ecco cosa sta succedendo e come aggiornare il vostro browser.

Perché la vulnerabilità CVE-2021-21148 è pericolosa

Questa vulnerabilità permette ai criminali informatici di eseguire un attacco heap overflow, una manipolazione che può portare all’esecuzione di un codice remoto sul dispositivo della vittima. Sfruttare la vulnerabilità può essere semplice, basta realizzare una pagina web dannosa e attirare delle vittime su di essa e, come risultato potenzialmente devastante, i cybercriminali possono ottenere il controllo totale del sistema colpito.

La componente vulnerabile in questo caso è il motore JavaScript V8 integrato nel browser. Google ha ricevuto informazioni sulla vulnerabilità il 24 gennaio scorso dal ricercatore per la sicurezza Mattias Buelens, e la società ha pubblicato una patch con la correzione il 4 febbraio. Google ha riconosciuto che alcuni hacker non ben definiti avrebbero sfruttato attivamente la vulnerabilità CVE-2021-21148 in the wild.

Secondo un articolo di ZDnet, la vulnerabilità può essere collegata ai recenti attacchi da parte di criminali informatici dalla Corea del Nord alla comunità di esperti in cybersecurity. Il modello di attacco per lo meno sembra avere delle notevoli somiglianze con lo sfruttamento della vulnerabilità CVE-2021-21148. Inoltre, la data della scoperta della vulnerabilità è molto vicina alla data in cui sono stati divulgati gli attacchi agli esperti. Tuttavia, non abbiamo ancora una conferma diretta di questa teoria.

Come al solito, Google sta aspettando che la maggior parte degli utenti attivi di Chrome abbiano aggiornato i loro browser per divulgare maggiori dettagli tecnici. Una decisione comprensibile: la divulgazione irresponsabile della vulnerabilità può portare a un rapido aumento degli attacchi.

Come mantenersi al sicuro

Aggiornate immediatamente Google Chrome sul vostro PC. Per farlo, cliccate sul pulsante con i tre puntini nell’angolo in alto a destra della finestra del browser e scegliete Impostazioni → Informazioni su Chrome. Una volta aperta questa pagina il vostro browser inizierà ad aggiornarsi automaticamente;
Riavviate il browser se richiesto affinché vengano applicate le modifiche. Procedete immediatamente e non preoccupatevi di perdere le schede aperte: le versioni moderne di Chrome ripristinano automaticamente le schede al riavvio o, in caso di arresto imprevisto, viene offerta la possibilità di ripristinarle;
Se la pagina Informazioni su Chrome indica che state già usando la versione 88.0.4324.150, allora il vostro browser è aggiornato e non dovrete più preoccuparvi della vulnerabilità CVE-2021-21148.

Ottenere un decryptor gratuito per il ransomware Fonix

Tratto da Blog Kaspersky

Autore: Hugh Aver – 04/02/2021

Quando il gruppo ransomware Fonix ha improvvisamente annunciato la fine della sua attività e ha pubblicato la master key per decifrare i file criptati, i nostri esperti hanno immediatamente aggiornato il tool Rakhni Decryptor per automatizzare il processo. Potete scaricarlo proprio qui.

L’esempio di Fonix illustra ancora una volta perché, anche se non avete intenzione di pagare il riscatto (ed è una scelta intelligente), dovreste comunque mantenere i dati cifrati. Non tutti i criminali informatici si pentono e pubblicano le loro chiavi (o vengono catturati e i loro server confiscati), ma se a un certo punto le chiavi diventano disponibili, è possibile utilizzarle per ripristinare l’accesso alle vostre informazioni, ma solo se le avete conservate ovviamente.

Perché Fonix era considerato pericoloso

Il ransomware Fonix era conosciuto anche come Xinof. I criminali informatici hanno utilizzato entrambi i nomi, e i file cifrati sono stati rinominati con entrambe le estensioni, .xinof o .fonix. Gli analisti hanno descritto il ransomware come abbastanza aggressivo: oltre a cifrare i file sui sistemi delle vittime, il malware manipolava il sistema operativo per ostacolare gli sforzi di rimozione. Cifrava praticamente tutti i file sul computer obiettivo, lasciando solo quelli critici per il sistema operativo.

Gli autori del malware hanno creato Fonix seguendo il modello di ransomware-as-a-service (RaaS), lasciando ai client il compito di occuparsi degli attacchi effettivi. Più o meno a partire dalla scorsa estate, sui forum dei cybercriminali è apparsa un’intensa attività di pubblicità del malware. Chi si serviva del ransomware all’inizio poteva farlo gratuitamente, dando a Fonix un vantaggio competitivo: gli autori prendevano solo una percentuale di qualsiasi riscatto ottenuto.

Di conseguenza, varie campagne non collegate tra loro hanno aiutato il malware a diffondersi, di solito attraverso messaggi di spam. E così Fonix ha colpito sia i singoli utenti che le aziende. Fortunatamente, il ransomware non ha guadagnato una grande popolarità, quindi le vittime sono state relativamente poche.

Il cybercrimine dentro il cybercrimine

Nel suo annuncio, il gruppo Fonix ha dichiarato che non tutti i membri erano d’accordo con la decisione di chiudere. L’amministratore del suo canale Telegram, per esempio, sta cercando di vendere il codice sorgente del ransomware e altri dati. Tuttavia, quel codice non è reale (almeno, secondo l’account Twitter del gruppo Fonix), quindi è essenzialmente una truffa rivolta agli acquirenti del malware. Anche se le uniche vittime potenziali qui sono altri cybercriminali, si tratta comunque di una truffa.

Le ragioni di questa scelta

L’amministratore del progetto FonixCrypter ha detto che non ha mai avuto intenzione di impegnarsi in attività criminali, ma la crisi economica lo ha portato a creare il ransomware. In seguito ha cancellato il codice sorgente e, mosso dalla coscienza sporca, si è scusato con le vittime e ha pubblicato la master key. In futuro, ha riferito, ha intenzione di impiegare la sua conoscenza di analisi dei malware per scopi più nobili e spera che i suoi colleghi si uniranno a lui in questa impresa.

Come difendersi dai ransomware

Fonix non è più un problema; tuttavia, nel 2021 esistono altre tipologie di ransomware e sono più attivi che mai. Il nostro consiglio per stare al sicuro è sempre lo stesso:

Diffidate delle e-mail con allegati;
Non eseguite file ottenuti da fonti non verificate;
Utilizzate soluzioni di sicurezza su tutti i dispositivi di casa e di lavoro che hanno accesso a Internet;
Eseguite copie di backup di tutti i dati critici e custoditeli su dispositivi non collegati alla rete.

I prodotti Kaspersky per utenti privati e aziende rilevano Fonix (e altri ransomware) in modo proattivo. Inoltre, i nostri file scanner identificano Fonix prima che abbia la possibilità di essere eseguito.

Per ribadire: se siete vittima del ransomware Fonix, potete recuperare i vostri dati utilizzando il nostro strumento RakhniDecryptor 1.27.0.0, che potete scaricare da NoRansom.kaspersky.com

Per ulteriori informazioni: dircom@argonavis.it

A caccia di mailing list

Tratto da Blog Kaspersky

Autore: Roman Dedenok – 03/02/2021

I criminali informatici stanno inviando e-mail di phishing per impossessarsi dell’accesso agli account ESP

Per quanto sia pericoloso che gli utenti privati pensino di essere troppo noiosi per attirare l’interesse dei criminali informatici, è anche peggio che lo credano i proprietari di piccole e medie imprese. Quando viene trascurata la protezione di base, per i criminali informatici è una manna dal cielo, perché i loro obiettivi non sono sempre quelli che ci potremmo aspettare. Un esempio è un messaggio che di recente è caduto nella nostra trappola: un messaggio di phishing che mira a violare l’account di un ESP, o Email Service Provider, per appropriarsi delle mailing list.

Come funziona

La truffa inizia con un dipendente di un’azienda che riceve un messaggio di conferma del pagamento di un abbonamento a un ESP. Il link nel messaggio dovrebbe dare al destinatario l’accesso alla prova d’acquisto. Se il destinatario è effettivamente un cliente dell’ESP (e il phishing prende di mira i clienti reali) è probabile che clicchi, sperando di capire perché si è verificato questo pagamento anomalo.

Anche se il link sembra reindirizzare a una pagina di un ESP, in realtà porta da tutt’altra parte. Cliccando sul link, le vittime si troveranno su un falso sito che assomiglia molto a una pagina di login legittima.

Ecco le due schermate di accesso. La pagina fasulla è sulla sinistra.

A questo punto, i lettori non saranno sorpresi nel vedere che qualsiasi dato inserito nella falsa pagina di login andrà direttamente ai criminali informatici che hanno organizzato la truffa. Da notare però che, oltre a reindirizzare da tutt’altra parte, il falso sito trasmette i dati che raccoglie su un canale non protetto. I cybercriminali non si sono nemmeno preoccupati di replicare il CAPTCHA, anche se hanno inserito un esempio nel campo dell’e-mail. Dovremmo vedere anche una bandiera nell’angolo in basso a destra ma è improbabile che la maggior parte degli utenti individui queste discrepanze.

Perché perdere l’accesso all’account di un ESP è pericoloso

Nel migliore dei casi, avendo ottenuto il controllo di un account ESP, i criminali informatici useranno la lista degli indirizzi e-mail dei clienti per inviare spam. Tuttavia, le mailing list specifiche del settore hanno un prezzo più alto sul mercato nero rispetto alle semplici raccolte di indirizzi e-mail casuali: conoscere la tipologia di lavoro di un’azienda aiuta i criminali informatici a personalizzare lo spam.

Data la specializzazione del phishing dei criminali informatici, è probabile che tutti coloro che si trovano nelle liste rubate riceveranno una e-mail di phishing che sembra provenire dall’azienda. A quel punto, sia che il destinatario si sia iscritto a una newsletter o che sia effettivamente un cliente, è probabile che apra il messaggio, lo legga e clicchi anche sul link in esso contenuto, dato che il mittente non sembra sospetto.

Metodi di mascheramento

Studiando l’e-mail di phishing in dettaglio, abbiamo scoperto che era stata inviata attraverso un servizio di mailing, ma diverso da quello vittima (un concorrente dell’ESP da cui sosteneva di provenire). È interessante notare che, per prolungare la vita della campagna, i criminali informatici hanno anche creato una landing page per la loro “azienda del settore marketing”. (Il titolo della pagina, “Simple House Template”, non è particolarmente convincente, però).

Una landing page per la falsa “azienda di marketing.”

Quanto sopra suggerisce che i criminali informatici potrebbero avere una conoscenza dettagliata dei meccanismi di vari servizi di mailing e potrebbero attaccare anche i clienti di altri ESP.

Come difendersi dal phishing

Per evitare di essere ingannati, seguite i nostri consigli:

Evitate di cliccare su link in messaggi non previsti, in particolare quelli che vi chiedono di accedere a un servizio. Anche se il messaggio sembra legittimo, aprite un browser e digitate manualmente il nome del sito;
Controllate la sicurezza del sito. Se il vostro browser non riconosce un sito come sicuro, allora qualcuno potrebbe intercettare username e password;
Imparate a individuare i tipici segnali di phishing, e poi parlatene con tutto il vostro staff. Non c’è bisogno di fare da sé: esistono delle piattaforme di formazione online per questo scopo;
Avvaletevi di soluzioni specializzate per filtrare lo spam e il phishing che entra nella casella di posta aziendale;
Installate e aggiornate una soluzione di sicurezza su tutti i dispositivi di lavoro di modo che, anche se qualcuno dovesse cliccare su un link di phishing, il pericolo sarà scongiurato.

Per ulteriori informazioni: dircom@argonavis.it

Censornet Web Security – Reporting, Archiviazione e Conservazione dei log

Autore: Redazione Argonavis

Censornet Web Security, soluzione per il filtraggio e il controllo della navigazione in Internet, consente di:

creare grafici e report, pianificandoli
archiviare automaticamente e conservare i dati dei log di Web Security.

Visibilità in tempo reale sulla conformità con le policy di accesso definite

I grafici della produttività mostrano una visibilità immediata sulla conformità con le policy di accesso definite.

E’ possibile:

eseguire query sull’attività web in tempo reale per utente, dispositivo, dominio e categoria
vedere esattamente quali utenti stanno accedendo a quali siti Web.

Generazione di Report

Gli amministratori possono definire i propri report in base ai nomi dei campi e ai criteri disponibili.

I report possono essere salvati e poi esportati.
I report di controllo possono essere ricercati utilizzando criteri che includono ora, utente, dispositivo, Categoria Web, Categoria URL, dominio, parola chiave e risultato (consenti, blocca, reindirizza, avvisa).

Pianificazione e avvisi

Si possono collegare i report alle pianificazioni e, facoltativamente, si può ricevere un report solo quando è presente contenuto (modalità di avviso). Avvisi su parole chiave, categorie bloccate, domini specifici, ecc.

Report sulle tendenze principali (Top Trend)

Una selezione di report di tendenza predefiniti con dati di grafici e tabelle. I report sulle tendenze possono essere esportati in PDF e inviati tramite posta elettronica ai destinatari.

Report Web estesi

Il componente aggiuntivo opzionale fornisce report aggiuntivi per gruppo Active Directory, comprese le principali categorie Web per gruppo, i domini principali, il tempo trascorso.

Viste multiple

E’ possibile analizzare e creare report per utente, dispositivo, categoria web, azione.

Conservazione dei log e archiviazione automatica

I dati dei log di Web Security vengono archiviati automaticamente dopo 90 giorni e possono essere scaricati dalla piattaforma Censornet per un periodo di ulteriori 12 mesi. Sono disponibili periodi di conservazione più lunghi.

Per ulteriori informazioni: dircom@argonavis.it

Perché la vulnerabilità CVE-2021-21148 è pericolosa

Come mantenersi al sicuro

Perché Fonix era considerato pericoloso

Il cybercrimine dentro il cybercrimine

Le ragioni di questa scelta

Come difendersi dai ransomware

Come funziona

Perché perdere l’accesso all’account di un ESP è pericoloso

Metodi di mascheramento

Come difendersi dal phishing

Categorie