Check Point ha segnalato un malware che si spaccia per tool di Google Translate o per il download di MP3 ma che in realtà sfrutta le macchine bersaglio per il mining di criptovalute.

Sviluppato da un operatore noto come Nitrokod, questo malware ha una particolarità: installa i componenti malevoli dopo circa un mese, al fine di aggirare i sistemi di sicurezza installati sui computer infettati. Gli utenti vengono tratti in inganno dal fatto che i tool proposti da Nitrokod sono classificati molto in alto sulle ricerche Google, di conseguenza, vengono scaricati abbastanza di frequente dagli ignari utenti in cerca di specifiche utility.

L’applet di Google Translate, poi, è presente anche su Softpedia, di conseguenza è stata scaricata oltre 100 mila volte. Tutti i tool distribuiti da Nitrokod arrivano all’interno di un archivio RAR protetto da password, contenente un file eseguibile denominato in modo da sembrare effettivamente una utility legittima, sempre per eludere il rilevamento. Poi, il software attiva un dropper proveniente da un altro RAR crittografato, recuperato tramite Wget cinque giorni dopo l’infezione.

Tramite comandi di PowerShell, il software ripulisce i registri di sistema e, 15 giorni dopo, recupera un altro file RAR criptato. In seguito, verifica la presenza di antivirus e aggiunge regole firewall e regole di esclusione da Windows Defender.

Al termine delle fasi preparatorie, il software di Nitrokod recupera un malware di mining noto come XMRig che analizza il sistema e invia un report a un server C2 per ricevere ulteriori istruzioni su come e quando attivarsi, quante risorse utilizzare e quali programmi cercare e terminare.

I rischi sono diversi, non solo un maggiore consumo di risorse hardware, con possibili problemi di surriscaldamento e cali di prestazioni, ma anche la possibilità che il software malevolo recuperi altri payload ben più dannosi.

Come sempre, è opportuno controllare sempre le fonti da cui scaricare i tool ed evitare quelli che promettono funzioni aggiuntive non previste dagli sviluppatori, preferendo i software condivisi ufficialmente, come l’app desktop di Google Translate e non applet di terzi, soprattutto se non si riescono a verificare fonti e attendibilità.

FONTE: tomshardware

Un recente bollettino di allerta diffuso dal commissariato di polizia postale online allerta su un fenomeno tutt’oggi in circolazione che mescola tecniche di phishing alle truffe di ingegneria sociale, per produrre frodi economiche ai danni degli utenti che, ignari di tutto, stanno mettendo in vendita il proprio veicolo.

“Prova ad inserire il numero di telaio su questo sito”, la truffa della falsa visura automobilistica

Da una ricerca tra le recensioni sul Web, sembra che la truffa vada avanti dall’inizio dell’estate e grazie alle numerose segnalazioni, la polizia postale ha emesso un comunicato il 19 agosto scorso. Si tratta di gruppi organizzati di utenti malintenzionati che scandagliano i maggiori siti Web di inserzioni e annunci online, come per esempio Subito.it e Autoscout. Monitorano qui la pubblicazione di annunci di vendita di automobili. Quindi contattano gli inserzionisti fingendosi realmente interessati all’acquisto, ma preoccupati per eventuali irregolarità pendenti sul veicolo oggetto della vendita. A questo punto cercano di indirizzare e convincere il venditore ad acquistare, al costo di 20.00 euro, una visura automobilistica, da farsi su un sito del quale segnala direttamente il link.

Il sito Web in questione è di fatto controllato direttamente dagli attaccanti, quindi può definirsi un sito di phishing, utilizzato come esca e tramite il quale portare avanti un pagamento (appunto di 20,00 euro) il quale non porterà all’erogazione di alcun servizio, ma indirizzerà i soldi direttamente all’organizzazione criminale. Esfiltrando inoltre i dati forniti per portare a compimento l’acquisto, tra cui quelli personali e della carta di credito.

Visuraveicolo.com, appvisura.com e vinspy.net sono siti Web fraudolenti

Tra le segnalazioni degli utenti abbiamo trovato alcuni indirizzi di dominio, utilizzati dall’organizzazione criminale per finalizzare la propria frode, nei quali vengono ospitati i siti Web di phishing. Tutti identici e dalla grafica univoca, di modo da diventare quasi il punto di riferimento nel campo visure online, tra i venditori occasionali di autoveicoli.

La grafica è sempre la stessa e, nonostante il gruppo sia variegato e popolato da molti attaccanti, come suggeriscono i numerosi numeri di telefono mittente evidenziati dagli utenti, i link che vengono offerti sono sempre tutti simili e la maggior parte sembra ruotino attorno a questi tre nominativi.

I domini sono tutti registrati all’estero tramite il servizio offerto dal provider Namecheap, con hosting per il sito di phishing, dislocato negli Stati Uniti o in Olanda. Il più anziano sembra essere “visuraveicolo.com” che risulta registrato a maggio 2022. Inutile dirlo ma tutti riportano certificati HTTPS validi e perfettamente registrati.

Il messaggio fraudolento

L’utente che pubblica l’annuncio di vendita viene contattato, quasi sempre tramite Whatsapp, al numero indicato, da un certo Stefano d’Onofrio, Fabio Lacroce o Danilo, accompagnato da un fantomatico meccanico di nome Vincenzo e riporta un testo simile a questo:

“Vorrei che tu capissi che devi fare questo rapporto per convincerci entrambi che tutto è in regola con l’autoveicolo perchè non ci conosciamo e io per essere sicuro ,prima che parto per poterla acquistare, è l’unica cosa che può darmi una sicurezza. Prova a inserire il numero di telaio su questo sito…Se tutto è in ordine con il rapporto fatto da te, non starò molto a trattare il prezzo e in massimo 2, 3 giorni arriverò al 100% e comprerò la macchina”.

Diffidiamo dai messaggi e prendiamo un appuntamento

Per evitare questo genere di frodi, non diamo seguito a comunicazioni così particolari in risposta ad un annuncio di vendita. Facciamo inoltre suonare un campanello d’allarme tutte le volte che dobbiamo acquistare qualcosa mentre ne stiamo vendendo un’altra. In questa trattativa la vittima è un venditore, che vuole appunto vendere la propria auto. Si presuppone quindi che un venditore debba unicamente incassare dei soldi e non spenderne altri per completare l’affare. Qualsiasi altro scrupolo, come quello oggetto della truffa, non può essere un onere del venditore, ma alla peggio, direttamente dell’acquirente.

Per evitare grandi delusioni, prendiamo un appuntamento, che sarà utile all’acquirente a visionare il veicolo, prima della vendita. Non diamo seguito a semplici promesse che rimarranno quasi sempre aleatorie.

FONTE: cybersecurity360

La famigerata banda ransomware Lockbit, colpisce un’altra organizzazione italiana. Oggi è il turno dello Studio Barba che si trova a combattere con il ransomware.

LockBit 3.0 pubblica dei samples che attestano che la gang si è infiltrata all’interno delle infrastrutture IT dell’azienda e avvia il consueto “countdown” fissato a 7gg, data della pubblicazione dei dati esfiltrati nelle underground, ovvero il 1 Settembre alle 14:51 orario UTC.

Intanto fornisce le seguenti modalità di pagamento:

• 100.000 dollari per la cancellazione dei dati
• 2000 dollari per estendere di un giorno il countdown

 

Ricordiamo sempre che le richieste di riscatto sono sempre commisurate alle revenue delle aziende e alla quantità/tipologia dei dati acquisiti dalla cyber gang.

Lockbit pubblica anche alcuni samples di dati esfiltrati dalle infrastrutture IT dell’azienda, come prova che le infrastrutture IT dell’azienda sono state violate, per aumentare la pressione verso l’organizzazione e quindi indurla a pagare il riscatto.

Riporta anche un samples con la quantità dei dati che risultano essere pari a 3,56GB.

LockBit, riporta quanto segue all’interno del post sul loro data leak site (DLS):

Il sito STUDIO BARBA rappresenta uno strumento per fornire informazioni sull'attività professionale esercitata, secondo professionalità, correttezza e verità, nel rispetto della dignità e del decoro della professione e degli obblighi di segretezza e di riservatezza ed è, quindi, conforme al dettato del nuovo art.13 del Codice Deontologico dei Consulenti del Lavoro come approvato dal Consiglio Nazionale Consulenti del Lavoro in data 30/31 marzo 2000. 

Sul suo sito di Studio Barba (in Http), nella sezione “chi siamo” viene riportato quanto segue:

Lo Studio Barba, è operante nel settore dal 1969, è uno Studio di consulenza del lavoro specializzato in materie di amministrazione del personale, giuslavoratoristiche e stragiudiziarie. I suoi uffici si trovano nella provincia di Genova in via Caffaro 25/2, tra le due gallerie di Portello. Serietà, competenza, professionalità e velocità nello svolgere le pratiche lavorative lo rende unico e affidabile nel settore. I nostri innumerevoli Servizi studiati appositamente per una Clientela esigente e importante, fanno dello Studio Barba un saldo punto di riferimento per le Imprese Genovesi. La presenza sul WEB, rende ancor più competitivo il nostro studio.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:

• Formare il personale attraverso corsi di Awareness;
• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail;
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
• Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.

Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

FONTE: redhotcyber.com

Meta aveva già avvisato in passato della possibilità di interrompere alcune delle proprie attività nell’Unione Europea, a causa delle controversie sulla data protection tra USA-UE. Ora lo ribadisce, in un documento ufficiale alle autorità USA (c.d. regulatory filing, dovuto per legge), come a voler “spingere” i politici statunitensi a un pronto intervento, richiesto da una delle società tecnologiche più potenti del mondo.

Davvero Meta sta ora “minacciando” di far sparire i propri social per gli utenti europei? Capire che cosa c’è esattamente in ballo in questa vicenda non è banale, vediamo di farlo seguendo i vari passaggi e vicende che ci hanno portato fin qui.

Da Schrems II alla ricerca di un Privacy Shield II

Non possiamo ripercorrere qui tutta la vicenda, oramai notissima, della sentenza della Corte di Giustizia (c.d. “Schrems II”) del luglio 2020 e che ha portato ad invalidare lo strumento per eccellenza nei trasferimenti di dati personali tra UE e USA: ai sensi del GDPR devono essere di un certo livello quanto al rispetto dei diritti degli interessati nei Paesi di esportazione dei dati.

Difatti vigeva il c.d. Privacy Shield, un accordo internazionale che permetteva, entro certi limiti e procedure, di considerare adeguati – e dunque leciti e dunque praticabili – i trasferimenti o gli accessi ai dati personali europei da parte di entità giuridiche di diritto statunitense.

Ritenuto dalla Corte di Giustizia insufficiente per il suo scopo e dichiarato invalido, si è aperta una voragine, meglio ancora un “vortice” potremmo dire e che sta “risucchiando” man mano nel suo centro tutte le attività svolte con provider (soprattutto) statunitensi.

Voragine dovuta all’assenza di un’alternativa adeguata a sostituire quello strumento di trasferimento, come più volte asseverato dalle autorità europee in varie pronunce e anche in sede congiunta tramite l’EDPB con le proprie Raccomandazioni 1/2020 circa i trasferimenti extra-UE. Raccomandazioni da cui è emerso che il meccanismo alternativo più usato (le c.d. clausole standard) è insufficiente ed eventuali misure supplementari che compensino le mancanze sono necessarie. Alla data odierna, nessuno pare ancora averne trovate di adeguate, soprattutto tecniche.

Anzi, non passa giorno senza una notizia dell’ennesima violazione perfezionata dai maggiori fornitori americani e riconosciuta dalle autorità anche a causa del dilemma trasferimenti: da Microsoft a Google è solo questione di tempo, considerato che i loro servizi si nutrono immancabilmente di dati personali e che per gli operatori dell’Unione si è creata una situazione di mercato (forse dovuta anche all’insufficiente operato delle autorità Antitrust europee) ove è arduo trovare soluzioni alternative comparabili e di diversa giurisdizione.

Meta Platforms Inc., la società con sede a Menlo Park, tramite i propri social media Facebook e Instagram raccoglie, genera e utilizzare i dati personali in maniera talmente massiva da essere finita più volte sotto la lente dei controllori.

Non può esimersi, visto che nonostante le proprie diverse società con sedi europee, in ogni caso resta la società californiana capogruppo e controllare a decidere sui servizi più importanti, ben potendo avere accesso ai dati gestiti in Europa e spesso trasferiti negli Stati Uniti.

Al momento non si hanno novità per un sostituto “politico” del Privacy Shield: in marzo i rappresentanti di UE e USA hanno annunciato negoziazioni di un trovato accordo, diciamo per ora a livello di mere intenzioni di massima, quale successore del Privacy Shield.

L’accordo andrebbe così a ricostruire il ponte di circolazione dei dati tra le due sponde dell’Atlantico. Pare si tratterà di un approccio impostato sulla gradualità e sulla valutazione ad hoc dei trasferimenti, dato atto che né gli USA né l’Unione hanno intenzione di cambiare le proprie contrastanti normative.

Detto questo, a oggi non si hanno avuti altri aggiornamenti di rilievo, né tantomeno è circolato un testo di bozza o qualcosa di più concreto rispetto alle dichiarazioni di marzo. Insomma, potrebbero passare ancora diversi mesi solo per avere il testo in bozza, senza parlare dell’arrivare alla sua versione definitiva, condivisa e vigente.

Meta e le forche caudine del GDPR: l’indagine del Garante irlandese

La pressione per Meta sta aumentando soprattutto per un altro motivo, non menzionato direttamente ma facilmente collegabile: l’autorità di controllo privacy irlandese Data Protection Commission – ove la società europea di Meta ha sede e ne rappresenta lo stabilimento principale in area SEE – da mesi sta lavorando a una decisione che potrebbe avere effetti dirompenti per l’attività svolta tramite Facebook e Instagram.

Fra pochi mesi la decisione – che già circola riservatamente in versione bozza tra le autorità – potrebbe essere pubblicata e sancire lo stop a determinati utilizzi dei dati personali europei da parte di Meta.

Il caso è stato generato proprio da Max Schrems che ha presentato nel 2018 il reclamo di partenza del procedimento e che sta monitorando attentamente, tramite la sua NOYB, quel che accade, dando pubblici aggiornamenti sui vari step della decisione.

La bozza è circolata a inizio luglio tra le autorità di controllo – visto che si tratta di una decisione che coinvolge ben 26 Paesi dell’UE con l’Irlanda a fare da capofila, una procedura che si può rinvenire all’art. 60 GDPR – che dovranno valutarla ed eventualmente obiettarvi, con possibile ricorso all’EDPB come arbitro finale (ex art. 62 GDPR). In ogni caso, alla fine potrebbe portare a un blocco dei trasferimenti dei dati tra UE e USA, come praticato da Meta.

Citiamo da ultimo che Meta era già stata colpita nel 2021 da un altro provvedimento emanato dall’autorità irlandese ove si è analizzata e censurata la trasparenza e l’informazione dei servizi di Whatsapp (di proprietà di Meta), con una sanzione di ben 225 milioni di euro.

L’aspetto dei trasferimenti era stato in tale frangente solo menzionato, quanto alla trasparenza, non era stato affrontato circa la base di trasferimento dei dati.

Le affermazioni di Meta nel regulatory filing USA

Arriviamo così a comprendere meglio quanto riportato in luglio nel recente regulatory filing da parte di Meta. Anzitutto non si tratta di un fulmine e ciel sereno. E non si tratta di dichiarazioni da ufficio stampa, bensì di articolate argomentazioni contenute in documenti di analisi generale destinati alle autorità americane in forza delle normative USA.

Già in febbraio Meta aveva fatto presente le stesse valutazioni in documenti resi noti in un SEC filing, dovuto alla Securities and Exchange Commission, l’ente federale statunitense preposto alla vigilanza della borsa valori. Come afferma Meta stessa, “come tutte le società quotate, siamo legalmente obbligati a rivelare i rischi materiali ai nostri investitori e abbiamo esposto gli ultimi sviluppi sui trasferimenti di dati in tutte le nostre più recenti dichiarazioni sui nostri utili”.

Ma non solo: Meta (ex-Facebook) ripete simili allarmi da anni nei vari regulatory filing dovuti alle autorità di controllo e non è la sola società USA a farlo. D’altronde è inevitabile: lo scenario vale per tutti i provider statunitensi. Così come per tutti tali provider è troppo importante il mercato dell’Unione per poter considerare seriamente, davvero, di abbandonarlo. Tantomeno per “ritorsione” rispetto a quanto sta accadendo, precisando che Meta mai ha dichiarato qualcosa che facesse pensare a un atteggiamento “minaccioso” di questo tipo.

Al più si potrebbe parlare di calcolo economico: se Meta si trovasse colpita da sanzioni importanti, quanto a fatturato globale (ricordiamo che in forza del GDPR si possono toccare punte fino al 4%), potrebbe considerare anti-economico procedere – almeno fino all’arrivo dell’agognatissimo Privacy Shield II – con alcuni dei propri servizi (viene da pensare soprattutto a quelli per gli inserzionisti, più che per gli utenti che comunque ne sono il cuore).

Il maggior timore deriverebbe da un probabile provvedimento di sospensione nel trattamento dei dati europei, amputando di fonti fondamentali i servizi di Meta.

Non solo, la decisione irlandese potrebbe rivolgersi anche ai trattamenti pregressi, a far data almeno dalla citata sentenza Schrems II, di fatto paralizzando l’attività europea di Meta.

Si tratta di scenari pericolosi per Meta, vedendosi costretta – in ultima analisi – a rivedere pesantemente le proprie attività per renderle compliant e poter continuare in Europa, ammesso che ciò sia compatibile e realizzabile con il business model della società.

In definitiva, l’incertezza politica pare la maggiore ansia di Meta – quando arriverà l’accordo con l’UE? –, stretta nella mora di una imminente scure sanzionatoria e inibitoria dell’autorità irlandese, con annesse gravi perdite economiche.

E le conseguenze sarebbero estese: non parliamo solamente dei finanziatori o lavoratori di Meta, pensiamo ai tanti inserzionisti, imprese e operatori dell’UE che basano molto o tutto il proprio business sull’attività di Meta. Basti pensare ai servizi di digital marketing.

Conclusioni

Ergo: nulla di nuovo sotto il sole, nel contesto sopra delineato si può però leggere il recente filing come un ulteriore, ennesimo grido di “aiuto” che Meta sta rivolgendo alla politica statunitense affinché getti rapidamente un salvagente alle imprese americane. Soprattutto a Meta che a breve – comunque prima dell’accordo sui trasferimenti – potrebbe subire gravi conseguenze per il temuto provvedimento irlandese.

E stante peraltro una situazione complessiva e di borsa non certo florida per Meta (ad es. in febbraio aveva perso, per la prima volta nella sua storia, più di un quarto del suo valore, e in un giorno), l’impressione è che la società non abbia nessuna intenzione di lasciare i nostri mercati (e dati!), bensì al più di voler richiamare lobbysticamente l’attenzione del governo USA, di Biden – certamente occupato in questioni geopolitiche tra le più allarmanti – su questo scenario.

Non solo Meta aspetta il Privacy Shield II ma ne è certamente una delle più accese sostenitrici.

FONTE: ilsole24ore.com

Le truffe via mail o SMS sono sempre più frequenti: dalle carte di credito ai conti correnti, dalle utenze domestiche all’ultima new entry – gettonatissima nella nuova era dello shopping online – dei pacchi non ritirati dal corriere, sono molti gli italiani che cadono nelle trappole cliccando su link malevoli o scaricando virus indesiderati. Oramai abbiamo l’occhio allenato e riusciamo a schivare i messaggi scritti male (come la cara vecchia truffa del principe nigeriano ritrovatosi improvvisamente senza contanti e che prometteva di elargire ricchi premi in cambio di un prestito), ma siamo davvero sicuri di riuscire ad individuarli tutti? Per questo motivo abbiamo deciso di realizzare una mini-guida con 7 consigli per evitare problemi di sicurezza e riconoscere un messaggio o una mail truffa.   

Occhio agli errori 

Il primo segnale d’allarme, quello più immediato, è la presenza di errori grammaticali o ortografici nel testo. L’intelligenza artificiale sta aiutando anche gli hacker a tradurre più velocemente i messaggi in tutte le lingue ma, per ora, la stragrande maggioranza delle truffe è piena zeppa di errori macroscopici, rendendoci più semplice l’identificazione.  

Diffida dai messaggi che non sono diretti a te 

Uno scambio di mail o di SMS da parte di una persona che non ti conosce non può essere troppo generico per non rischiare di essere troppo scostante e temere di non essere letto. Per questo motivo, se ricevi testi anonimi che ti chiedono di cliccare su link o di condividere informazioni senza nominarti, è bene tenersi alla larga. Perfino nel caso di messaggi automatici le aziende inseriscono un meccanismo di tutela dell’utente che include il tuo nome e cognome all’interno del testo in modo tale da renderlo meno generico.  

Non cliccare sui link 

Non toccare mai un link che non proviene da qualcuno che conosci: il link potrebbe portare a un sito di phishing o contenere malware. E anche se arrivasse da amici o parenti è meglio essere prevenuti e chiedere specificamente se sono stati loro a inviare il collegamento per assicurarsi che il loro account non possa essere stato compromesso.  

Non credere ai regali 

Lotterie, omaggi e premi sono il pane quotidiano del marketing moderno, quindi questo genere di messaggi non sono automaticamente truffe. Ma c’è una buona probabilità che sia spam: è necessario cercare gli indizi nel testo. Se hai già vinto senza nemmeno partecipare, è sicuramente uno specchietto per le allodole, mentre se ti vengono richieste informazioni personali o soldi, la truffa è dietro l’angolo.  

Cerca l’azione immediata da compiere 

L’urgenza è un trucco comune delle truffe per convincerti che il messaggio sia veritiero e da prendere al volo. Un amico senza soldi negli Stati Uniti, il corriere che vuole la conferma del tuo indirizzo o l’Agenzia delle Entrate che vuole riscuotere l’ultima cartella: se ricevi un testo che ti chiede di agire in fretta e furia fai le tue verifiche per telefono in modo tale da assicurarti di essere a posto e poi cestina il messaggio.  

Non credere agli SMS della banca 

Al netto delle notifiche di accesso o di pagamento, gli istituti bancari non chiedono informazioni personali o pagamenti da fare via SMS. Molto spesso chi ti manda lo spam non sa quale sia la tua banca per cui ricevi mail da mille istituti diversi, ma quando ci azzeccano la voglia di cliccare o di scaricare il documento è forte. Meglio fermarsi, chiamare il servizio clienti e sentire se il messaggio è vero oppure no prima di fare qualsiasi cosa.  

Non credere ai numeri sconosciuti 

Infine, fai attenzione agli SMS degli sconosciuti: numeri di telefono che non riconosci o, peggio, numeri lunghi che non sono conformi alla solita convenzione standard sui numeri di telefono nazionali a 10 cifre. I sistemi automatizzati possono generare questi numeri imbarazzanti e sono segni rivelatori che stai ricevendo qualcosa da uno spammer e puoi tranquillamente ignorarlo. 

FONTE: gqitalia.it

Cisco ha confermato oggi che il gruppo ransomware Yanluowang ha violato la sua rete aziendale a fine maggio e che l’autore ha chiesto un riscatto minacciando di divulgare i dati rubati online.

La società ha rivelato che gli aggressori potevano raccogliere e rubare dati non sensibili solo da una cartella collegata all’account di un dipendente compromesso.

“Cisco ha subito un incidente di sicurezza sulla nostra rete aziendale alla fine di maggio 2022 e abbiamo immediatamente agito per contenere e sradicare i malintenzionati”

ha detto un portavoce di Cisco a BleepingComputer.

“Cisco non ha identificato alcun impatto sulle attività a seguito di questo incidente, inclusi prodotti o servizi Cisco, dati sensibili dei clienti o informazioni sensibili dei sui dipendenti, proprietà intellettuale o operazioni della catena di approvvigionamento. Il 10 agosto i malintenzionati hanno pubblicato un elenco di file nel dark web. Abbiamo anche implementato misure aggiuntive per salvaguardare i nostri sistemi e stiamo condividendo dettagli tecnici per aiutare a proteggere la più ampia comunità di sicurezza”.

Dalla treview acquisita da RHC e presente sul sito di Yanluowang, sono presenti molti documento con il suffisso NDA, come si può visualizzare dalla print screen in calce.

Gli attori della minaccia di Yanluowang hanno ottenuto l’accesso alla rete di Cisco utilizzando le credenziali rubate di un dipendente dopo aver dirottato l’account personale di Google di un dipendente contenente le credenziali sincronizzate dal browser.

L’aggressore ha convinto il dipendente Cisco ad accettare le notifiche push di autenticazione a più fattori (MFA) a causa dell’autenticazione MFA e di una serie di sofisticati attacchi di phishing vocale avviati dalla banda di Yanluowang che si spacciavano per organizzazioni di supporto fidate.

Gli attori delle minacce hanno infine indotto la vittima ad accettare una delle notifiche MFA e hanno ottenuto l’accesso alla VPN nel contesto dell’utente preso di mira.

Dopo aver preso piede nella rete aziendale dell’azienda, gli operatori Yanluowang si sono diffusi lateralmente ai server e ai controller di dominio Citrix.

“Si sono trasferiti nell’ambiente Citrix, compromettendo una serie di server Citrix e alla fine hanno ottenuto l’accesso privilegiato ai controller di dominio”

ha affermato Cisco Talos.

Dopo aver ottenuto l’amministratore di dominio, hanno utilizzato strumenti di enumerazione come ntdsutil, adfind e secretsdump per raccogliere più informazioni e hanno installato una serie di payload su sistemi compromessi, inclusa una backdoor. 

Alla fine, Cisco li ha rilevati ed eliminati dal suo ambiente, ma hanno continuato a tentare di riottenere l’accesso nelle settimane successive.

FONTE: redhotcyber.com

Nella notte l’ecosistema Solana è stato attaccato dagli hacker. Secondo le prime indiscrezioni circa 8.000 wallet sarebbero stati svuotati per un danno che potrebbe aggirarsi tra i 4,5 e gli 8 milioni di dollari. Il furto riguarda i token Sol e Spl20. Sembrerebbe che gli utenti colpiti non spostassero fondi da almeno sei mesi. Non si conosce ancora la causa all’origine dell’attacco. Tra le ipotesi ci sarebbe quella di un’estensione legata a uno smart contract malevolo, ingenuamente approvata dagli utenti colpiti. Alcuni ipotizzano che il “baco” possa essere collegato a Magic Eden, il più grande mercato di Nft (non fungible token) che gira sulla blockchain di Solana.

I portafogli più colpiti sono Phantom e Slope, utilizzati anche da molti cripto-investitori italiani. Si tratta di “hot wallet” connessi alla blockchain Solana. Gli hot wallet (portafogli di crypto sempre connessi alla rete blockchain per cui sono stati creati) sono certamente più vulnerabili degli hard wallet (dispositivi non connessi alla rete e progettati appositamente per conservare chiavi private in sicurezza). Per questo motivo gli esperti del settore consigliano di spostare i propri “Sol” verso un hard wallet o, per chi non ne possiede uno, trasferire i fondi su piattaforme cefi (exchange) considerate sicure e affidabili (come Binance o Ftx, fino a prova contraria).

«La cosa più brutta di questo attacco, dalle dimensioni relativamente contenute, è che Solana non ne ha dato subito notizia sul suo profilo Twitter ufficiale con quasi due milioni di follower, ma solo sul profilo tecnico dello Status che ne ha meno di 90mila – spiega Marco Cavicchioli, divulgatore crypto -. Trattandosi del furto delle chiavi private sarebbe invece stato opportuno avvisare tutti di spostare i fondi su hard wallet, per sicurezza, ma hanno preferito non dargli troppa visibilità. Dato che già in passato Solana ha avuto problemi tecnici, questo comportamento non getta certo una buona luce sul loro operato».

 

La blockchain Solana – che negli ultimi mesi ha raccolto milioni di dollari di investimenti da parte di fondi e venture capital tra cui Alameda Research, Blockchange Ventures, Cms Holdings, Coinfund, CoinShares, Collab Currency, Memetic Capital – è considerata tra le più promettenti in futuro ma sull’affidabilità al momento non ha offerto garanzie. Il primo maggio la rete si è nuovamente fermata (shut down). Si tratta del settimo “arresto” della rete nel solo 2022. Per questo motivo per gli addetti ai lavori non può essere considerata una “Ethereum killer”, ovvero una reale competitor di Ethereum, la blockchain leader nel settore degli smart-contract.

FONTE: ilsole24ore.com

ricercatori di CloudSEK lanciano un allarme su oltre 3.200 app iOS e Android che il cyber crimine potrebbe sfruttare per accedere agli account di Twitter degli sviluppatori e formare un’armata di bot.

“Anche se non sussistono prove nel caso specifico”, commenta Fabrizio Croce, VP Sales South Europe, WatchGuard Technologies, “il problema talvolta sta nella programmazione affrettata o a basso costo, nell’utilizzo di chiavi API direttamente scritte nel codice”.

Account Twitter a rischio: i dettagli

Gli app developer sfruttano le API di Twitter per accedere a funzionalità del social network attraverso quattro differenti metodi di autenticazione, usati singolarmente o insieme.

Durante le fasi di testing delle app, le chiavi di autenticazione o token vengono archiviate nel codice così da velocizzare il lavoro degli sviluppatori. CloudSEK ha però scoperto che in 3.207 app Android le credenziali di accesso non sono state rimosse prima di essere pubblicate negli store ufficiali di Apple e Google.

In questo modo, le app rendono visibili al pubblico le chiavi di autenticazione con cui malintenzionati o cyber criminali potrebbero ottenere il controllo degli account Twitter. Alcune di queste app superano i 5 milioni di download.

Scaricare le app e recuperare le chiavi è infatti un gioco da ragazzi. Il cyber crime potrebbe quindi accedere agli account Twitter degli utenti che hanno effettuato il download di app sul dispositivo ed  eseguire attività malevoli per conto di ignari utenti. Per esempio, potrebbero leggere messaggi diretti, rimuovere follower, aggiungere like, cancellare tweet o fare retweet, seguire altri account e cambiare le configurazioni.

Sarebbe perfino ipotizzabile formare un esercito di bot per diffondere disinformazione e malware, compiere cyber truffe, inviare email o SMS di phishing per trafugare informazioni personali.

Come proteggersi

In questo caso le soluzioni di sicurezza hanno purtroppo scarsa utilità, anche se occorre sempre utilizzarle per tutelare i dati personali e le credenziali di login in tutti gli altri casi.

Il consiglio, sempre valido, è di evitare di scaricare app inutili perché estendiamo il perimetro di attacco,

“I ricercatori”, sottolinea inoltre Fabrizio Croce, “affermano che per mitigare tali attacchi è consigliabile rivedere continuamente l’utilizzo di chiavi API direttamente scritte nel codice, sostituendo periodicamente le chiavi per ridurre i probabili rischi derivanti da un furto delle stesse”

“In alternativa”, conclude l’analista, “l’utilizzo di variabili inserite in un file esterno al codice consente di risparmiare tempo e aumentare la sicurezza. Occorre, però, prestare la dovuta attenzione per garantire che il file contenente variabili di ambiente non sia incluso nel codice sorgente”.

FONTE: cybersecurity360