Le estensioni del browser sono più pericolose di quanto sembrano

 
Tratto da Blog Kaspersky
Autore:  Anastasia Starikova – 20/09/2022
 
 
Tutti abbiamo probabilmente installato almeno una volta un’estensione per il browser, ad esempio, un ad-blocker, un traduttore online, un correttore ortografico o altro. Tuttavia, pochi di noi si fermano a pensare: “è sicuro?”. Purtroppo queste estensioni, apparentemente innocue, possono essere molto più pericolose di quanto non sembrino a prima vista.
 

Cosa sono e cosa fanno le estensioni?

Un’estensione del browser è un plug-in che aggiunge funzionalità al browser. Ad esempio, può bloccare gli annunci pubblicitari sulle pagine web, prendere appunti, controllare l’ortografia e molto altro ancora. Per i browser più diffusi, esistono negozi ufficiali di estensioni che aiutano a selezionare, confrontare e installare i plug-in desiderati. Tuttavia, le estensioni possono essere installate anche da fonti non ufficiali.

È importante sottolineare che, per svolgere il proprio lavoro, un’estensione deve avere il permesso di leggere e modificare il contenuto delle pagine web visualizzate nel browser.

Nel caso di Google Chrome, le estensioni chiederanno il permesso di leggere e modificare tutti i dati dell’utente su tutti i siti web visitati.

Tutto ciò rappresenta un’opportunità per i criminali informatici dato che ne approfittano per distribuire adware e persino malware sotto le sembianze di estensioni apparentemente innocue.

Per quanto riguarda le estensioni adware, il diritto di alterare il contenuto visualizzato consente loro di mostrare annunci sui siti che l’utente visita con frequenza. In questo caso, i creatori delle estensioni guadagnano soldi dagli utenti che cliccano sui link affiliati e tracciati che li portano verso i siti web degli inserzionisti. Per ottenere contenuti pubblicitari più mirati, possono anche analizzare le query di ricerca e altri dati.

Le conseguenze sono ancora peggiori quando si tratta di estensioni dannose. Se un hacker ha accesso ai contenuti di tutti i siti web visitati, potrebbe rubare i dati delle carte di credito, i cookie e altre informazioni sensibili.

Alcune estensioni dannose:

  • adware con funzionalità WebSearch;
  • add-on di tipo DealPly;
  • estensioni della famiglia AddScript;
  • FB Stealer.
Gli esperti Kaspersky hanno elaborato un report  sulle principali estensioni dannose per il browser.
 

Come proteggersi

Le estensioni del browser sono strumenti utili, ma è importante installarle con cautela e tenere presente che non sono sempre così innocue come si potrebbe pensare. Quindi, vi suggeriamo di adottare le seguenti misure di sicurezza:

  • Scaricate le estensioni solo da fonti ufficiali. Ricordate che questa non è una garanzia di sicurezza assoluta: ogni tanto qualche estensione pericolosa riesce a penetrare negli store ufficiali. Tuttavia, queste piattaforme di solito ci tengono alla sicurezza degli utenti e rimuovono le estensioni dannose.
  • Non installate troppe estensioni e controllate regolarmente l’elenco. Se nell’elenco appare qualche estensione che non avete installato voi stessi, è bene preoccuparsi.
  • Utilizzate una soluzione di sicurezza affidabile.

Testo estratto dall’articolo pubblicato sul Blog Kaspersky

21 Settembre 2022

Disponibili le patch per 64 vulnerabilità nei prodotti Microsoft

 
Tratto da Blog Kaspersky
Autore:  Editorial Team – 16/09/2022
 
 
Microsoft ha rilasciato una patch per 64 vulnerabilità presenti in una serie di prodotti e componenti di diverso tipo, da Windows e Office, a Defender e Azure.

Cinque vulnerabilità sono critiche. Due vulnerabilità sono state diffuse prima del rilascio della patch (il che le rende tecnicamente zero-days), mentre una è già stata sfruttata da alcuni cybercriminali.

Si consiglia di installare gli aggiornamenti il prima possibile.

Vulnerabilità critiche

Tutte e cinque le vulnerabilità critiche appena corrette appartengono alla classe RCE (Remote Code Execution), ovvero possono essere utilizzate per eseguire codice arbitrario sui computer delle vittime.

  • CVE-2022-34718: si tratta di un bug presente nel protocollo TCP/IP di Windows, con un punteggio CVSS pari a 9,8. Un utente non autorizzato può utilizzarlo per eseguire codice arbitrario sul computer Windows attaccato con il servizio IPSec abilitato inviandogli un pacchetto IPv6 appositamente creato.
  • CVE-2022-34721 e CVE-2022-34722: si tratta di due vulnerabilità nel protocollo Internet Key Exchange che consentono a un criminale di eseguire codice dannoso inviando un pacchetto IP a un computer vulnerabile. Entrambe hanno un punteggio CVSS pari a 9,8. Nonostante queste vulnerabilità interessino solo la versione del protocollo IKEv1, Microsoft ricorda che tutti i sistemi Windows Server sono vulnerabili perché accettano pacchetti sia v1 che v2.
  • CVE-2022-34700 e CVE-2022-35805: sono due vulnerabilità che interessano il software di Microsoft Dynamics CRM. Se sfruttate, consentono a un utente autenticato di eseguire comandi SQL arbitrari, dopodiché l’hacker può aumentare i propri diritti ed eseguire comandi all’interno del database di Dynamics 365 con diritti di db_owner. Dato che un utente malintenzionato deve in qualche modo autenticarsi, il punteggio CVSS assegnato a queste vulnerabilità è leggermente inferiore ad altri (8,8), ma sono comunque considerate critiche.

Altre vulnerabilità sono elencate nell’articolo del Blog Kaspersky

19 Settembre 2022

Qui c’è puzza di phishing: e-mail contrassegnate come sicure

Tratto da Blog Kaspersky
Autore:  Roman Dedenok – 25/07/2022

Le e-mail di lavoro con il marchio “verificato” dovrebbero far suonare un campanello d’allarme

Quando i truffatori inviano e-mail di phishing o allegati dannosi utilizzano tutta una serie di trucchi per convincere l’utente a fare click su un link o ad aprire un file. Uno di questi trucchi consiste nell’aggiungere diversi tipi di marchi, loghi, frasi o contrassegni che indicano che il link o il file allegato è affidabile.

Per quanto possa sembrare una sciocchezza, questo approccio funziona. Una persona esperta nel campo della sicurezza informatica potrebbe non cascarci, ma i dipendenti meno esperti a livello informatico potrebbero cadere nel tranello. Per questo motivo, consigliamo agli IT security manager di fornire ai loro colleghi una breve panoramica sugli stratagemmi più elementari utilizzati dei cybercriminali.

Che aspetto hanno i marchi “verificati”?

Naturalmente non esiste un unico tipo: ogni cybercriminale ha il suo. Abbiamo visto molti esempi diversi, ma tendono ad essere variazioni sui seguenti temi:

  • Il file allegato è stato scansionato da un antivirus (a volte segue un logo).
  • Il mittente è nell’elenco delle persone attendibili.
  • Tutti i link sono stati scansionati da un motore anti-phishing.
  • Non è stata rilevata alcuna minaccia.

Qui sotto potete osservare un esempio di e-mail di phishing inviata da alcuni hacker che si fingono membri del team di assistenza per indurre il destinatario a cliccare sul link e a inserire le proprie credenziali di Office 365. Per rendere il messaggio ancora più plausibile, si legge che il mittente del messaggio è verificato.

Lettera con la dicitura: "questo mittente è stato verificato ed è stato incluso nell'elenco dei mittenti sicuri".

In questo caso, però, la dicitura “questo mittente è stato verificato ed è stato incluso nell’elenco dei mittenti sicuri di [nome della società]” dovrebbe essere un segnale d’allarme.

Come reagire a un’e-mail contrassegnata come sicura

Anche se le e-mail di phishing o dannose di solito richiedono una risposta rapida (nell’esempio precedente, si presentava la minaccia di perdere l’accesso all’e-mail del lavoro), una risposta rapida è proprio quello che non dovreste mai dare. Innanzitutto, ponetevi le seguenti domande:

  • Avete già visto questo contrassegno o marchio in passato? Se lavorate in questa azienda da almeno una settimana, probabilmente non è la prima e-mail che ricevete.
  • Qualcuno dei vostri colleghi ha mai visto un marchio di questo tipo nelle loro e-mail del lavoro? Se avete dubbi, è meglio chiedere a un collega più esperto o a un informatico.
  • Il contrassegno o dicitura è appropriata al contesto? Certo, a volte la dicitura “file scansionato” o “link scansionato” può avere senso. Tuttavia, se il mittente lavora nella vostra stessa azienda, come può il suo indirizzo e-mail aziendale non essere inserito nell’elenco degli indirizzi attendibili?

In realtà, i moderni filtri di posta elettronica funzionano in modo opposto: marcano le e-mail potenzialmente pericolose, non quelle che hanno ricevuto un giudizio positivo. Le e-mail vengono contrassegnate per indicare che un link o un allegato pericoloso è stato rimosso, oppure che potrebbero essere di spam o di phishing. Nel caso di Outlook in Office 365, queste etichette di solito non vengono inserite nel corpo del messaggio, ma in campi speciali. Nella maggior parte dei casi, queste e-mail vengono semplicemente eliminate prima di arrivare al destinatario o finiscono nella cartella spam. Contrassegnare i messaggi sicuri è inefficiente.

Questa pratica è stata utilizzata in passato nei servizi di posta elettronica gratuiti, ma il vero scopo era sempre quello di sottolineare che stavano offrendo un servizio speciale o un vantaggio rispetto alla concorrenza, ad esempio, un filtro speciale o un motore antivirus integrato.

Come proteggersi e salvaguardare la propria azienda

Ancora una volta, vi consigliamo di informare periodicamente i vostri colleghi circa i trucchi dei cybercriminali (ad esempio, potete inviare loro il link a questo post). Per una maggiore sicurezza, è una buona idea sensibilizzare i dipendenti nei confronti delle minacce informatiche utilizzando servizi speciali dedicati.

E per assicurarsi che un allegato contenuto in un’e-mail senza nessun marchio nel corpo del messaggio sia stato scansionato e non contenga minacce informatiche, si consiglia di implementare una protezione a livello di gateway di e-mail o di utilizzare soluzioni di sicurezza specializzate per Office 365. Non farebbe nemmeno male una protezione a livello di workstation con un motore anti-phishing affidabile.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

3 Agosto 2022

Un pacchetto per voi. Si prega di scansionare il codice QR

Tratto da Blog Kaspersky
Autore:  Roman Dedenok – 07/07/2022

Come i criminali informatici sottraggono i dati delle carte di credito fingendosi DHL

Lo shopping online è ormai parte integrante della vita quotidiana: con un paio di click ci facciamo consegnare a casa cibo, vestiti e altri prodotti. Gli amanti dello shopping online, che sono molti, a volte si dimenticano un pacco o perdono la chiamata dal corriere. Non sorprende che questa situazione venga sfruttata dagli criminali che utilizzano come esca false notifiche di consegna.

Un esempio è rappresentato dai criminali informatici che fingono di essere DHL, il noto servizio di corriere express internazionale. Tuttavia, a dare il via a questo tipo di truffa non è il solito link di phishing, ma un codice QR contenuto nell’e-mail. Oggi in questo post vi spieghiamo come e perché.

“Il tuo pacco è all’ufficio postale”

L’attacco inizia con un’e-mail, apparentemente proveniente da DHL. Sebbene l’indirizzo del mittente sia una serie di parole casuali che non hanno alcuna somiglianza con il nome del corriere, il corpo del messaggio è abbastanza convincente: logo dell’azienda, numero d’ordine (anche se falso) e presunta data di ricezione del pacco.

Il messaggio stesso (in questo caso in spagnolo) afferma che un ordine è arrivato presso l’ufficio postale locale, ma il corriere non è riuscito a consegnarlo di persona. Di solito queste esche sono accompagnate da un link che consente di “risolvere il problema”, ma questa volta c’è un codice QR.

E-mail con codice QR presumibilmente proveniente da DHL. Per sicurezza, abbiamo sostituito il codice QR nello screenshot con uno innocuo

E-mail con codice QR presumibilmente proveniente da DHL. Per sicurezza, abbiamo sostituito il codice QR nello screenshot con uno innocuo

Un codice QR è piuttosto versatile. Può essere utilizzato, ad esempio, per connettersi al Wi-Fi, pagare un acquisto o confermare l’acquisto di un biglietto per un concerto o un film. Ma forse l’uso più comune è quello di distribuire link offline: la scansione di uno di questi quadrati in bianco e nero, che possono comparire sulle confezioni dei prodotti, sui manifesti pubblicitari, sui biglietti da visita o altrove, consente di accedere rapidamente al sito web in questione.

In questo caso, ovviamente, gli hacker non hanno pensato alla comodità dell’utente. L’idea sembra essere che se la vittima apre l’e-mail su un computer, dovrà comunque leggere il codice QR con uno smartphone, il che significa che il sito dannoso si aprirà sul piccolo schermo di un cellulare, dove i segni di phishing sono più difficili da individuare. A causa dei limiti di spazio dei browser mobili, gli URL non sono completamente visibili. Inoltre, in Safari, la barra degli indirizzi è stata recentemente spostata nella parte inferiore dello schermo, dove molti utenti non guardano nemmeno. Questo fa il gioco dei criminali informatici, perché l’URL del loro sito falso non assomiglia affatto a quello ufficiale: la parola DHL non compare nemmeno.

Il testo del sito è inoltre di dimensioni ridotte, il che significa che eventuali difetti di stile sono meno evidenti. In ogni caso, non ce ne sono molti: la pagina da il benvenuto agli utenti con i colori gialli e rossi del marchio, il nome dell’azienda è riportato in basso e il testo è praticamente privo di errori, a parte un paio di lettere minuscole all’inizio delle frasi.

La vittima viene informata che il pacco arriverà entro 1-2 giorni; per riceverlo, le viene richiesto di inserire nome, cognome e indirizzo con codice postale. Il servizio di consegna richiede effettivamente questo tipo di informazioni, quindi non desta alcun sospetto.

Falso sito DHL chiede informazioni personali, oltre ai dati della carta di credito

Falso sito DHL chiede informazioni personali, oltre ai dati della carta di credito

Ma la raccolta dei dati non finisce qui. Nella pagina successiva, alla vittima viene chiesto di condividere altre informazioni sensibili: i dati della carta di credito, compreso il codice CVV sul retro, presumibilmente per pagare la consegna. Gli hacker non specificano l’importo, ma si limitano a dire che il costo dipende dalla zona e ad assicurare che il denaro non verrà addebitato fino all’arrivo del pacco. In realtà, il vero DHL richiede il pagamento della consegna in anticipo, al momento dell’ordine. Se il cliente non riceve il corriere, viene effettuato un altro tentativo di consegna gratuito.

Cosa fanno i criminali con i vostri dati di pagamento?

È improbabile che i criminali inizino ad addebitare immediatamente la carta della vittima, in modo che quest’ultima non colleghi gli addebiti all’e-mail fasulla di “DHL”. È più probabile che vendano i dati di pagamento sul dark web e che sia l’acquirente a trafugare i fondi in un secondo momento, quando la vittima potrebbe essersi già dimenticata del pacco inesistente.

Come proteggersi da queste frodi

In questo caso si applicano tutte le regole consuete per proteggersi dalle frodi informatiche:

  • Quando si riceve un’e-mail che sostiene di provenire da un servizio noto, controllare sempre l’indirizzo e-mail del mittente. Il vero nome dell’azienda non compare dopo la @? È molto probabile che si tratti di una truffa.
  • Se siete in attesa di un pacco, annotate il codice di tracking e verificate voi stessi lo stato del sito ufficiale aprendolo dai Preferiti o inserendo manualmente l’URL in un motore di ricerca.
  • Per essere sicuri, quando si scansionano i codici QR, utilizzare il nostro Kaspersky QR Scanner (disponibile sia per Android che per iOS. L’applicazione vi dirà se il codice punta a un sito pericoloso).
  • Dotate tutti i dispositivi di un antivirus affidabile con protezione anti-phishing e anti-frode che vi avviserà tempestivamente di eventuali pericoli.

Per ulteriori informazioni sulle soluzioni antivirus Kaspersky: dircom@argonavis.it

14 Luglio 2022

Come proteggere i dispositivi aziendali IoT

Tratto da Blog Kaspersky
Autore:  Hugh Aver – 08/07/2022

Gateway cyber immune in grado di proteggere i dispositivi IoT e IIoT dalle minacce informatiche

I dispositivi IoT sono da tempo parte integrante dei processi tecnologici e produttivi di molte aziende moderne. Sono utilizzati negli stabilimenti industriali, negli edifici intelligenti e in ufficio quotidianamente. Tuttavia, la loro sicurezza ha sempre destato preoccupazioni, soprattutto se si considera che molti dispositivi richiedono l’accesso a sistemi remoti tramite Internet per l’aggiornamento del firmware, il monitoraggio o la gestione. In effetti, l’introduzione dei dispositivi IoT nell’infrastruttura aziendale aumenta notevolmente la possibilità di essere attaccati; purtroppo, però, non è possibile dotare ogni dispositivo di tecnologie protettive.

Da cosa devono essere protetti i dispositivi IoT?

In linea generale, un dispositivo di rete non protetto può diventare la base per un attacco all’infrastruttura aziendale. Esistono alcuni motori di ricerca in grado di scansionare range di indirizzi IP in base a determinati parametri (analoghi a quelli del sistema Shodan). In teoria, si tratta di strumenti per i ricercatori, ma in realtà sono spesso utilizzati anche dai criminali informatici per cercare dispositivi IoT connessi a Internet vulnerabili o semplicemente obsoleti. Tutto dipende poi dalle intenzioni dei criminali e dalle debolezze specifiche del dispositivo IoT in questione: a volte i cybercriminali cercano di assumere il controllo del dispositivo attraverso l’interfaccia web, a volte inseriscono un falso aggiornamento del firmware o altre volte semplicemente disabilitano il dispositivo. Le botnet IoT stanno facendo qualcosa di simile: infettano molti dispositivi IoT e poi li usano per realizzare attacchi DDoS.

Un altro possibile uso dannoso dei dispositivi IoT è lo spionaggio. L’anno scorso, un gruppo di hacker ha avuto accesso a 150.000 telecamere IP di aziende, ospedali, scuole, caserme di polizia e persino carceri e ha poi diffuso alcuni dei filmati a cui aveva avuto accesso. Questo tipo di incidenti mostra bene quanto sia facile infiltrarsi all’interno delle reti di enti sensibili. Tuttavia, lo spionaggio non si limita solo alle telecamere: i criminali possono cercare di intercettare i flussi di dati provenienti da una gran varietà di dispositivi (ad esempio, sensori di diverso tipo).

I dispositivi dell’Industrial Internet of Things (IIoT) rappresentano un problema ancora più grave. La potenziale interferenza nei processi produttivi di un’infrastruttura critica potrebbe portare a conseguenze catastrofiche sia per l’azienda che per l’ambiente.

Come proteggere i dispositivi IoT

Per proteggere dalle cyberminacce tutti i dispositivi IoT o IIoT utilizzati in azienda non è affatto necessario smettere di utilizzare Internet. Al contrario, è possibile gestire le comunicazioni di questi dispositivi sui servizi cloud attraverso un gateway di sicurezza specifico. Di recente, abbiamo lanciato a livello mondiale una soluzione di questo tipo: Kaspersky IoT Secure Gateway 1000.

Il nostro gateway è in grado di proteggere i dispositivi IoT da attacchi di rete, DDoS, MitM e altre attività dannose. Kaspersky IoT Secure Gateway 1000 è progettato come parte integrante della nostra strategia di cyber immunity basata sul nostro sistema operativo sicuro, KasperskyOS, grazie al quale è possibile proteggersi in modo affidabile da interferenze esterne.

Kaspersky IoT Secure Gateway 1000

Kaspersky IoT Secure Gateway 1000

Per saperne di più sul funzionamento della cyber immunity e sull’utilizzo di KasperskyOS, potete consultare il nostro whitepaper Best Practice Cyber Immunity 2022. Qui si possono trovare anche diversi casi reali di utilizzo di Kaspersky IoT Secure Gateway 1000 nell’ambito della protezione delle infrastrutture critiche.

Kaspersky IoT Secure Gateway 1000 è gestito attraverso la console Kaspersky Security Center, che consente agli amministratori di rete di visualizzare tutti gli eventi di sicurezza e fornisce agli specialisti informazioni sui dispositivi IoT in funzione. Supporta i protocolli Syslog e MQTT e può inviare gli eventi a sistemi di monitoraggio esterni e piattaforme cloud, tra cui Microsoft Azure, Siemens MindSphere, AWS, IBM Bluemix e altri. Potete trovare informazioni dettagliate sul dispositivo stesso così come altre tecnologie cyber immuni targate Kaspersky sulla nostra pagina dedicata alla sicurezza delle infrastrutture IoT

Per ulteriori informazioni: dircom@argonavis.it

11 Luglio 2022