Il phishing che colpisce i provider di hosting

Tratto da: Blog Kaspersky

Autore: Roman Dedenok – 17/02/2021

Ecco perché i cybercriminali attaccano gli account sui siti dei provider di hosting e come

In questo articolo si parla di un episodio di hijacking (o dirottamento) abbastanza recente che ha coinvolto un account personale su un sito di provider di hosting. Un account di questo tipo è molto allettante per i criminali informatici: ecco come è avvenuto l’attacco e fino a dove può spingersi.

La tattica del phishing

L’attacco inizia con del classico phishing. In questo caso, i cybercriminali tentano di spaventare il destinatario spacciandosi per il provider di hosting per spingerlo a un’azione rapida invocando un fantomatico attacco informatico. I truffatori affermano di aver temporaneamente bloccato l’account in risposta a un tentativo di acquisto di un dominio sospetto. Per riprendere il controllo dell’account, il destinatario deve seguire il link indicato e accedere al suo account personale.

Email di phishing inviata da criminali informatici che si spacciano per un provider di hosting.

Il corpo del messaggio è pieno di campanelli d’allarme. Non contiene né il nome del provider né il suo logo, suggerendo l’uso di un template comune per i clienti di diversi hoster. Il nome appare solo una volta, nella casella del mittente; inoltre, questo nome non corrisponde al dominio di posta, un segno evidente di frode.

Il link porta a una pagina di login poco convincente. Anche la combinazione di colori non va bene. La speranza qui è che probabilmente l’utente agisca in preda al panico e non lo noti.

Pagine web false

Come in caso di un qualsiasi tipo di phishing, inserire le credenziali su questa pagina equivale a dare ai criminali informatici il pieno controllo dell’account. In questo caso, tuttavia, si parla di consegnare le chiavi del sito web aziendale. Stranamente, chiedono anche alcuni dettagli finanziari, il cui scopo non è chiaro.

Perché un provider di hosting?

Dando un’occhiata alla pagina di login, tutto va bene con i certificati del sito di phishing. La sua reputazione sembra a posto, tutto quanto ha senso; i criminali informatici non hanno creato il dominio, se ne sono impossessati, probabilmente usando un attacco simile.

Ciò che i criminali informatici possono fare con il controllo di un account personale sul sito web di un host dipende dal provider. Per fare qualche esempio, possono reindirizzare ad altri contenuti, aggiornare il contenuto del sito attraverso un’interfaccia web e cambiare la password FTP per la gestione dei contenuti. In altre parole, i criminali informatici hanno diversi assi nella loro manica.

Le possibilità sono troppo ampie? Bene, ecco alcune idee più specifiche. Se i criminali informatici prendono il controllo del sito, potrebbero aggiungere una pagina di phishing, usare il sito per ospitare un link che scarica un malware, o addirittura usarlo per attaccare i clienti. In breve, possono sfruttare il nome dell’azienda e la reputazione del sito per scopi dannosi.

Come difendersi dagli attacchi di phishing

Le e-mail di phishing possono essere molto persuasive. Per evitare di essere ingannati, prima di tutto, i dipendenti devono essere sempre all’erta. Si raccomanda quanto segue:

Mantenere sempre in vigore la politica di non cliccare mai su link diretti che reindirizzano ad account personali. Chiunque riceva un messaggio preoccupante dal proprio provider di hosting dovrebbe accedere al sito legittimo, digitando a mano l’indirizzo nella barra degli indirizzi del browser;
Attivare l’autenticazione a due fattori sul sito del provider. Se il provider non offre questa opzione, cercare di informarsi su quando ha intenzione di aggiungere questa funzionalità;
Cercare di indentificare i segnali evidenti di phishing (come una mancata corrispondenza tra il nome del mittente e il dominio di posta elettronica, o nomi di dominio errati sui siti web). L’ideale sarebbe insegnare ai dipendenti a identificare i tentativi di phishing (un’opzione è quella di utilizzare una piattaforma di formazione online come Kaspersky ASAP);
Installare soluzioni aziendali per la sicurezza della posta su tutti i server e dispositivi che i dipendenti usano per l’accesso a Internet.

A caccia di mailing list

Tratto da Blog Kaspersky

Autore: Roman Dedenok – 03/02/2021

I criminali informatici stanno inviando e-mail di phishing per impossessarsi dell’accesso agli account ESP

Per quanto sia pericoloso che gli utenti privati pensino di essere troppo noiosi per attirare l’interesse dei criminali informatici, è anche peggio che lo credano i proprietari di piccole e medie imprese. Quando viene trascurata la protezione di base, per i criminali informatici è una manna dal cielo, perché i loro obiettivi non sono sempre quelli che ci potremmo aspettare. Un esempio è un messaggio che di recente è caduto nella nostra trappola: un messaggio di phishing che mira a violare l’account di un ESP, o Email Service Provider, per appropriarsi delle mailing list.

Come funziona

La truffa inizia con un dipendente di un’azienda che riceve un messaggio di conferma del pagamento di un abbonamento a un ESP. Il link nel messaggio dovrebbe dare al destinatario l’accesso alla prova d’acquisto. Se il destinatario è effettivamente un cliente dell’ESP (e il phishing prende di mira i clienti reali) è probabile che clicchi, sperando di capire perché si è verificato questo pagamento anomalo.

Anche se il link sembra reindirizzare a una pagina di un ESP, in realtà porta da tutt’altra parte. Cliccando sul link, le vittime si troveranno su un falso sito che assomiglia molto a una pagina di login legittima.

Ecco le due schermate di accesso. La pagina fasulla è sulla sinistra.

A questo punto, i lettori non saranno sorpresi nel vedere che qualsiasi dato inserito nella falsa pagina di login andrà direttamente ai criminali informatici che hanno organizzato la truffa. Da notare però che, oltre a reindirizzare da tutt’altra parte, il falso sito trasmette i dati che raccoglie su un canale non protetto. I cybercriminali non si sono nemmeno preoccupati di replicare il CAPTCHA, anche se hanno inserito un esempio nel campo dell’e-mail. Dovremmo vedere anche una bandiera nell’angolo in basso a destra ma è improbabile che la maggior parte degli utenti individui queste discrepanze.

Perché perdere l’accesso all’account di un ESP è pericoloso

Nel migliore dei casi, avendo ottenuto il controllo di un account ESP, i criminali informatici useranno la lista degli indirizzi e-mail dei clienti per inviare spam. Tuttavia, le mailing list specifiche del settore hanno un prezzo più alto sul mercato nero rispetto alle semplici raccolte di indirizzi e-mail casuali: conoscere la tipologia di lavoro di un’azienda aiuta i criminali informatici a personalizzare lo spam.

Data la specializzazione del phishing dei criminali informatici, è probabile che tutti coloro che si trovano nelle liste rubate riceveranno una e-mail di phishing che sembra provenire dall’azienda. A quel punto, sia che il destinatario si sia iscritto a una newsletter o che sia effettivamente un cliente, è probabile che apra il messaggio, lo legga e clicchi anche sul link in esso contenuto, dato che il mittente non sembra sospetto.

Metodi di mascheramento

Studiando l’e-mail di phishing in dettaglio, abbiamo scoperto che era stata inviata attraverso un servizio di mailing, ma diverso da quello vittima (un concorrente dell’ESP da cui sosteneva di provenire). È interessante notare che, per prolungare la vita della campagna, i criminali informatici hanno anche creato una landing page per la loro “azienda del settore marketing”. (Il titolo della pagina, “Simple House Template”, non è particolarmente convincente, però).

Una landing page per la falsa “azienda di marketing.”

Quanto sopra suggerisce che i criminali informatici potrebbero avere una conoscenza dettagliata dei meccanismi di vari servizi di mailing e potrebbero attaccare anche i clienti di altri ESP.

Come difendersi dal phishing

Per evitare di essere ingannati, seguite i nostri consigli:

Evitate di cliccare su link in messaggi non previsti, in particolare quelli che vi chiedono di accedere a un servizio. Anche se il messaggio sembra legittimo, aprite un browser e digitate manualmente il nome del sito;
Controllate la sicurezza del sito. Se il vostro browser non riconosce un sito come sicuro, allora qualcuno potrebbe intercettare username e password;
Imparate a individuare i tipici segnali di phishing, e poi parlatene con tutto il vostro staff. Non c’è bisogno di fare da sé: esistono delle piattaforme di formazione online per questo scopo;
Avvaletevi di soluzioni specializzate per filtrare lo spam e il phishing che entra nella casella di posta aziendale;
Installate e aggiornate una soluzione di sicurezza su tutti i dispositivi di lavoro di modo che, anche se qualcuno dovesse cliccare su un link di phishing, il pericolo sarà scongiurato.

Per ulteriori informazioni: dircom@argonavis.it

Cyber security: la sicurezza aziendale che ti salva la vita!

Tratto da BitMAT

Autore: Redazione BitMAT – 19/01/2021

Con il termine cyber security si intende la protezione dei sistemi informatici (computer, reti di telecomunicazione, smartphone, ecc.) e delle informazioni digitali da attacchi interni e, soprattutto, esterni. Sinonimi di questo termine sono IT security, ICT security, sicurezza informatica e sicurezza delle informazioni.

I principali attacchi hacker

1. Attacchi brute force (forza bruta) e password sicure

Le misure di sicurezza sono utilizzate per ridurre i rischi, non per eliminarli. Per capire questo concetto, partiamo dalle password. I malintenzionati che quotidianamente provano ad attaccare i servizi sul web utilizzano programmi specializzati che provano migliaia di password al secondo, ventiquattr’ore su ventiquattro. Questo il motivo per cui la password dovrebbe essere complessa: idealmente dovrebbe essere composta da caratteri casuali, in modo da non dare nessun indizio all’attaccante su quale potrebbe essere la password. L’unico modo per indovinarla a questo punto sarebbe quello che si chiama attacco di forza bruta o brute force, che consiste semplicemente nel provare tutte le password fino a che non si trova quella giusta.

Per creare password sicure esiste una soluzione chiamata password manager. I password manager sono piccoli programmi installabili su pc o su smartphone, che permettono di generare password casuali senza alcuno sforzo, conservandole e proteggendole per noi con un’unica password. Dovendo accedere a un servizio, dal password manager copiamo la sua specifica password e la incolliamo nella pagina di autenticazione senza più bisogno di ricordarla. L’unica password che ci dovremo ricordare, e che dovrà essere veramente buona, sarà quella di accesso al password manager.

2. Attacchi di phishing

Attacco di phishing è il metodo usato dai malintenzionati per convincere gli utenti ad accedere a un sito esca/fasullo utilizzando le proprie credenziali. Il sito all’apparenza è uguale a quello originale, ma nella realtà è gestito dagli stessi malintenzionati.

Come proteggersi? Due sono le soluzioni: abbandonare la semplice password a favore di meccanismi di strong authentication e monitorare gli accessi per rilevare anomalie. I due meccanismi possono essere uniti per utilizzare la sola password quando si tratta di accessi “normali’ o di operazioni poco critiche, utilizzando invece l’autenticazione forte per accessi anomali od operazioni critiche.

La tecnologia però da sola non basta: fondamentale che gli utenti siano sensibili al problema.

3. Ransomware (Cryptolocker)

Attraverso gli stessi canali, e principalmente con la posta elettronica, può entrare in azienda il ransomware. Si tratta di malware che, una volta installatosi su di un computer aziendale, cifra i file di dati a cui hanno accesso, costringendo l’azienda a pagare un riscatto (ransom) per avere le chiavi di decifratura.

E’ proprio grazie al ransomware se il panorama della cyber security è cambiato. Diverse erano infatti le aziende, soprattutto medio-piccole, con la convinzione di non essere particolarmente vulnerabili e interessanti per gli attacchi da Internet.

Come proteggersi dal ransomware?

Sicuramente uno strumento fondamentale è l’antivirus, utile a prevenire le infezioni. Va anche detto che però da soli sono sempre meno efficaci poiché chi scrive i malware acquista gli antimalware e testa i propri prodotti fino a che non riescono a non essere rilevati. Solo a quel punto li diffondono mettendo in difficoltà i produttori di antivirus che necessitano poi di tempo per rilevare queste nuove varianti di malware e per istruire i propri prodotti a riconoscerli.

Fra le procedure per la protezione dei propri dati dal ransomware, è fondamentale il processo di backup che permette all’azienda di ripristinare i propri dati limitandone i danni. Nulla garantisce però all’azienda che, una volta pagato il riscatto, otterrà effettivamente la chiave efficace per decifrare i file; sempre più spesso accade che la chiave non venga inviata o che un difetto del malware non permetta il recupero dei file nonostante si sia ricevuta la chiave.

Cyber security: prevenzione e difesa

Primo step è la sponsorizzazione da parte dei manager aziendali di iniziative atte alla sicurezza, non riducendola a un mero problema del reparto IT. Si tratta di tutelare il patrimonio aziendale: la protezione non è rivolta ai pc ma a tutte le informazioni di valore per l’azienda.

Di conseguenza, il primo passo è identificare e valutare i rischi principali.

Da cosa partire? Da due documenti fondamentali: la policy di sicurezza e il regolamento utente. La policy di sicurezza è un documento che definisce i principi fondamentali nella gestione della sicurezza in azienda, si dichiara il commitment dell’azienda verso la protezione del proprio patrimonio informativo e si identificano le figure chiave che hanno in carico la gestione della cyber security, dando quindi loro l’autorevolezza per stabilire regole nell’uso e nella gestione del sistema informativo, diversamente difficile da far valere verso il personale. Il regolamento utente, invece, chiarisce quali sono i corretti e legittimi usi del sistema informativo e quali i comportamenti che gli utenti (personale ma anche consulenti, fornitori ecc.) devono tenere nell’utilizzo del sistema informativo aziendale e delle risorse quali Internet, posta elettronica, ecc.

A questi due documenti fondamentali si possono affiancare altre policy e procedure (gestione dei backup, gestione degli incidenti, ecc.) che, a seconda delle caratteristiche dell’organizzazione, possono essere più o meno strutturate.

Un’attenzione particolare va ai fornitori esterni: affidare la sicurezza a un servizio non significa scaricare il problema al fornitore pensando che non ci riguardi più; le risorse che si vogliono proteggere continuano ad essere patrimonio e responsabilità dell’azienda, che quindi dovrà assicurarsi che il livello della sicurezza del fornitore si mantenga adeguato, prima di tutto attraverso impegni contrattuali adeguati, e poi mediante audit e reportistica.

Infine, come anticipato, sono fondamentali la formazione e la sensibilizzazione del personale. Il comportamento e la disattenzione del personale sono la strada principale attraverso cui gli attaccanti riescono ad accedere al sistema informativo aziendale, molto più che attraverso vulnerabilità tecniche. La capacità degli utenti di comportarsi in modo sicuro e la formazione del personale tecnico sulle buone pratiche di sicurezza nella gestione del sistema informativo, sono quindi essenziali.

Perdita di dati e come comportarsi

Anche con la migliore gestione della sicurezza però, gli incidenti avvengono.

Come reagire?

L’azienda dovrà valutare se ripristinare sistemi e servizi o se invece non sarà più opportuno contenere l’incidente e raccogliere al contempo informazioni sull’attacco, attraverso quali canali è stato praticato e quali altre parti del sistema informativo sono state coinvolte, in modo da eliminare le vulnerabilità e migliorare la gestione della sicurezza.

Per gli incidenti più gravi, se definito, può anche scattare il piano di continuità operativa aziendale, in particolare le attività di disaster recovery che si occupano specificamente del ripristino dell’operatività del sistema informativo, sistema nervoso dell’azienda senza il quale questa non può funzionare a lungo.

La gestione della sicurezza, come si evince, richiede un impegno sia da parte delle piccole che delle grandi aziende che dovranno assegnare risorse coerenti con le esigenze aziendali.

Esigenze che finalmente le aziende cominciano a comprendere, investendo anche nei professionisti della cyber security, figure oggi molto ricercate.

Allerta da Kaspersky per gli utenti italiani di WhatsApp

Tratto da LineaEDP

Autore: Redazione LineaEDP – 13/01/2021

Kaspersky rileva una nuova truffa di phishing rivolta agli utenti italiani che sfrutta WhatsApp per carpire i loro dati bancari

I ricercatori di Kaspersky hanno rilevato una nuova truffa che vede come protagonista WhatsApp, la nota applicazione di messaggistica istantanea utilizzata da oltre due miliardi di persone in 180 Paesi.

La nuova truffa, rivolta agli utenti italiani di WhatsApp, è stata inizialmente rilevata il 30 dicembre 2020 ed è ancora attiva.

Il metodo usato è un classico schema di phishing: l’utente riceve una e-mail in cui viene avvisato che il proprio account WhatsApp è prossimo alla scadenza e viene dunque invitato a rinnovare la registrazione entro 24 ore per evitare di perdere messaggi, foto e video condivisi. Per completare l’operazione, l’utente può pagare tramite carta di credito il rinnovo del servizio per 1 fino a 5 anni, inserendo il codice della propria carta e altre informazioni riservate come CVC e password-3D-secure.

Lo scopo di questa truffa è, infatti, carpire i dati bancari degli utenti.

Il phishing è un’attività relativamente semplice e a basso costo e i criminali informatici continuano a farne ampio uso. Secondo quanto emerso dal report di Kaspersky, infatti, nel terzo trimestre del 2020 la quota media di spam nel traffico postale globale è stata del 48,91%, mentre il sistema Anti-Phishing di Kaspersky da solo ha impedito 103.060.725 tentativi di reindirizzare gli utenti verso pagine fake.

Per proteggersi dal phishing, i ricercatori di Kaspersky raccomandano di:

Verificare che i messaggi provengano da fonti affidabili
Non cliccare i link da e-mail o messaggi sospetti
Verificare l’autenticità dei siti web visitati
Installare una soluzione di sicurezza con database aggiornati che includano la conoscenza delle più recenti risorse di phishing e spam.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

Clusit avverte: crescita costante del cybercrime

Tratto da BitMAT

Autore: Redazione BitMAT – 11/11/2020

Stando ai dati contenuti nella nuova edizione del Rapporto Clusit 2020, con 850 attacchi noti analizzati, circa il 7% in più rispetto allo stesso periodo dello scorso anno, e la crescita costante del cybercrime, causa dell’83% degli attacchi, la prima metà del 2020 si guadagna la maglia del “semestre nero” della cybersecurity.

I ricercatori di Clusit, Associazione Italiana per la Sicurezza Informatica, hanno inoltre evidenziato come la pandemia abbia fortemente – e in vario modo – caratterizzato gli attacchi informatici in questi mesi: il tema “Covid-19” è infatti stato utilizzato tra febbraio e giugno per perpetrare 119 attacchi gravi, ovvero il 14% degli attacchi complessivamente noti. In particolare, l’argomento è stato utilizzato a scopo di cybercrime, ovvero per estorcere denaro, nel 72% dei casi; con finalità di “Espionage” e di “Information Warfare” nel 28% dei casi.

Oltre ai danni direttamente conseguenti agli attacchi compiuti, gli esperti Clusit evidenziano che il tema Covid-19 ha alimentato anche la diffusione di fake-news, fomentando la confusione sulla pandemia che si è venuta a creare a livello globale soprattutto nei primi mesi.

Gli attacchi a tema Covid-19 sono stati condotti nel 61% dei casi con campagne di “Phishing” e “Social Engineering”, anche in associazione a “Malware” (21%), colpendo tipicamente i cosiddetti “bersagli multipli” (64% dei casi): si tratta di attacchi strutturati per danneggiare rapidamente e in parallelo il maggior numero possibile di persone e organizzazioni. Il 12% degli attacchi a tema Covid-19 ha avuto come obiettivo il settore Governativo, Militare e l’Intelligence: sono stati in questo caso prevalentemente attacchi di natura “Espionage”. Spiccano infatti tra di essi alcuni casi gravi di “BEC scam” (Business Email Compromise), portati a segno da cyber criminali nelle prime fasi concitate di approvvigionamento dei presidi di sicurezza (per esempio, le mascherine), generando danni considerevoli.

A livello complessivo, nel primo semestre dell’anno gli attacchi – già classificati come “gravi” nell’analisi Clusit – hanno avuto effetti molto importanti o critici nel 53% dei casi, rivelando importanti impatti geopolitici, sociali, economici (diretto e indiretto), di immagine e di costo/opportunità per le vittime.

Sicurezza IT in tre punti chiave

Come sottolineato in una nota ufficiale da Gabriele Faggioli, presidente Clusit: «Nella tragedia di questi mesi, sta avvenendo una rivoluzione: il digitale sta trasformando l’organizzazione delle imprese e la vita dei cittadini, e stiamo comprendendo che la sicurezza del digitale è essenziale. Pensiamo che siano tre in particolare i punti da indirizzare nel percorso virtuoso verso la sicurezza informatica: investire in ricerca e innovazione, costituire un ecosistema delle imprese e della pubblica amministrazione in cui gli investimenti risultino adeguati alla minaccia e consapevolizzare maggiormente i cittadini. Lavoriamo in queste direzioni anche con le istituzioni per supportare la continuità in ambito produttivo e dei servizi, in primis quelli sanitari ed educativi del nostro Paese».

Cyber attacchi: chi viene colpito e perché

Nei primi sei mesi del 2020 gli esperti Clusit hanno registrato in prevalenza attacchi verso la categoria “Multiple Targets” che, come nel caso specifico degli attacchi a tema Covid-19, risulta la categoria più colpita, in crescita del 26% rispetto allo stesso periodo dello scorso anno.

A crescere maggiormente sono tuttavia gli attacchi verso le categorie “Critical Infrastructures” (+85%), “Gov Contractors” (+73,3%) e “Research / Education” (63%). Sono anche aumentati gli attacchi verso la categoria “Government” (+5,6%).

In termini assoluti, il settore “Government – Military – Intelligence” è stato il secondo settore nel mirino degli attaccanti (con il 14% degli attacchi), seguono i settori “Healthcare” e “Online Services” (10% degli attacchi).

Per Andrea Zapparoli Manzoni, tra gli autori del Rapporto Clusit: «L’analisi degli attacchi nel primo semestre 2020 rende evidente che, oggi come non mai, la nostra civiltà digitale è esposta a rischi importanti e potenzialmente sistemici: nell’emergenza mondiale che stiamo attraversando la cyber security è chiaramente, e in maniera irreversibile, un requisito fondamentale per il benessere di singoli individui, istituzioni ed imprese».

Le aree geografiche sotto attacco

Il Rapporto Clusit rappresenta su base continentale le vittime dei crimini informatici: nel primo semestre del 2020 rimangono sostanzialmente invariate rispetto allo stesso periodo dell’anno precedente le vittime di area americana (dal 46% al 45%), mentre crescono gli attacchi verso realtà basate in Europa (dal 9% al 15%). Rimangono percentualmente quasi invariati quelli rilevati contro organizzazioni asiatiche (dal 10% al 11%).

Le tecniche d’attacco utilizzate

Nel primo semestre dell’anno gli attaccanti hanno conseguito i loro obiettivi utilizzando malware nel 41% dei casi. Agli attacchi compiuti con questa tecnica, i ricercatori Clusit sommano gli attacchi compiuti con Multiple Techniques / APT, più sofisticati ma quasi sempre basati anche sull’utilizzo di malware, concludendo così che di fatto il malware arriva a rappresentare il 45% delle tecniche di attacco complessivamente utilizzate.

Le tecniche di “Phishing e Social Engineering”, in crescita del 26% rispetto allo stesso periodo dello scorso anno, sono state utilizzate nel 20% dei casi. Oltre il 40% delle campagne condotte con tecniche di Phishing, in particolare tra febbraio e giugno, hanno sfruttato il tema Covid-19, facendo leva su situazioni di incertezza e particolare sensibilità a livello globale ai temi della pandemia, nonché sulla insufficiente consapevolezza individuale.

È in aumento l’utilizzo di vulnerabilità “0-day” (+16,7%), per quanto il dato – notano gli esperti Clusit – sia ricavato da incidenti di dominio pubblico e sia quindi probabilmente sottostimato. Ritornano a crescere in modo significativo gli attacchi basati su tecniche di “Account Hacking/Cracking” (+24,2%).

In complesso, gli esperti Clusit rilevano che le tecniche di attacco meno sofisticate, quali SQLi, DDoS, Vulnerabilità note, Account cracking, Phishing e Malware “semplice”) rappresentano il 76% del totale, e la tendenza non mostra inversioni rispetto ai semestri precedenti: questo significa che gli attaccanti possono ancora realizzare attacchi gravi di successo contro le loro vittime con relativa semplicità e a costi molto bassi.