Le frodi informatiche che prendono di mira le attività finanziarie sono senza dubbio le più sensibili, visto il settore che coinvolgono. Inoltre, i danni economici che i clienti potrebbero subire sono notevoli e potrebbero avere un forte impatto sull’economia e i risparmi dei cittadini.

In Italia, il brand di Poste Italiane è sicuramente tra quelli maggiormente presi di mira per frodi informatiche di ogni tipo, proprio per la capillarità sul territorio dell’Istituto e l’alta probabilità, sui grandi numeri, che il lancio di una campagna malevola colpisca un effettivo titolare cliente di Poste o che abbia avuto qualcosa a che fare con l’ente, anche in passato.

In questa guida si analizzano le diverse tipologie di truffe e frodi online che finora hanno impattato su questo brand, per conoscerle ed evitarle.

Il phishing contro Poste Italiane

Ogni giorno nascono e vengono diffuse tante pagine Web che letteralmente copiano (anche per il tramite di tool appositi), il design e i contenuti di pagine strategiche di Poste Italiane, contenenti form da compilare con dati personali.

Il phishing, infatti, ha come primario obiettivo proprio quello di raggirare la vittima sfruttando la somiglianza delle pagine malevoli con quelle ufficiali al fine di carpirne i dati sensibili personali.

Questi dati, per le cyber gang, rivestono un ruolo fondamentale nella pianificazione di altri attacchi futuri, sempre più mirati, proprio grazie alle informazioni che clienti ignari hanno consegnato loro tramite queste finte pagine Web che, da un’analisi leggermente più attenta, non hanno niente a che vedere con l’organizzazione ufficiale di Poste Italiane.

Queste pagine Web fraudolente nascono sotto domini impensabili e difficilmente raggiungibili senza conoscerne l’URL, ma si diffondono sotto forma di link, pulsanti e infografiche cliccabili trasmesse mediante messaggi e-mail o SMS.

Nei casi più complessi, le campagne di phishing a tema Poste Italiane vengono arricchite di informazioni sulla vittima, recuperate da condivisioni pubbliche e aperte sui social network, di modo da indirizzare la campagna malevola in maniera più credibile per la vittima.

Nonostante tutto, è importante identificare il mittente di queste comunicazioni, soprattutto nel caso di e-mail che, per la maggior parte dei casi, riporteranno un indirizzo di posta elettronica facilmente riconoscibile come non appartenente a Poste Italiane.

Qualsiasi sia il contenuto della comunicazione, resta inoltre fondamentale verificarne l’oggetto prima di dar seguito alle istruzioni contenute, per esempio contattando il nostro riferimento di Poste Italiane nel caso fossimo clienti o verificando nell’area riservata del nostro account sul sito ufficiale dell’Istituto, ma sicuramente senza mai cliccare sui link contenuti nelle e-mail o nei messaggi SMS.

Se non dovessimo trovare alcuna corrispondenza tra le comunicazioni disponibili, allora quasi certamente siamo di fronte a una truffa.

Attacchi di tipo man-in-the-middle

Il classico phishing via e-mail di Poste Italiane è stato individuato, in alcune campagne malevole, equipaggiato da allegati infetti distribuiti sottoforma di archivi ZIP o fogli di calcolo Excel, che al loro interno hanno il codice utile a scaricare altri malware. La tecnica che questi malware sfruttano è nota come man-in-the-middle.

Sostanzialmente, una volta infettato un dispositivo, il software malevolo si frappone tra la vittima e l’operazione che sta svolgendo con la capacità di modificarne all’ultimo momento utile i dati che inserisce quando utilizza app o compila campi di testo nei form presenti sul sito web dell’istituto bancario.

Per fare un esempio, si può facilmente rappresentare questo attacco con l’operazione di bonifico, effettuata tramite l’area riservata dell’account BancoPosta, operazione ormai comune per chiunque sia da computer sia da app mobile.

Se il dispositivo che stiamo utilizzando è stato precedentemente infettato, durante la compilazione del codice IBAN destinatario, il malware interverrà, rispetto a ciò che desideriamo inserire noi, e modificherà le coordinate con IBAN sotto il controllo criminale, senza che noi ce ne accorgiamo.

Di fatto, quindi, confermeremo l’operazione portando avanti uno spostamento di denaro a vantaggio del frodatore e non del legittimo destinatario che noi pensiamo di avere indicato.

Normalmente, quando ci si accorge dell’errato movimento, risulta essere sempre troppo tardi perché di fatto il bonifico sarà già trasmesso e, se arrivato a destinazione, potenzialmente prelevato dal conto di arrivo, di modo da non consentirne il richiamo.

Questo è il tipico esempio di sfruttamento del man-in-the-middle, tecnica al centro della cronaca proprio di recente per via di una massiccia operazione riguardante Poste Italiane e coordinata dal Servizio Polizia Postale di Roma e dal Centro Operativo per la Sicurezza Cibernetica di Bologna.

In questo caso, solo a seguito di accurate e lunghe indagini si è riuscito a risalire alla cifra sottratta con la frode che, visto l’importo (ben 1.300.000 euro) ricopriva carattere di urgenza.

Ci sono, però, tanti piccoli movimenti, con importi meno significativi, che sottraggono cifre ai legittimi proprietari tramite questa tecnica e che difficilmente vengono recuperati, proprio perché non assoggettati a indagine.

La minaccia subdola del social engineering

Può sembrare una tecnica superata nel 2022, ma il vecchio “raggiro” è ancora oggi considerato tra le tecniche più prolifiche anche ai danni dei clienti di Poste Italiane.

L’ingegneria sociale, applicata a tecniche di phishing tramite SMS o e-mail, conferisce all’attaccante un potere condizionale sulla vittima, rendendolo così capace di operare operazioni economiche ai danni della clientela.

Nel caso specifico, queste truffe iniziano sempre con un contatto di phishing il cui mittente viene accuratamente emulato dall’attaccante per apparire legittimo e nel quale si richiedono dei dati personali specifici.

Se la vittima viene indotta a “completare” questo primo passaggio, la frode passa al livello successivo che, normalmente, avviene con una chiamata telefonica nella quale, fingendosi personale interno di Poste Italiane, gli attaccanti convinceranno la vittima ad eseguire determinate operazioni per risolvere alcuni aspetti di sicurezza o attivare, ad esempio, la carta di credito.

Tutte motivazioni assolutamente false se estrapolate dal contesto, ma Cybersecurity360 ha avuto modo di intervistare un campione di vittime che hanno subito attacchi di questo tipo, di età differente, e ciò che avviene è quasi una ipnosi del cliente che davanti alla voce dell’autorità riconosciuta (il dipendente di Poste Italiane), difficilmente riesce a discernere la natura delle operazioni che gli viene richiesto di eseguire.

La più tristemente nota, ancora oggi in corso, è la campagna condotta mediante una chiamata telefonica durante la quale la vittima viene convinta a uscire di casa, recarsi presso uno sportello Postamat, rimettersi in contatto con il malvivente e, davanti al dispencer di denaro, effettuare con la propria carta ricariche di carte prepagate spacciate come necessarie per testare il servizio di pagamento della propria carta. La realtà è che, di fatto, viene svuotato il conto corrente dell’ignara vittima operazione dopo operazione (viene fatta ripetere di solito dalle 3 alle 5 volte).

Resta un mistero come le persone riescano a fidarsi così tanto di una persona mai sentita prima, via telefono. Però questo è fatto quotidiano di cronaca, che impatta su una larga fascia di clientela indipendentemente dall’età.

Attacchi BEC (Business Email Compromise)

Questa truffa è rivolta direttamente a Poste Italiane e non ai suoi clienti.

In pratica, arriva una banale e-mail agli uffici centrali di Poste Italiane: come destinatario c’è proprio il responsabile dei pagamenti di quell’ufficio.

Il testo dell’e-mail richiede il saldo di una rata verso un nuovo IBAN, in sostituzione del vecchio fino ad allora utilizzato, per una fornitura da parte di qualche altro ente o azienda (il più delle volte viene sfruttato il marchio Microsoft vista la sua importanza e “visibilità”) realmente esistente.

Per portare a segno la truffa, i criminali utilizzano un indirizzo di posta, creato ad hoc, con dominio @mlcrosoft e non @microsoft, ovvero una “elle” minuscola al posta della “i”: un “errore” che non desta preoccupazione all’ufficio che prontamente autorizza il pagamento.

Questo lo scenario di una recente vicenda di cronaca che ha visto protagonista proprio Poste Italiane, subendo un attacco tipicamente noto come Business Email Compromise.

L’attacco BEC è perpetrato ai danni di un’organizzazione aziendale, via e-mail, operato su scala mirata e non random come il normale phishing.

I criminali, in questo caso, conoscevano l’effettiva natura della fattura Microsoft e come era strutturato l’accordo o le comunicazioni fino ad allora intercorse tra le due aziende. Ciò, ovviamente, prevede una precedente fase di compromissione dei sistemi (mediante software malevolo o mediante insiders) per carpire quante più informazioni interne possibili, utili successivamente a mettere in pratica la truffa.

Conclusioni e mitigazioni

Gli scenari analizzati finora sono le possibili truffe che la cronaca ci ha insegnato a monitorare ai danni di Poste Italiane e dei suoi clienti. Tutte queste frodi, come possiamo desumere, hanno un fattore di rischio comune: il fattore umano.

L’anello debole di molte di queste catene della sicurezza informatica infatti passa proprio per il fattore umano. Volendo trovare un modo efficace di difesa, in questo scenario, non possiamo far altro che consigliare di lavorare sulla consapevolezza dei rischi cyber da parte dei propri dipendenti.

L’educazione del personale aziendale su temi cyber riveste un ruolo sempre più importante, soprattutto per accendere una lampadina di allarme davanti a gesti, apparentemente normali, come possono essere la chiamata telefonica o la lettura di una comunicazione via e-mail.

Allo stesso tempo, i clienti/cittadini devono imparare che né Poste Italiane né altri istituti di credito chiameranno mai telefonicamente i propri clienti per risolvere problemi relativi alla sicurezza dell’account, chiedendo una collaborazione attiva.

Gli uffici centrali sono perfettamente in grado di disporre qualsiasi tipo di operazione sui servizi che ci stanno offrendo, senza il nostro intervento.

Le credenziali di accesso, i dati delle carte di credito e i codici segreti o PIN di carte e applicazioni, devono rimanere segreti. Sono strettamente personali e non esisterà mai alcun motivo valido per comunicarli ad una terza persona con alcun mezzo di comunicazione orale o scritto.

Fondamentale anche imparare a riconoscere il mittente di un messaggio di posta elettronica, così come riconoscere eventuali link presenti all’interno del testo prima di cliccarci sopra. È importante, inoltre, diffidare sempre da comunicazioni ricevute e non attese, soprattutto se contenenti messaggi particolarmente allarmanti o attraenti (sconti e offerte), ancor di più se ci sono anche allegati.

FONTE: cybersecurity

L’impennata degli attacchi ransomware è confermata. Nel 2021 il Dipartimento del Tesoro statunitense ha ricevuto 1.489 segnalazioni relative a ransomware, per un importo complessivo di circa 1,2 miliardi di dollari (1,23 miliardi di euro), secondo l’ultimo report del suo servizio dedicato alla criminalità, il Financial Crimes Enforcement Network, che è sulla base dei dati raccolti ai sensi della legge sul segreto bancario .

Negli Stati Uniti, le banche sono tenute a segnalare i pagamenti che passano attraverso i conti che ospitano al fine di rilevare riciclaggio di denaro o altre attività criminali.

 

“Negli ultimi due anni, gli autori di ransomware sono passati da un approccio opportunistico ad alto volume a una metodologia più selettiva nella scelta delle loro vittime. Prendono di mira le grandi aziende e chiedendo pagamenti maggiori per massimizzare il loro ritorno sull’investimento“

Osserva il rapporto.

E sembrerebbe che questa strategia stia dando i suoi frutti per l’anno 2021. Per fare un confronto, solo 487 pagamenti sono stati segnalati nel 2020 per un importo totale di 416 milioni di dollari (425 milioni di euro). 

Il Tesoro degli Stati Uniti vede questo sia come un aumento degli incidenti ransomware sia come un miglioramento dei meccanismi di rilevamento e segnalazione.

Tutti gli occhi sono rivolti alla Russia

Solo nel secondo trimestre del 2021, il 75% degli incidenti segnalati riguardava varianti di ransomware presumibilmente provenienti dalla Russia, le quali rappresentando il 69% del valore totale estorto. 

“Sebbene l’attribuzione del malware sia difficile, queste varianti sono state identificate tramite l’open source intelligence come l’utilizzo di codice in lingua russa, codificate specificamente per non prendere di mira la Russia o gli stati post-sovietici“

afferma il rapporto .

Il rapporto del Tesoro è stato pubblicato proprio mentre la Casa Bianca ospitava 36 delegazioni straniere e 13 aziende globali per affrontare la crescente minaccia dei criminali informatici per le economie di tutto il mondo.

Lo scorso marzo, il presidente Joe Biden ha firmato una nuova legge che impone ad alcuni settori di segnalare qualsiasi incidente al Dipartimento per la sicurezza interna entro 72 ore ed entro 24 ore dal pagamento del riscatto. 

Si sconsiglia vivamente di cedere ai cybercriminali, per non arricchirli e alimentare questo modello economico, ma alcune aziende, scelgono di pagare questo riscatto per poter mantenere la propria attività e il proprio business attivo.

FONTE: redhotcyber

Si chiamano infostealer tutti quei programmi malevoli che sono progettati per rubare i dati dell’utente attingendo direttamente al contenuto dei suoi dispositivi.

Gli infostealer possono sottrarre dati personali e informazioni sensibili da diverse fonti: browser, app bancarie e portafogli di criptovalute, area degli appunti (clipboard) del sistema operativo e così via. I dati così “sfilati” ai legittimi proprietari possono essere poi utilizzati dai criminali informatici per porre in essere furti di identità, estorcere o saccheggiare denaro altrui, per rivenderli a terzi sul mercato nero ottenendo un corrispettivo economico.

I ricercatori di DCSO CyTec hanno scoperto un nuovo malware chiamato StrelaStealer che è stato sviluppato con il preciso obiettivo di razziare le credenziali di accesso degli account di posta gestiti con Outlook e Thunderbird.

StrelaStealer può arrivare sulle macchine delle vittime attraverso allegati email nocivi: gli aggressori stanno prevalentemente usando file in formato ISO perché talvolta il loro contenuto sfugge alle soluzioni per la sicurezza di tipo centralizzato usate in azienda e soprattutto, diciamo noi, perché i file ospitati in un file ISO non contengono il cosiddetto Mark-of-the-Web (MotW).

Il Mark-of-the-Web è un attributo che viene aggiunto a livello di file system NTFS per indicare al sistema operativo e ai programmi installati che un elemento proviene da sistemi remoti e che quindi può essere potenzialmente dannoso.

Come abbiamo visto nell’articolo dedicato al funzionamento della Visualizzazione protetta di Office, il flag MotW non è supportato da altri file system diversi da NTFS quindi non può essere utilizzato per “marcare” i file contenuti in un archivio ISO.

Chi prepara l’attacco informatico sfrutta il fatto che Windows permette di “montare” il contenuto di un file ISO con un semplice doppio clic: cliccando due volte su un elemento inserito nell’archivio, non si riceve alcun tipo di segnalazione di sicurezza.

StrelaStealer utilizza, all’interno del file ISO, un collegamento LNK e un HTML che adatta il codice eseguito al programma con cui viene aperto e visualizzato (ecco perché i ricercatori lo chiamato polyglot).

Utilizzando il ben noto meccanismo di attacco DLL hijacking viene disposto il caricamento un file msinfo32.exe fasullo che manda in esecuzione il codice malevolo vero e proprio.

Quest’ultimo si occupa di cercare e sottrarre i valori delle chiavi di Outlook IMAP User, IMAP Server e IMAP Password contenuti nel registro di sistema di Windows. Dal momento che le password di Outlook sono crittografate, il malware invoca la funzione CryptUnprotectData di Windows per riportarle in chiaro.

Contemporaneamente, va alla ricerca della cartella %appdata%\Thunderbird\Profiles estrapolando i file logins.json e key4.db.

Tutti i dati così rastrellati vengono quindi caricati su un server Command & Control remoto sotto il diretto controllo degli aggressori.

FONTE: ilsoftware.it

È stata scoperta una nuova botnet nota come Cloud9 che permette ad attaccanti di sfruttare estensioni malevoli di Chrome, per prendere il controllo del browser.

“Questa campagna conferma come la mancanza di cultura di sicurezza da parte degli utenti sia un fattore che sta portando a un cambiamento nella strategia di attacco da parte dei criminali”, commenta Paolo Passeri, Cyber Intelligence Principal di Netskope.

Ecco come proteggersi dal remote access trojan (RAT) per Chromium, dunque per Google Chrome e Microsoft Edge.

La nuova botnet Cloud9

La scoperta della botnet è importante perché Cloud9 permette ai cyber criminali di usare estensioni malevoli del browser Chrome.

Cloud9 è, infatti, un’estensione dannosa per browser dotata di backdoor per i browser basati su Chromium, in grado di svolgere un’ampia gamma di attività cyber crime.

Consente di rubare account online, registrare le sequenze di tasti, iniettare annunci pubblicitari e codice JS dannoso, e arruolare il browser della vittima negli attacchi DDoS.

La botnet Cloud9 per il browser, a tutti gli effetti, è un remote access trojan (RAT) per Chromium, inclusi Google Chrome e Microsoft Edge. Permette ai threat actor di eseguire comandi da remoto.

Le estensioni malevoli di Chrome non sono disponibili nel marketplace ufficiale di Chrome, ma circolano su canali alternativi come quelli che diffondono i falsi aggiornamenti di Adobe Flash Player.

“Questi ultimi”, continua Paolo Passeri, “stanno utilizzando in maniera crescente un modello che richieda una azione esplicita da parte della vittima (derivante da comportamenti imprudenti) come ad esempio l’installazione di una applicazione. Nel caso specifico i ricercatori hanno difatti constatato come il meccanismo più comune per la distribuzione della botnet Cloud9 consista nell’installazione di finti eseguibili relativi a programmi legittimi, e siti web malevoli mascherati da aggiornamenti per Adobe Flash Player, un plugin che appartiene al cimitero di Internet dal 2020 (con l’eccezione della Cina e pochi altri contesti specifici)”.

Come difendersi

Per proteggersi da questi vettori d’attacco, occorre effettuare il download delle estensioni solo dai marketplace ufficiali e soprattutto mantenere aggiornati i sistemi operativi e le applicazioni.

Infatti “è anche preoccupante constatare che alcune funzioni della botnet, come l’installazione di malware sull’endpoint compromesso, richiedano lo sfruttamento di vulnerabilità per cui una patch di sicurezza è disponibile da molti anni (sino al 2014 nel caso di CVE-2014-6332). Questo dimostra scarsa attenzione da parte degli utenti (o delle loro organizzazioni, e questo sarebbe ancora peggio), verso le più basilari norme di sicurezza”, conclude Paolo Passeri.

Bisogna evitare di cliccare su link spediti via social, WhatsApp o email. Inoltre, bisogna potenziare la consapevolezza dei rischi, per minimizzare i pericoli in cui gioca un ruolo cruciale il fattore umano. Dunque, è necessario aumentare l’awareness e rafforzare la formazione, evitando così di diventare vittime di questi attacchi.

In generale, è necessario adottare un’adeguata postura in tema di cyber security per mitigare l’esposizione a questa insidiosa tipologia di attacchi. Serve, in particolare, un approccio ibrido che combini efficaci soluzioni tecnologiche di difesa con la consapevolezza della minaccia da parte degli utenti e con l’applicazione di best practice, soprattutto quando serve installare estensioni nel proprio browser.

FONTE: cybersecurity360

Lunedì, in un comunicato apparso in un comunicato apparso sul dark web, la gang di hacker russi Lockbit 3.0 ha rivendicato un attacco informatico al colosso francese aerospaziale Thales.

I criminal hacker russi hanno assicurato che i dati rubati ultraconfidenziali, relativi a operazioni aziendali, documenti commerciali, fascicoli clienti e software, verranno pubblicati il 7 novembre alle 6.29.

La multinazionale ha subito informato di aver aperto un’indagine interna e ha informato l’agenzia nazionale di sicurezza informatica Anssi, ma finora non ha presentato una denuncia alla polizia in quanto non ha finora ricevuto nessuna forma di riscatto.

“Per quanto riguarda i clienti, potete rivolgervi alle organizzazioni competenti per prendere in considerazione l’avvio di un azione legale contro questa società che ha trascurato le regole di sicurezza”, hanno scritto i cyber criminali, suggerendo loro di prendere azioni legali contro l’azienda.

Non è la prima volta che Lockbit attacca Thales

Si tratta del secondo attacco nei confronti della Francia. Il primo era avvenuto lo scorso 3 gennaio e dopo due settimane era avvenuto la pubblicazione centinai di file contenti progetti aerospaziali.

Se l’attacco fosse confermato risulterebbe molto preoccupante per la sicurezza a causa dell’obiettivo: una della maggiori aziende strategiche europee. Thales, opera in Italia attraverso Thales Alenia Space (la più grande produttrice di satelliti in Europa) e Telespazio (società leader nel settore delle infrastrutture satellitari), entrambe frutto di una joint venture con Leonardo.

Il ransomware LockBit

LockBit è una cyber gang che restite da molto tempo nel mercato delle affiliazioni RaaS rinnovandosi costantemente. Ha iniziato le sue operazioni a settembre 2019 chiamandosi ABCD per poi cambiare il suo nome in Lockbit. Successivamente il marchio è stato rinominato in LockBit 2.0 apportando diverse novità e a giugno 2021, sono stati apportati dei cambiamenti introducendo la piattaforma Lockbit 3.0.

LockBit 3.0 introduce diverse novità, come una piattaforma di bug-hunting relativa alle infrastrutture utilizzate dalla gang, l’acquisto di criptovaluta, una nuova sezione per gli affiliati e ulteriori modi per monetizzare che possono essere sintetizzate in:

• Estensione del “countdown”: la vittima può pagare dei soldi per estendere il countdown per la pubblicazione dei dati;
• Distruzione di tutte le informazioni: la vittima può pagare per distruggere tutte le informazioni esfiltrate dalla sua organizzazione;
• Download dei dati in qualsiasi momento: la vittima può pagare per ottenere l’accesso al download esclusivo di tutti i dati esfiltrati dell’azienda.
• Ovviamente il costo per ogni tipologia di “servizio” è differente e si può pagare in Bitcoin o in Monero.

FONTE: cybersecitalia

Iricercatori di Kaspersky hanno rilevato una nuova campagna di cyber spionaggio Android, ribattezzata SandStrike. Nel mirino sono i Baháʼí, una minoranza religiosa di lingua persiana, ma le caratteristiche del malware fanno sì che il rischio sia elevato per tutti gli utenti del sistema operativo mobile e ci insegnano che non dobbiamo mai abbassare la guardia perché le cyber minacce sono sempre più subdole e sofisticate.

I cyber criminali, infatti, distribuiscono un’app VPN che contiene uno spyware molto sofisticato.

“Ci troviamo dinanzi ad una nuova campagna di spionaggio”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “operata presumibilmente da un attore nation-state nei confronti di una minoranza etnica o di un particolare gruppo di individui di interesse specifico per un governo”. Ecco come è stata preparata questa trappola particolarmente efficace.

SandStrike: sui social la campagna di spionaggio Android

Per indurre le vittime a scaricare lo spyware (SandStrike), gli attaccanti hanno realizzato account Facebook e Instagram con oltre mille follower. Hanno creato sui social media contenuti grafici a sfondo religioso, per convincere le vittime a cliccare su un link a un canale Telegram, messo a punto dagli attaccanti.

I cyber criminali distribuiscono una finta app VPN: un’applicazione all’apparenza innocua che consente l’accesso a siti proibiti in alcune regioni, per esempio per motivazioni religiose.

“Negli scorsi anni abbiamo osservato numerose campagne con caratteristiche simili”, ricorda Paganini, “si pensi egli attacchi perpetrati contro esponenti della popolazione Uiguri dalla Cina”.

Inoltre, i criminal hacker hanno creato anche una propria infrastruttura VPN per far funzionare l’app. Tuttavia, il client VPN contiene uno spyware che vanta funzionalità per raccogliere e rubare dati sensibili. Attraverso l’app fake, gli attaccanti si impossessano anche dei registri delle chiamate e degli elenchi dei contatti, oltre a tracciare ogni altra attività svolta dagli utenti colpiti.

“Il livello di sofisticazione del malware usato nella campagna in oggetto non deve sorprenderci”, conclude Pagani, “e dimostra l’interesse degli attaccanti nel raccogliere informazioni sui target. In passato attori che operavano per conto di governi hanno utilizzato persino custom malware e zero-day exploit per colpire queste categorie di target che purtroppo sono indifesi contro offensive così sofisticate”.

Come proteggersi

Per difendersi da questi vettori d’attacco, è necessario scaricare le app solo dai marketplace ufficiali.

Inoltre, occorre non cliccare mai su link inviati via social, WhatsApp o e-mail. In generale, bisogna rafforzare la consapevolezza, per minimizzare i rischi legati al fattore umano. Lavorando sull’awareness e sulla formazione, è possibile evitare di cadere in queste efficaci trappole.

Conviene usare una soluzione di Endpoint Detection and Response (EDR) di livello aziendale per rilevare le minacce grazie all’opzione automatica di raggruppamento degli avvisi in incidenti, oltre ad analizzare e rispondere a questi eventi nel modo più efficiente.

Oltre a proteggere efficacemente gli endpoint, bisogna applicare una soluzione di sicurezza di fascia Enterprise, per rilevare tempestivamente le minacce avanzate a livello di rete.

“Oggi è facile distribuire malware attraverso i social network e rimanere inosservati per diversi mesi o anche di più. Per questo è importante essere sempre prudenti, assicurarsi di essere informati sulle minacce e di avere gli strumenti giusti per proteggersi da quelle esistenti ed emergenti”, ha dichiarato Victor Chebyshev, Lead Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

FONTE: cybersecurity360