Doxing: come proteggersi?

 
Tratto da www.lineaedp.it
Autore: Laura Del Rosario – 30/04/2021
 
 

doxing

 

Una delle minacce che colpisce utenti online di qualsiasi età, professione e background socio-culturale è il doxing, ovvero la pratica di raccogliere informazioni personali con lo scopo di renderle pubbliche o usarle per danneggiare le vittime. Per aiutare gli utenti a riprendere il controllo dei propri dati e proteggersi dal doxing, gli esperti di privacy di Kaspersky hanno sviluppato una checklist completa su come gestire le proprie informazioni personali in modo responsabile e semplice.

Da un’indagine di Kaspersky è emerso che la sicurezza e la trasparenza nella gestione dei dati privati sono finalmente diventate di pubblico interesse: il 50% degli utenti ha dichiarato di non volersi più affidare a provider online che hanno subito una violazione dei dati mentre il 57% si preoccupa per la propria sicurezza e privacy quando utilizza dispositivi smart e connessi a Internet. Una preoccupazione del tutto fondata considerato che i dati degli utenti online sono quotidianamente a rischio.

Gli utenti stanno ancora imparando a rapportarsi alla tecnologia e ad acquisire maggiore fiducia sulle questioni legate al trattamento e alla sicurezza dei propri dati oltre che ad usarla in modo più consapevole per evitare che questa diventi causa di stress e ansia. Ad esempio, anche una foto innocente di un adolescente che mostra un documento d’identità appena ottenuto potrebbe finire nelle mani sbagliate cosi come un messaggio emozionale inviato agli amici potrebbe essere visto e segnalato da un estraneo come offensivo. Le foto dell’ultima festa potrebbero essere pubblicate online senza il consenso dei diretti interessati e lo smartwatch di un bambino potrebbe trasmettere a terzi la sua posizione in tempo reale 24 ore su 24.

Mentre alcuni rischi, come la fuga di dati o gli attacchi ransomware rivolti alle organizzazioni, sono spesso fuori dal controllo degli utenti, altre minacce, come il doxing, possono invece essere contrastate in prima persona. Il doxing viene reso possibile grazie all’esistenza di numerosi canali pubblici (forum, social media e registri di applicazioni) nei quali i dati degli utenti vengono rivelati e condivisi. È una pratica pericolosa che però può e deve essere prevenuta.

La presenza di minacce e di rischi online non significa però che gli utenti debbano smettere di utilizzare il web come strumento di condivisione ed espressione personale e certamente non è neanche una cosa che in molti sarebbero disposti a fare. La tecnologia e l’innovazione dovrebbero migliorare la vita delle persone e favorirne il benessere mentale. Come tale, avere un’esperienza digitale sicura dovrebbe essere una priorità assoluta per tutti, specialmente durante un periodo complicato come quello attuale. Questo è il motivo per cui i cittadini digitali devono imparare a trattare i dati personali online in modo responsabile, allo stesso modo in cui ci si occupa delle proprie finanze e degli oggetti fisici.

Gli esperti di privacy di Kaspersky, in collaborazione con professionisti esterni, hanno creato una breve guida per ridurre lo stress e i rischi relativi ai furti di dati e per rendere minime le probabilità che gli utenti siano vittime di doxing. La guida è divisa in tre sezioni e affronta temi quali: il trattamento dei dati (sia quelli sui quali si ha il controllo che gli altri), l’attività del browser e il tracciamento delle app, e il trattamento dei dati di altri utenti con cui si entra in contatto. Fornire le giuste conoscenze e gli strumenti adatti a navigare online in modo sicuro, consente agli utenti di essere autonomi nell’utilizzo della tecnologia evitando stress e preoccupazioni causati da quest’ultima.

“La nostra vita è sempre più interconnessa, non c’è da meravigliarsi, quindi, se ci imbattiamo regolarmente in minacce e insidie online. Il doxing utilizzato per colpire e danneggiare le persone è in continuo aumento e questo fa sì che gli strumenti che utilizziamo per esprimerci e comunicare possano anche essere usati contro di noi. Sfortunatamente, non è possibile avere il controllo di tutte le informazioni disponibili online sul nostro conto ma vale comunque la pena provare a proteggerle. Per mantenere i nostri dati al sicuro e ridurre i rischi, dobbiamo acquisire maggiore consapevolezza su chi può avervi accesso e in che modo li utilizza. Solo dopo, possiamo prendere alcune precauzioni e averne il controllo. Fortunatamente, una parte di questi accorgimenti si risolve installando e utilizzando degli strumenti affidabili, come password manager o estensioni del browser che proteggono la privacy. Con questa guida speriamo di fornire agli utenti un modo semplice e facile per garantire la sicurezza dei propri dati personali e aiutare amici e familiari a fare lo stesso” ha commentato Anna Larkina, Senior security expert di Kaspersky.

Per avere maggiori informazioni sul doxing e su come proteggere sé stessi e le persone care è possibile frequentare il corso online gratuito di Kaspersky.

Ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

3 Maggio 2021

Kaspersky e le tendenze APT del Q1 2021

 
Tratto da www.lineaedp.it
Autore: Redazione LineaEDP – 28/04/2021
 
 

 

Secondo quanto emerso da un nuovo report di Kaspersky, i principali attacchi APT nei primi tre mesi dell’anno in corso hanno riguardato le supply chain e lo sfruttamento degli exploit zero day.

Gli incidenti più noti sono stati la compromissione del software Orion IT di SolarWinds per il monitoraggio delle infrastrutture IT, che ha portato all’installazione di una backdoor personalizzata su più di 18.000 reti di aziende clienti, e la vulnerabilità in Microsoft Exchange Server che ha prodotto nuove campagne di attacco in Europa, Russia e Stati Uniti.

Gli attori delle minacce avanzate cambiano continuamente le loro tattiche, perfezionano i loro strumenti e lanciano costantemente nuovi attacchi. Per informare gli utenti e le organizzazioni delle minacce che devono affrontare, il Global Research and Analysis Team di Kaspersky (GReAT) pubblica alcuni report trimestrali sugli sviluppi più importanti nel panorama delle minacce persistenti avanzate.

Lo scorso trimestre, i ricercatori del GReAT hanno condotto delle indagini su due importanti attività malevole.

La prima attività presa in esame è stata quella relativa a SolarWinds e alla compromissione del suo software Orion IT utilizzato per la gestione e il monitoraggio delle reti. Questa compromissione ha permesso agli attaccanti di installare una backdoor personalizzata, nota come Sunburst, sulle reti di oltre 18.000 clienti, tra cui grandi aziende ed enti governativi in Nord America, Europa, Medio Oriente e Asia.

Dopo un’attenta analisi della backdoor, i ricercatori di Kaspersky hanno riscontrato delle somiglianze con la backdoor già nota come Kazuar, individuata per la prima volta nel 2017 e inizialmente attribuita al famigerato gruppo APT Turla. Le somiglianze osservate suggeriscono che gli autori di Kazuar e Sunburst possano essere in qualche modo collegati.

La seconda serie di attacchi analizzata dai ricercatori del GReAT è stata condotta sfruttando degli exploit zero day in Microsoft Exchange Server, per i quali in seguito sono state rese disponibili delle patch.

All’inizio di marzo, un nuovo attore APT noto come HAFNIUM ha approfittato di questi exploit per lanciare una serie di “attacchi limitati e mirati”. Durante la prima settimana di marzo sono stati colpiti circa 1.400 server unici, prevalentemente localizzati in Europa e negli Stati Uniti.

Considerato che alcuni server sono stati presi di mira più volte, è plausibile che più gruppi stiano utilizzando le vulnerabilità. Infatti, a metà marzo, i ricercatori di Kaspersky hanno individuato un’altra campagna che utilizzava questi stessi exploit e aveva come obiettivo la Russia.

Questa campagna ha mostrato alcuni legami con HAFNIUM, così come con gruppi di attività precedentemente noti su cui Kaspersky sta indagando.

Anche il famigerato gruppo APT Lazarus ha sfruttato un exploit zero-day per condurre un nuovo cluster di attività. In questo caso, il gruppo ha usato tecniche di ingegneria sociale per convincere i ricercatori di sicurezza a scaricare un file di progetto Visual Studio compromesso o per attirare le vittime sul loro blog con l’obiettivo poi di installare un exploit in Chrome.

Gli zero-days venivano usati come esche e l’attacco serviva a rubare le informazioni raccolte sulle vulnerabilità. La prima serie di attacchi si è verificata a gennaio mentre la seconda, avvenuta a marzo, è stata combinata alla creazione di profili fake sui social media e alla creazione di una società fittizia per ingannare le vittime prese di mira.

A un esame più attento, i ricercatori di Kaspersky hanno notato che il malware utilizzato nella campagna corrispondeva a ThreatNeedle, una backdoor sviluppata da Lazarus e recentemente impiegata in attacchi contro l’industria della difesa a metà del 2020.

Un’altra interessante campagna di exploit zero-day analizzata nel report, denominata TurtlePower e presumibilmente collegata al gruppo BitterAPT, ha preso di mira enti governativi e organizzazioni nel settore delle telecomunicazioni in Pakistan e Cina.

La vulnerabilità, ora patchata, sembra essere collegata a “Moses”, un broker che ha sviluppato almeno cinque exploit negli ultimi due anni, alcuni dei quali sono stati utilizzati sia da BitterAPT che da DarkHotel.

Come sottolineato in una nota ufficiale da Ariel Jungheit, senior security del GReAT di Kaspersky: «Il report sulle APT nel primo trimestre del 2021 ha dimostrato quanto possano essere distruttivi gli attacchi alla supply chain. Probabilmente, ci vorranno ancora diversi mesi per comprendere appieno la portata dell’attacco di SolarWinds. La buona notizia è che l’intera community di sicurezza si sta interessando a questo tipo di attacchi e sta cercando un modo per contrastarli. Questi primi tre mesi del 2021 hanno anche ricordato l’importanza di aggiornare i dispositivi con le patch non appena vengono rilasciate. Data la loro efficacia, i gruppi APT continueranno a sfruttare gli exploit zero-day per colpire le loro vittime, e come dimostrato dalla recente campagna di Lazarus lo faranno anche in modo creativo».

Il report sulle tendenze APT del Q1 riassume i risultati dei report di threat intelligence riservati agli abbonati ai servizi di Kaspersky, che includono anche i dati degli Indicatori di Compromissione (IOC) e le regole YARA per la ricerca forense e il malware hunting.

Per proteggere un’azienda dalle minacce persistenti avanzate, gli esperti di Kaspersky raccomandano di:

  • Installate le patch per le nuove vulnerabilità non appena disponibili, per non permettere agli attaccanti di sfruttarle.
  • Eseguire regolarmente un audit di sicurezza dell’infrastruttura IT dell’organizzazione per individuare falle e sistemi vulnerabili.
  • Adottare una soluzione di protezione degli endpoint dotata di funzionalità di gestione delle vulnerabilità e delle patch, in grado di semplificare notevolmente il compito dei responsabili della sicurezza IT.
  • Installare soluzioni anti-APT ed EDR, abilitando le funzionalità per la scoperta e il rilevamento delle minacce, l’indagine e la remediation tempestiva degli incidenti. Fornire al team SOC l’accesso alla threat intelligence più aggiornata e offrire regolarmente formazione professionale.

Ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

30 Aprile 2021

Trucchi di phishing con Microsoft Office

Tratto da Blog Kaspersky
Autore: Roman Dedenok – 22/04/2021
 
 
Se in un’e-mail vi chiedono di accedere al vostro account MS Office, ecco cosa dovreste fare
 
 
 

 

Con l’accesso alla casella di posta elettronica aziendale, i criminali informatici possono eseguire attacchi BEC (Business E-mail Compromise). Ecco perché vediamo così tante e-mail di phishing che invitano gli utenti aziendali ad accedere a siti web simili alla pagina di login di MS Office. Per questo motivo, se ci imbattiamo in un link che reindirizza a una pagina di questo tipo, è molto importante sapere a cosa prestare attenzione.

I tentativi da parte dei criminali informatici di rubare le credenziali di accesso agli account di Microsoft Office non sono una novità. Tuttavia, i metodi che i cybercriminali utilizzano stanno diventando sempre più sofisticati. In questo post analizzeremo un caso reale, un’e-mail che abbiamo ricevuto per davvero e che ci servirà per parlare delle best practices da adottare in questi casi e per descrivere i nuovi trucchi attualmente in circolazione.

Nuovo trucco di phishing: l’allegato HTML

Un’e-mail di phishing normalmente contiene un link a un sito web falso. Come ricordiamo di frequente, questi link devono essere esaminati attentamente sia per l’aspetto generale che per gli effettivi indirizzi web a cui reindirizzano (nella maggior parte dei client di posta e delle interfacce web, se passiamo il mouse sull’URL, visualizzeremo l’indirizzo di destinazione). Sicuramente, dopo essersi resi conto che un buon numero di persone aveva assimilato questa semplice precauzione, i phisher hanno iniziato a sostituire i link con un file HTML in allegato, il cui unico scopo è quello di automatizzare il reindirizzamento.

Cliccando sull’allegato HTML, si apre una pagina del browser. Per quanto riguarda il suo aspetto, il file di phishing contiene una sola linea di codice (javascript: window.location.href) con l’indirizzo del sito web di phishing come eventuale variabile. Il file obbliga il browser ad aprire il sito web nella stessa finestra.

Cosa cercare in un’e-mail di phishing

Nuove tattiche a parte, il phishing è sempre phishing, quindi dobbiamo partire dall’e-mail. Ecco quella che abbiamo ricevuto. In questo caso, si tratta di una falsa notifica di un messaggio vocale in arrivo:

 

Un'e-mail di phishing

Prima di cliccare sull’allegato, abbiamo alcune domande su cui vi invitiamo a riflettere:

  1. Conoscete il mittente? È probabile che il mittente vi lasci un messaggio vocale al lavoro?
  2. È pratica comune nella vostra azienda inviare messaggi vocali via e-mail? Non che si usi molto al giorno d’oggi, e poi Microsoft 365 non supporta più la posta vocale da gennaio 2020;
  3. Sapete quale app ha inviato la notifica? MS Recorder non fa parte del pacchetto Office, e comunque, l’app predefinita di Microsoft per la registrazione del suono, che potrebbe in teoria inviare messaggi vocali, si chiama Voice Recorder, non MS Recorder;
  4. L’allegato ha le sembianze di un file audio? Voice Recorder può condividere registrazioni vocali, ma le invia come file .m3a. Anche se la registrazione proviene da uno strumento a voi sconosciuto ed è custodita su un server, dovreste ricevere un link e non un allegato.

In sintesi: abbiamo un’e-mail inviata da un mittente sconosciuto che ci ha mandato un presunto messaggio vocale (una funzione che non usiamo mai) registrato con un programma sconosciuto, mandato come pagina web in allegato. Vale la pena di continuare? Certamente no.

Come riconoscere una pagina di phishing

Supponiamo che abbiate cliccato su quell’allegato e che siate finiti su una pagina di phishing. Come capire che non si tratti di un sito legittimo?

 

Una pagina web di phishing

 

Ecco a cosa bisogna prestare attenzione:

  1. Quanto visualizzato nella barra degli indirizzi ha l’aspetto di un indirizzo Microsoft?
  2. I link “Non riesci ad accedere al tuo account?” e “Accedi con una chiave di sicurezza” vi reindirizzano dove dovrebbero? Anche in una pagina di phishing, potrebbero portare a vere pagine Microsoft anche se, nel nostro caso, i link erano inattivi (un chiaro segno di truffa);
  3. Vi convince ciò che visualizzate nella finestra? Microsoft normalmente non ha problemi con dettagli come la dimensione dell’immagine di fondo. Le sviste o gli errori possono capitare a chiunque, naturalmente, ma certe anomalie dovrebbero far scattare l’allarme;

In ogni caso, se avete qualche dubbio, andate su https://login.microsoftonline.com/ per verificare come appare la vera pagina di accesso di Microsoft.

Come non cadere nella trappola

Ecco cosa fare per evitare di consegnare le password dei vostri account Office nelle mani di cybercriminali sconosciuti:

  • State sempre all’erta. Le nostre domande di questo post vi aiuteranno a evitare le forme più semplici di phishing.
  • Proteggete le caselle di posta dei dipendenti con una soluzione specifica per Office 365, per smascherare i tentativi di phishing che sfruttano link o file HTML in allegato, e avvaletevi di una protezione per endpoint che impedisca l’accesso a siti di phishing.

Ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

23 Aprile 2021

CVE-2021-28310: una finestra già rotta

Tratto da Blog Kaspersky
Autore: Hugh Aver – 15/04/2021
 
 

Una vulnerabilità zero-day presente in Microsoft Windows potrebbe essere già stata sfruttata dai cybercriminali. Vediamo di cosa si tratta e come proteggersi

 

 

I ricercatori di Kaspersky hanno individuato una vulnerabilità zero-day (CVE-2021-28310) in un componente di Microsoft Windows chiamato Desktop Window Manager (DWM). Crediamo che numerosi cybercriminali potrebbero aver già sfruttato questa vulnerabilità. Microsoft ha già rilasciato la patch e vi suggeriamo di installarla immediatamente.

Cos’è Desktop Window Manager?

Quasi tutti noi abbiamo dimestichezza con l’interfaccia a finestre dei moderni sistemi operativi: ogni programma si apre in una finestra separata che non necessariamente occupa tutto lo schermo. Le finestre possono sovrapporsi, per esempio, una getta un’ombra sulle altre come se stesse fisicamente bloccando la luce. Su Microsoft Windows, il componente responsabile di caratteristiche come le ombre e trasparenze si chiama Desktop Window Manager.

Per capire perché Desktop Window Manager sia importante in un contesto di sicurezza informatica, va tenuto in considerazione che i programmi non disegnano semplicemente le loro finestre sullo schermo ma aggiungono le informazioni necessarie in un buffer. Desktop Window Manager prende queste informazioni dal buffer di ogni programma e crea l’immagine complessiva di ciò che viene visualizzato dall’utente. Quando si trascina una finestra su un’altra, i programmi aperti non sanno nulla sul fatto che le loro finestre debbano proiettare un’ombra o che un’altra finestra a sua volta proietta un’ombra su di esse, per esempio. Desktop Window Manager si occupa di questo compito, si tratta di un servizio chiave che esiste su Windows a partire dalla versione Vista e che non può essere disattivato su Windows 8 o versioni successive.

La vulnerabilità in Desktop Window Manager

La vulnerabilità scoperta dalla nostra tecnologia avanzata di prevenzione degli exploit porterebbe alla cosiddetta privilege escalation; ciò significa che un programma può ingannare Desktop Window Manager e ottenere un accesso che non dovrebbe avere. In questo caso, la vulnerabilità ha permesso ai criminali informatici di eseguire un codice arbitrario sui dispositivi delle vittime, concedendo in sostanza il pieno controllo del computer.

Come evitare l’exploit CVE-2021-28310

È fondamentale agire rapidamente. Ecco cosa potete fare:

  • Installate immediatamente le patch rilasciate da Microsoft il 13 aprile e su tutti i computer vulnerabili;
  • Proteggete tutti i dispositivi con una soluzione di sicurezza robusta come Kaspersky Endpoint Security for Business, la cui componente avanzata di prevenzione degli exploit blocca i tentativi di sfruttare la vulnerabilità CVE-2021-28310.

 

Ulteriori informazioni sulla soluzione Kaspersky: dircom@argonavis.it

20 Aprile 2021

Analisi dei cyberattacchi e risposta rapida per PMI

Tratto da Blog Kaspersky
Autore: Hugh Aver – 15/04/2021
 
 
Bloccare una minaccia non è sufficiente, bisogna analizzare e ricostruire l’intera catena d’infezione
 
 
 

La maggior parte delle soluzioni di sicurezza per piccole e medie imprese blocca semplicemente l’esecuzione di malware su una workstation o un server e, per anni, questo metodo è sembrato sufficiente. Se un’azienda riusciva a rilevare le minacce informatiche sui dispositivi finali, poteva arrestare la diffusione dell’infezione sulla rete e proteggere l’infrastruttura aziendale.

Tuttavia, i tempi cambiano. Un tipico attacco informatico moderno non è più un incidente isolato sul computer di un dipendente ma un’operazione complessa che colpisce una porzione considerevole dell’infrastruttura. Pertanto, ridurre al minimo i danni di un cyberattacco di oggi richiede non solo di bloccare il malware, ma anche di capire rapidamente cosa è successo, come è successo e dove potrebbe accadere di nuovo.

Cosa è cambiato?

Il cybercrimine moderno si è evoluto a tal punto che anche una piccola azienda potrebbe ragionevolmente essere preda di un attacco mirato e su tutti i fronti. In certa misura, questa evoluzione è il risultato della crescente disponibilità degli strumenti che consentono di portare a termine un attacco complesso e in più fasi. Inoltre, i cybercriminali cercano sempre di massimizzare il rapporto sforzo-profitto e i creatori di ransomware si contraddistinguono davvero in questo senso. Ultimamente, abbiamo notato un loro crescente impegno in esaustive ricerche e in lunghi preparativi; a volte, si appostano silenziosamente nella rete obiettivo per settimane, esplorando l’infrastruttura e rubando informazioni vitali prima di colpire con la cifratura dei dati e la successiva richiesta di riscatto.

Una piccola impresa può anche servire come obiettivo intermedio in un attacco alla supply chain; i criminali informatici a volte usano l’infrastruttura di un appaltatore, un provider di servizi online o di un piccolo partner per assaltare un’impresa più grande. In questi casi, possono anche sfruttare le vulnerabilità zero-day, tattica normalmente più costosa.

Capire cosa è successo

Porre fine a un attacco complesso e multilivello richiede un quadro chiaro di come il cybercriminale sia riuscito a penetrare nell’infrastruttura, quanto tempo vi abbia trascorso, a quali dati possa aver avuto accesso e così via. Eliminare semplicemente il malware sarebbe come curare i sintomi di una malattia senza affrontarne le cause.

Nelle aziende di grandi dimensioni, ad occuparsi delle indagini c’è il SOC, il dipartimento di sicurezza informatica o un servizio esterno dedicato a questo scopo. Le grandi aziende usano soluzioni di classe EDR per questo: budget e personale limitati fanno sì che spesso le piccole aziende scartino a priori queste opzioni. Eppure, le piccole imprese hanno comunque bisogno di strumenti specializzati che le aiutino a rispondere prontamente alle minacce complesse.

Kaspersky Endpoint Security Cloud con EDR

Per configurare la soluzione Kaspersky per PMI con funzionalità EDR non serve un esperto in sicurezza poiché l’aggiornamento di Kaspersky Endpoint Security Cloud Plus offre una migliore visibilità dell’infrastruttura. L’amministratore può identificare rapidamente i percorsi che utilizza una minaccia per diffondersi, ottenere informazioni dettagliate sui dispositivi colpiti, visualizzare rapidamente i dettagli dei file dannosi e vedere dove vengono utilizzati. Tutto ciò aiuta gli amministratori a rilevare prontamente tutti i “punti caldi” delle minacce, bloccare l’esecuzione dei file pericolosi e isolare i dispositivi colpiti, riducendo al minimo i potenziali danni.

 

Per ulteriori informazioni: dircom@argonavis.it

18 Aprile 2021

Blog & News

Categorie