Phishing attraverso Google Apps Script

 
Tratto da Blog Kaspersky
Autore: Roman Dedenok – 28/07/2021
 
 
Alcuni truffatori si servono di Google Apps Script per il reindirizzamento, evitando che i server di posta blocchino i link di phishing
 
 

 

Per rubare le credenziali delle e-mail aziendali dei dipendenti, i criminali informatici devono prima superare le soluzioni anti-phishing presenti sui server di posta elettronica aziendali. Di regola, si avvalgono di servizi web legittimi in modo da evitare di farsi notare; e, sempre più spesso, si servono di Google Apps Script, una piattaforma di scripting basata su JavaScript.

Cos’è Apps Script e come viene sfruttata dai cybercriminali?

Apps Script è una piattaforma basata su JavaScript per automatizzare le attività all’interno dei prodotti Google (ad esempio, per la creazione di componenti aggiuntivi per Google Docs), così come in applicazioni di terze parti. Essenzialmente, si tratta di un servizio per creare script ed eseguirli all’interno dell’infrastruttura di Google.

Nel phishing via e-mail, i cybercriminali utilizzano questo servizio per i reindirizzamenti. Invece di inserire l’URL di un sito web dannoso direttamente in un messaggio, i criminali informatici possono inserire un link a uno script. In questo modo, possono bypassare le soluzioni anti-phishing a livello di server di posta: un collegamento ipertestuale a un sito legittimo di Google con una buona reputazione supera la maggior parte dei filtri. Come vantaggio secondario per i criminali informatici, i siti di phishing non rilevati possono rimanere attivi più a lungo. Questo stratagemma conferisce ai cybercriminali la flessibilità di cambiare lo script se necessario (nel caso in cui le soluzioni di sicurezza rilevino il trucco) e di sperimentare con la consegna dei contenuti (ad esempio, reindirizzando le vittime su diverse versioni del sito a seconda della regione di appartenenza).

Esempio di una truffa tramite Google Apps Script

Tutto quello che i cybercriminali devono fare è convincere l’utente a cliccare su un link. Di recente, il pretesto più comune riguardava la “casella di posta piena”. In teoria, sembra plausibile.

 

 

Una tipica e-mail di phishing riguardante una fantomatica casella di posta piena.

I cybercriminali di solito lasciano segni per smascherare la truffa e che dovrebbero essere evidenti anche agli utenti che non hanno familiarità con le notifiche reali:

  • L’e-mail proviene apparentemente da Microsoft Outlook, ma l’indirizzo e-mail del mittente ha un dominio diverso. Una vera notifica su una casella di posta piena dovrebbe provenire dal server Exchange interno (extra: nel nome del mittente, Microsoft Outlook, manca uno spazio e viene utilizzato uno zero al posto della lettera O);
  • Il link, che appare quando il cursore passa sopra “Fix this in storage settings”, porta a un sito Google Apps Script:

 

 

Collegamento e-mail a Google Apps Script

  • Le caselle di posta non superano improvvisamente i loro limiti. Outlook inizia ad avvertire gli utenti che lo spazio si sta esaurendo molto prima di raggiungere il limite. Superarlo improvvisamente di 850 MB significherebbe probabilmente ricevere tanto spam tutto in una volta, il che è estremamente improbabile.

In ogni caso, ecco un esempio di notifica legittima di Outlook:

 

 

Notifica legittima di una casella di posta quasi piena.

  • Il link “Fix this in storage settings” reindirizza su un sito di phishing. Anche se in questo caso si tratta di una copia abbastanza convincente della pagina di accesso dall’interfaccia web di Outlook, uno sguardo alla barra degli indirizzi del browser rivela che la pagina è ospitata su un sito web contraffatto, non sull’infrastruttura della compagnia.

Come evitare di abboccare all’amo del phishing

L’esperienza dimostra che le e-mail di phishing non devono necessariamente contenere link di phishing. Pertanto, una protezione aziendale affidabile deve includere capacità anti-phishing sia a livello di server di posta, sia sui computer degli utenti.

Inoltre, alla soluzione di sicurezza va affiancata anche una formazione continua di dei dipendenti riguardo le attuali minacce informatiche e le truffe di phishing.

30 Luglio 2021

Come organizzare su Zoom una videoconferenza veramente sicura

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 27/07/2021
 
 
Analizziamo le impostazioni di sicurezza di una delle piattaforme più popolari del pianeta
 
 

 

In un periodo in cui le aziende di tutto il mondo stavano perdendo denaro a causa della pandemia, Zoom ha visto una crescita del 370% dei suoi introiti  in un solo trimestre, diventando un brand familiare e sulla bocca di tutti. Tuttavia, fin dall’inizio, questo servizio ha suscitato dubbi riguardo alla sua sicurezza e, a onor del vero, gli sviluppatori hanno fatto del loro meglio per affrontare rapidamente tali questioni.

Alla luce dei meccanismi di sicurezza di Zoom recentemente rafforzati, ecco cosa si può, e si dovrebbe, configurare per ottenere la massima protezione durante l’uso.

1. Create un link unico per ogni riunione

È possibile creare una conferenza su Zoom con un cosiddetto Personal Meeting ID (PMI) o, per le chat occasionali, con un link usa e getta. Legato all’account di un utente, un PMI rimane invariato per un anno intero dall’ultimo accesso, quindi chiunque abbia partecipato ad almeno una riunione con PMI, può collegarsi a qualsiasi conversazione futura usando lo stesso PMI, anche se non si è stati invitati. Per questo motivo, evitate di usare link personali e create invece un link separato per ogni riunione, per farlo sono necessari solo pochi secondi.

2. Organizzate riunioni accessibili su invito

Condividere pubblicamente un link a una riunione è rischioso. Sarebbe come scrivere con lo spray su un muro i dettagli di una festa e sperare che nessuno si imbuchi. Notificate ogni partecipante individualmente, via e-mail, app di messaggistica o tramite altri mezzi a voi più congeniali. Se vi accorgete che qualcuno non è presente in una chiamata già in corso, potete inviare un invito direttamente da Zoom.

3. Impostate il riconoscimento facciale

Anche se avete inviato un link personalmente a un amico o un collega, questo non garantisce che qualcun altro non lo usi per unirsi alla chiamata: il vostro amico potrebbe aver inoltrato il link a qualcun altro, potrebbe avere un fratello o potrebbe essere un hacker.

La Sala d’attesa può aiutarvi ad assicurarvi che non ci siano ospiti non invitati alla chiamata. Se attivate questa funzionalità, i partecipanti rimarranno isolati fino a quando non esaminerete i nomi e i nickname e deciderete chi far entrare.

Dopo l’inizio della riunione, potete rimandare qualcuno alla Sala d’attesa se, ad esempio, avete bisogno di esaminare una questione con un team più ridotto. Potete anche scegliere di abilitare la sala d’attesa per tutti o solo per gli ospiti che non hanno effettuato l’accesso al proprio account Zoom.

4. Bloccate la riunione su Zoom

Una volta che tutti sono entrati, è possibile bloccare la riunione in modo che nessun altro possa parteciparvi. In questo modo, anche se il link alla vostra video chat fosse accessibile ad altri, non potranno farne uso. Per inciso, il blocco è diventato uno dei modi più efficaci per combattere lo Zoombombing, la pratica di invadere le chiamate Zoom, che si è diffusa durante la pandemia.

5. Abilitate la cifratura end-to-end

Zoom ha usato a lungo la cifratura point-to-point (P2PE), dove le chiavi private erano memorizzate sul server. P2PE protegge contro la semplice intercettazione dei dati, ma l’hackeraggio dei server di Zoom permetterebbe a un cybercriminale di decifrare la conversazione.

Pertanto, gli sviluppatori di Zoom hanno aggiunto la cifratura end-to-end (E2EE), che memorizza le chiavi solo sui dispositivi degli utenti. Abilitate la cifratura end-to-end e comparirà uno scudo verde con un lucchetto nell’angolo in alto a sinistra dello schermo di Zoom. Questa icona significa che la chiamata è protetta.

Tenete a mente che la cifratura end-to-end è disabilitata di default per un motivo: quando è abilitata, i partecipanti che utilizzano i client Lync o Skype, la versione online del client Web di Zoom, o qualsiasi client di terze parti, non saranno in grado di unirsi alla chiamata. Inoltre, agli utenti con account gratuiti verrà chiesto di confermare il numero di telefono e aggiungere un metodo di pagamento.

6. Controllate la sicurezza del canale

Potete verificare in qualsiasi momento se degli estranei hanno organizzato un attacco man-in-the-middle per connettersi al vostro canale di comunicazione. Cliccate sull’icona dello scudo e vedrete una chiave segreta. L’host può leggerla ad alta voce e i partecipanti potranno confrontarla con la propria. La chiave numerica è direttamente collegata al meccanismo di cifratura end-to-end che collega i dispositivi dei partecipanti. Se la chiave dell’host corrisponde a quella dei partecipanti alla chiamata, significa che la connessione tra i dispositivi finali non è stata compromessa. Se un cybercriminale è riuscito a infiltrarsi, la sequenza di numeri sarà diversa.

Quando le funzioni dell’host vengono trasferite a un altro partecipante, o qualcuno si unisce o lascia la riunione, il sistema genera una nuova chiave segreta, e i partecipanti possono controllarla nuovamente.

7. Procuratevi una protezione extra

Per nascondere il vostro indirizzo IP (e la chiamata stessa) agli estranei, assicuratevi di collegarvi utilizzando una connessione sicura come Kaspersky Secure Connection. L’uso di una VPN è particolarmente importante per le chiamate effettuate tramite una connessione Wi-Fi pubblica.

Non dimenticate di utilizzare una soluzione di sicurezza affidabile: non importa quanto Zoom abbia migliorato la sua sicurezza, non può fare nulla contro un malware già installato sul dispositivo di un partecipante alla chiamata.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

28 Luglio 2021

Come scaricare Windows 11 evitando i malware

 
Tratto da Blog Kaspersky
Autore: Anton V. Ivanov – 26/07/2021
 
 
Alcuni scammer stanno distribuendo malware e adware facendoli passare per Windows 11
 
 

 

Microsoft non ha ancora rilasciato Windows 11 ma il nuovo sistema operativo è già disponibile per il download e per un’anteprima. I criminali informatici, naturalmente, se ne stanno approfittando per “piazzare” alcuni malware agli utenti che pensano di aver scaricato il nuovo sistema operativo targato Microsoft.

Perché scaricare adesso Windows 11?

Microsoft in realtà aveva annunciato che Windows 10 sarebbe stata l’ultima versione di Windows e che in futuro avrebbe solo rilasciato aggiornamenti. Il 24 giugno di quest’anno, però, l’azienda ha presentato Windows 11. E anche se sotto sotto è fondamentalmente uguale al precedente, Windows 11 è comunque il più grande aggiornamento del sistema operativo in sei anni, che comprende un numero notevole di nuove caratteristiche e modifiche dell’interfaccia.

Ufficialmente, Windows 11 sarà disponibile al grande pubblico nel 2021, ma molte persone lo stanno provando in anticipo installando una versione pre-release. Alcuni appassionati vogliono provare il nuovo sistema per capire quali sono le novità; altri, come i giornalisti tecnici, per informare gli utenti sulle nuove caratteristiche. Per quanto riguarda gli sviluppatori di software, hanno bisogno di conoscere il nuovo sistema operativo per eseguire test di compatibilità con i loro prodotti e correggere eventuali problemi prima del giorno del rilascio.

Anche se Microsoft ha reso il processo di download e installazione di Windows 11 dal suo sito ufficiale abbastanza semplice, molti visitano ancora altre fonti per scaricare il software, che spesso contiene “chicche” non pubblicizzate dai criminali informatici (e non è necessariamente Windows 11).

Come i truffatori ingannano gli utenti che decidono di scaricare Windows 11

Il modo più diretto usato dai criminali informatici per ingannare gli utenti è inserendo un extra dannoso.

Un esempio riguarda un file eseguibile chiamato 86307_windows 11 build 21996.1 x64 + activator.exe. Con i suoi 1,75 GB, sembra un file certamente plausibile. In realtà, però, la maggior parte di questo spazio è occupato da un file DLL che contiene un sacco di informazioni inutili.

 

 

All’apertura del file eseguibile si avvia il programma di installazione, che sembra una normale procedura guidata di installazione di Windows. Il suo scopo principale è quello di scaricare e avviare un altro eseguibile più interessante. Anche il secondo eseguibile è un installer, che propone persino un accordo di licenza (che poche persone leggono) denominato “download manager for 86307_windows 11 build 21996.1 x64 + activator” e che servirebbe a installare alcuni software sponsorizzati. Se accettate l’accordo saranno installati sul vostro dispositivo alcuni programmi dannosi.

 

 

I prodotti Kaspersky hanno già bloccato diverse centinaia di tentativi di infezione che usavano tattiche simili a quelle della truffa su Windows 11. Una gran parte di questi malware è costituito da downloader, il cui compito è quello di scaricare ed eseguire altri programmi.

Questi altri programmi possono essere molto diversi, da adware relativamente innocui, che le nostre soluzioni classificano come not-a-virus, a Trojan veri e propri, password stealer, exploit e altri programmi dannosi.

 

Dove e come scaricare Windows 11 in modo sicuro

Scaricate Windows 11 solo da fonti ufficiali, come consiglia Microsoft. Finora, Windows 11 è ufficialmente disponibile solo per i partecipanti al programma Windows Insider, per il quale dovete registrarvi. Avrete anche bisogno di un dispositivo su cui è già installato Windows 10.

Per aggiornare il vostro computer Windows 10 a Windows 11, andate su Impostazioni, cliccate su Aggiornamento e sicurezza, quindi selezionate Programma Windows Insider e attivate il Canale sviluppatori per ottenere l’aggiornamento.

Sconsigliamo di eseguire l’aggiornamento sul vostro computer principale, poiché le precompilazioni possono essere instabili.

Vi consigliamo inoltre di utilizzare una soluzione di sicurezza affidabile e di non disabilitarla mai, per evitare che i criminali informatici  possano accedere al vostro computer tramite ingegneria sociale o che sfruttino vulnerabilità di un sistema non ancora pronto per la release ufficiale.

 

27 Luglio 2021

Covid 19: Il Garante privacy “avverte” la Regione Sicilia. L’ordinanza del Presidente delle Regione viola le norme sulla privacy dei lavoratori

 
 
Tratto da www.garanteprivacy.it
 
 
 
Il Garante per la protezione dei dati personali ha avvertito la Regione Sicilia e tutti i soggetti coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Sicilia, in assenza di interventi correttivi, possono violare le disposizioni del Regolamento europeo e del Codice privacy.
 

L’ordinanza prevede infatti trattamenti di dati personali relativi allo stato vaccinale dei dipendenti pubblici e degli enti regionali, determinando limitazioni dei diritti e delle libertà individuali che possono essere introdotte solo da una norma nazionale di rango primario, previo parere dell’Autorità.

Le disposizioni regionali prevedono che tutti i dipendenti a contatto diretto con l’utenza siano “formalmente invitati” a ricevere la vaccinazione e, in assenza di questa, assegnati ad altra mansione.

Tali trattamenti relativi allo stato vaccinale del personale non previsti dalla legge statale, introducono, di fatto, un requisito per lo svolgimento di determinate mansioni su base regionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.

L’ordinanza prevede, inoltre, trattamenti generalizzati di dati relativi allo stato vaccinale dei dipendenti, anche da parte del medico competente, non conformi alla disciplina in materia di protezione dei dati e alla disciplina in materia di sicurezza nei luoghi di lavoro.

Considerata poi la delicatezza delle informazioni trattate e le possibili conseguenze discriminatorie in ambito lavorativo, il coinvolgimento dei datori di lavoro, previsto dall’ordinanza, in assenza di misure tecniche e organizzative può porsi in contrasto con le norme nazionali che vietano ai datori di lavoro di trattare informazioni relative alla salute, alle scelte individuali e alla vita privata dei dipendenti.

Il Garante, in considerazione delle gravi violazioni riscontrate, ha dunque ritenuto necessario intervenire tempestivamente per tutelare i diritti e le libertà degli interessati, prima che tali criticità producano i loro effetti, ed ha di conseguenza avvertito la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti, che, in assenza di interventi correttivi, i trattamenti di dati previsti possono violare la normativa privacy.

Il provvedimento adottato dal Garante è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza, anche al fine di segnalare alle Regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.

23 Luglio 2021

Spyware modulare Pegasus: il commento di Kaspersky

 
Tratto da www.lineaedp.it
Autore: Redazione LineaEDP – 21/07/2021
 
 
Dmitry Galov, security researcher del GReAT team di Kaspersky, ha commentato le funzionalità dello spyware modulare Pegasus
 

spyware

 

Pegasus è uno spyware modulare per iOS e Android. Nel 2016 è stata scoperta una versione di Pegasus per iOS, successivamente ne è stata trovata anche una versione per Android, leggermente diversa dalla prima. Uno dei suoi principali schemi di infezione è il seguente: la vittima riceve un SMS contenente un link che, una volta cliccato, infetta il dispositivo con uno spyware. Inoltre, secondo informazioni pubbliche, per infettare iOS lo spyware sfrutterebbe le vulnerabilità zero-day trovate nel sistema.

Quando noi di Kaspersky abbiamo studiato Pegasus per Android nel 2017, lo spyware si è dimostrato in grado di leggere gli SMS e le e-mail della vittima, ascoltare le chiamate, acquisire screenshot, registrare le sequenze di tasti e accedere ai contatti e alla cronologia del browser. Ma le sue funzionalità non si esauriscono qui. Vale anche la pena notare che Pegasus è un malware piuttosto complesso e costoso, progettato per spiare individui di particolare interesse, quindi è improbabile che l’utente medio venga preso di mira.

Quanto sono comuni le vulnerabilità come Pegasus che consentono di spiare le persone? Oggi esistono esempi di questo tipo disponibili sul darknet e quanto sono utilizzati in generale?

Vale la pena distinguere tra due concetti: spyware e vulnerabilità. Pegasus è uno spyware con versioni sia per dispositivi iOS che Android. Anche quando abbiamo studiato Pegasus per Android nel 2017, lo spyware poteva leggere SMS e e-mail della vittima, ascoltare le chiamate, acquisire screenshot, registrare sequenze di tasti, accedere ai contatti, alla cronologia del browser e ad altro ancora.

Inoltre è noto che, per infettare iOS, lo spyware sfrutta le vulnerabilità zero-day trovate nel sistema. Si tratta di vulnerabilità di cui lo sviluppatore non è a conoscenza e per le quali non è ancora stata rilasciata una patch, ma che possono essere sfruttate dai criminali informatici per implementare vari tipi di attacchi, inclusi attacchi mirati rivolti a organizzazioni o persone specifiche.

Sia gli spyware che le vulnerabilità zero-day possono essere venduti e acquistati da vari gruppi sulla darknet. Il prezzo delle vulnerabilità può raggiungere i 2,5 milioni di dollari: questo è quanto è stato offerto nel 2019 per l’intera catena di vulnerabilità Android. È interessante notare che nello stesso anno, per la prima volta, una vulnerabilità di Android si è rivelata più costosa di una vulnerabilità di iOS.

Cosa dovrebbero fare gli utenti per proteggersi da questi attacchi?

Il modo migliore per proteggersi da questi strumenti è fornire quante più informazioni possibili su questi attacchi ai fornitori di software e sicurezza. Gli sviluppatori di software risolveranno le vulnerabilità sfruttate dai threat actor e i fornitori di sicurezza adotteranno misure per rilevare tali minacce e proteggere gli utenti.

21 Luglio 2021

Blog & News

Categorie