martedì 31 maggio 2011

Falsi allarme di sicurezza su Firefox portano scareware nel computer


I fornitori di software di sicurezza fasulli non lasciano crescere molto l'erba sotto i loro piedi e migliorano continuamente la loro ingegneria sociale per attirare le loro esche. Mentre all'inizio del mese abbiamo visto diverse finestre pop-up che appaiono come false scansioni di computer Mac infettati da Malware, è adesso Microsoft ad essere preso di mira ed in particolare gli utilizzatori di Firefox. Una nuova truffa ha infatti come oggetto gli utenti del noto browser appena aggiornato di casa Mozilla. Lo scam consiste nel rilevamento da parte dei cybercriminali della stringa user-agent dal vostro browser web e nella visualizzazione di un falso allarme di sicurezza di Firefox, se si utilizza tale browser di navigazione. L'User Agent altro non è che una sequenza di caratteri (stringa) che rappresenta e identifica una richiesta al web server.


Al momento dell'invio di una richiesta http da un browser (ma anche altro software di Rete) fra le varie informazioni inviate è presente anche una stringa, chiamata userAgent String, il cui prefisso è User Agent, che comprende informazioni relative al browser utilizzato, ma che può contenere anche altri dettagli come il tipo di sistema operativo utilizzato e la versione. "Approfittando di informazioni dettagliate sul computer dell'utente e del software, i cybercriminali hanno la possibilità di inviare attacchi molto più specifici, attraverso tecniche credibili di ingegneria sociale", ha detto Chester Wisniewski, senior security advisor di Sophos. Se si clicca sul pulsnate "Avvia protezione" scaricherete lo scareware più recente, falsi programmi anti-virus che si esibiranno esattamente nel modo che ci si aspetta da un falso programma anti-virus.


Saranno rilevati fedelmente dei virus inesistenti sul vostro computer fino a quando ne saranno registrati 80 o più. Se siete un utente di Firefox e vedete un avviso di virus sul computer, sappiate che è falso. Firefox non include uno scanner di virus all'interno di esso e sarà solo un avviso per visitare le pagine dannose. Al di là della finestra di dialogo, si presenterà una pagina per qualcosa che si chiama Personal Antivirus o altro nome, che è un prodotto di sicurezza canaglia. Diversamente dalla maggior parte dei volte, però, non si è data la possibilità di scaricare una versione demo, scansione gratuita, o qualche altro esempio di software. Si presenta semplicemente una pagina che offre il software per l'acquisto al basso prezzo di 59,95 $ (un risparmio di 33,30 dollari rispetto ai già prezzi esorbitanti di software assolutamente inutili).


In realtà Firefox, nel caso di tentativo di accesso ad un sito web di malware o phishing, presenta una finestra rossa di dialogo di allerta per informare l'utente che sta per accedere ad un sito dannoso. I criminali cercano di trarre in inganno gli utenti meno esperti utilizzando questo stratagemma e creando pagine di avvisi con strutture simili a quelle autentiche. Se si riceve un avviso su un sito web pericoloso da parte Firefox si può sempre andare sul sicuro chiudendo immediatamente il browser. Abbiamo già visto truffe simili e probabilmente ne continueremo a vedere, adesso che i cybercriminali hanno preso di mira i browser di ogni sistema operativo in maniera da raccogliere i dettagli attraverso richieste HTTP inviate dai nostri dispositivi. 

domenica 29 maggio 2011

Javasticking: ascolta su Facebook la tua musica preferita ma è scam


Facebook ha stretto di recente un accordo con un servizio di musica, da cui è possibile ascoltare migliaia di brani gratuitamente, che permetterà di usufruire di una vasta libreria musicale in streaming. Presto quindi si potrà condividere e ascoltare musica in streaming con un click: l'icona del servizio potrebbe essere collocata nella parte laterale sinistra del menù di entrata sulla propria pagina Facebook. Una volta cliccata l'icona, si installerà un software all'interno del computer che consentirà di accedere all'offerta musicale senza dover abbandonare la pagina del social network. E gli spammer non hanno perso tempo per diffondere il loro spam su Facebook. Non sarebbe bello se tu avessi un accesso immediato alla tua musica preferita e alle bande musicali? E se questi fossero facilmente disponibili sul tuo sito di social networking? Sono queste le domande che gli esperti di TrendMicro si pongono per descrivere questa nuova truffa su Facebook.


Recentemente sono stati individuati dei messaggi che circolano in chat e post sulle bacheche di Facebook che promuovono una presunta nuova funzionalità di lettore musicale. Di seguito è riportato uno screenshot di messaggi simili che si possono trovare:


Lo script utilizzato in questo spam è rilevato da Trend Micro come JS_FBJACK.B. Analogamente agli altri attacchi spam precedentemente segnalati su Facebook spam, una volta che gli utenti cliccano sul link, vengono reindirizzati a un sito che invita loro ad eseguire diversi passaggi (Javasticking). Il primo dei quali è quello di copiare un particolare frammento di codice nella loro barra degli indirizzi del browser, che ricorda il famoso attacco spam che aveva come oggetto Bin Laden


Una volta fatto, lo script maligno accede all'elenco amici dell'utente Facebook interessato Da questo elenco, crea post bacheca e invia messaggi di chat ai contatti di Facebook. Il messaggio letto: “FaceBook finally added a profile music player! I’ve been wanting one of these forever! [LINK]“ ("Facebook ha aggiunto infine un lettore profilo musicale! Ho sempre voluto uno di questo per sempre!“). Alcuni dei post contengono i seguenti link:
  • http://{BLOCCATO}ures.webs.com/profilemusicplayer.htm
  • http://{BLOCCATO}okfeatures.webs.com
  • http://{BLOCCATO}ures7.webs.com/aboutme.htm
  • http://{BLOCCATO}cplayer.webs.com
  • http://{BLOCCATO}ilemusic.webs.com
Tutti i link di cui sopra attualmente reindirizzano ad un singolo URL, un sito truffa che racconta agli utenti interessati di aver vinto un premio certo. Il sito poi chiede loro di fornire informazioni personali.


Gli spammer sfruttano la debolezza dei browser web e la curiosità dell'utente chiedendo alle persone di copiare e incollare il codice maligno nella barra degli indirizzi, facendo intraprendere al profilo azioni a nome di quelle persone, compresa la pubblicazione di aggiornamenti di stato con link fasullo e l'invio di messaggi di spam a tutti gli amici. Facebook ha lavorato per migliorare i propri sistemi in grado di rilevare e bloccare questi tipi di attacchi, come pure educare la gente su ciò che sta causando l'invio di spam dal loro account, ma ancora non è stato possibile bloccare queste azioni. Dunque tocca all'utente non cadere in queste trappole di social engineering (ingegneria sociale). Non utilizzate codici JavaScript loggati su Facebook e prestate attenzione ai link inviati dai vostri amici.

Spam: attenzione alle URL shortening utilizzate da servizi fasulli


MessageLabs Intelligence ha pubblicato un rapporto sulla sicurezza in cui evidenzia una nuova tecnica di spam che già nell'ultimo mese ha contribuito a far salire questo fenomeno del 2,9 percento. I servizi di abbreviazione URL che permettono lunghi e ingombranti link o URL di essere convertiti in altri URL brevi hanno avuto una crescita in popolarità con l'avvento dei servizi di social media e micro-blogging (Facebook e Twitter), dove la lunghezza dello status e gli aggiornamenti sono limitati. Purtroppo, questi servizi sono molto utili agli spammer perchè per natura sono relativamente anonimi e facili da automatizzare, il che li rende semplici da diffondere per ogni abuso. Nel 2010, MessageLabs Intelligence ha pubblicato la sua previsione di sicurezza per il 2011, che comprendeva la probabilità di attacchi più sofisticati che utilizzano i servizi di URL accorciati da imprese criminali. Ciò per acquisire il controllo di un servizio di accorciamento URL legittimo o per creare da uno di questi gruppi un servizio che appare legittimo, operando in modo lecito, prima di essere rivolto ad uso malicious. Questo mese, MessageLabs Intelligence ha avuto per la prima volta prove di spammer che attuano il loro falso servizio per accorciare le URL. I link accorciati creati in questi falsi siti per accorciare le URL non sono inclusi direttamente in messaggi di spam, invece, le email spam contengono URL abbreviati creati su siti legittimi di accorciamento URL. Piuttosto che condurre direttamente al sito Web finale dello spammer, questi link fanno riferimento ad un URL accorciato sul falso sito Web, che a sua volta reindirizza al sito Web finale dello spammer. In breve, quello che è stato architettato è un complesso sistema a matrioska che al momento sembra mettere in difficoltà anche i filtri antispam più efficienti. Questo processo è mostrato in figura, qui di seguito.


La ricerca di MessageLabs Intelligence ha individuato vari e simili siti Web falsi per accorciare le URL associati agli spammer stessi, ognuno dei quali si comporta nello stesso modo. Tutti i nomi a dominio dei siti in uso sono .RU (russo), e molti sono ospitati in Russia e Ucraina. Per rendere le cose più interessanti, i domini sono stati registrati diversi mesi prima di essere utilizzati, come un sistema potenziale per eludere il rilevamento da parte dei servizi per accorciare le URL in quanto l'età del dominio può essere utilizzata come un indicatore di legittimità che rende più difficile per i servizi di abbreviazione genuini identificare potenziali abusi. Il team di MessageLabs Intelligence ha tenuto sotto controllo come gli spammer abusino dei servizi per accorciare le URL per diversi anni, e hanno osservato che gli spammer utilizzando una vasta gamma di questi servizi, spesso creando migliaia di link in un breve periodo di tempo su un singolo sito. Utilizzando il metodo di cui sopra per stabilizzare un proprio sito Web, gli spammer inoltre creano spesso elaborazioni "a catena" in cui uno delle URL breve punti ad un altro URL di un sito diverso per accorciare l'URL. Questo a volte è ripetuto più di dieci volte prima di arrivare al sito dello spammer. La figura sotto, mostra l'andamento nel tempo di affidamento dei servizi per accorciare le URL utilizzati nelle e-mail spam. A seguito di un aumento alla fine del 2010, l'uso è recentemente diminuito in quanto gli spammer hanno commutato lo spamming attraverso i social media, come riportato sul numero di aprile del MessageLabs Intelligence Report. Tuttavia, nelle ultime settimane, la pratica sembra essere il ritorno alle e-mail spam, contribuendo al recente aumento dei livelli di spam.


Come accennato in precedenza, non ci sono link a qualsiasi pagina in cui un breve URL possa essere creato, e non ci sono dettagli sul servizio. Questa stessa pagina è generata da legittimi Web hosting dal "pannello di controllo" del software. Nonostante questo messaggio, il sito viene utilizzato attivamente come un servizio di accorciamento URL, reindirizzando i visitatori a siti Web di spam. È interessante notare che queste URL accorciate dei siti spammer non vengono utilizzate direttamente nei messaggi di spam. Invece, sono utilizzati come punti intermedi o stepping stones tra (di solito) un collegamento a un servizio pubblico di accorciamento URL, e il sito dello spammer. Inoltre, questi servizi per accorciare le URL non funzionano nello stesso modo di quelli legittimi: qualsiasi ID spam del servizio reindirizza al sito Web di spam stesso. Ciò suggerisce che gli spammer in questa fase stanno utilizzando una tecnica dress-up per dare l'aspetto e la funzionalità di un vero e proprio servizio per accorciare le URL. La possibilità di utilizzare qualsiasi ID apparentemente autentico per reindirizzare lo stesso sito Web significa che non si ha la difficoltà di generare ID genuini e con un basso livello di ri-uso, e ciò può contribuire maggiormente ad eludere i tradizionali filtri anti-spam. “Per evitare illeciti cresce il controllo dei servizi ufficiali di URL shortening e gli spammer stanno quindi sperimentando nuove modalità per fornire questo servizio ed evitare interruzioni e attività di disturbo”- ha commentato Paul Wood, MessageLabs Intelligence Senior Analyst - “Ad ogni modo fino a quando verranno creati nuovi servizi di abbreviazione degli URL, ci aspettiamo che gli spammer continueranno ad utilizzarli e ad abusarne”. Il rapporto completo è disponibile a questo link http://www.messagelabs.com/mlireport/MLI_2011_05_May_FINAL-en.pdf

Foto 1: http://www.flickr.com/
Foto 2 e 3: http://www.messagelabs.com/

sabato 28 maggio 2011

Falso YouTube: spam in caselle email e su bacheche Facebook


Anche il più grande broadcaster di video online YouTube, viene sfruttato dai cybercriminali per spammare il loro prodotti e attaccare gli utenti di Facebook. In queste ore, infatti, molti utenti stanno ricevendo delle false e-mail nelle loro caselle di posta elettronica usate per la registrazione al noto portale di video sharing. Come segnalano gli esperti di MalwareCity, la mail sembra legittima perchè, cosa strana, questa arriva effettivamente allo stesso indirizzo e-mail usato per registrarsi sulla piattaforma ed avverte l'utente sul presunto contenuto illegale del video che egli stesso ha caricato. Ecco come appare la falsa e-mail:


YouTube Administration sent you a message: Illegal video warning

YouTube Administration has sent you a message:

hxxp://www.youtube.com/watch?v=k7aPgfuusqwc&feature=topvideos_entertaiment
You can reply to this message by visiting your inbox

© 2011 YouTube, LLC
901 Cherry Ave, San Bruno, CA 94066

A parte lo stile telegrafico, il che è strano e sufficiente per creare qualche dubbio, dato che si tratta d'una questione così importante come quella invocata dal presunto avviso, ciò che colpisce è che uno dei link che pretendono di portare alla piattaforma di video sharing in realtà indirizza verso un sito Web registrato in Spagna. Qui si riceve un avviso dove ci viene detto che il video non è disponibile.


Per essere sicuri, gli esperti MalwareCity si sono collegati al proprio account YouTube e, come avevano sospettato, non vi era alcun avvertimento o qualsiasi altro messaggio da parte degli amministratori della piattaforma. Cliccando sul link presente nella mail spam e-mail si atterra in realtà su un sito web di prodotti farmaceutici, come potete vedere qui sotto, che, a giudicare dalla bandiera sullo sfondo della foto di intestazione, è probabilmente un fratello del vecchio sito canadese di farmacia che presumibilmente vende ogni sorta di pillole per il miglioramento delle prestazioni sessuali maschili.


Inoltre, gli esperti di Badwarebusters segnalano la presenza di falsi siti che ripropongono la grafica di YouTube e che si propagano attraverso dei link malevoli su Facebook. Attraverso la tecnica del likejacking, l'utente ignaro che si imbatte in questi siti, cliccando sulle pagine in questione condividerà un post su Facebook senza la propria conoscenza e autorizzazione.


Il sito si presenta con una sorta di campo CAPTCHA e un pulsante di invio strano che trasparente, ma che in realtà contiene un iFrame. Quando si digita il testo e si premere Invio, ci si iscrive alla pagina e si condivide il testo sulla bacheca di Facebook. Ciò non accadrà quando non siete collegati in su Facebook.


I siti individuati sono:

hxxp://humblenews1.net/?khdfjsf
hxxp://huntable1news.net/?r1613195
hxxp://newsfornow1.net/?r40044785&fb_comment_id=fbc_10150201385817410_16752382_10150201386127410
hxxp://nbcnews4.net/?r12723309&fb_comment_id=fbc_10150188019898040_16935903_10150188020328040

Con il termine di likejacking si intende una tecnica fraudolenta per dirottare gli utenti da un sito ad un altro tramite falsi link alla scopo di riuscire ad impossessarsi delle credenziali di accesso. Se si clicca pensando di visualizzare il video incriminato si compie il primo passo verso la truffa e soprattutto si favorisce la sua diffusione. Una volta cliccato infatti, viene fatto un like automatico e condiviso il link sulla bacheca. Anche se quindi non andrete avanti e non comprometterete il vostro account avrete indotto magari qualche vostro contatto a cliccare anche lui sul finto video. Prestate dunque attenzione alla mail che potreste ricevere in posta e ai link inviati dai vostri amici sulle bacheche di Facebook.

venerdì 27 maggio 2011

Grave bug in Internet Explorer mette a rischio gli utenti di Facebook


Una vulnerabilità zero-day che interessa tutte le versioni di Internet Explorer consente agli aggressori di eseguire un attacco di tipo clickjacking, al fine di rubare i cookie di sessione. L'attacco, soprannominato cookiejacking, è stato comunicato la scorsa settimana dal ricercatore di sicurezza indipendente italiano Rosario Valotta alla conferenza Hack in the Box 2011 ad Amsterdam e ulteriori informazioni sono state pubblicate sul suo blog Lunedi.

Per la dimostrazione, Valotta ha sottratto le credenziali di accesso a Facebook, Gmail e Twitter. Gli hacker possono sfruttare la falla per accedere a un file di dati memorizzati all'interno del browser conosciuto come "cookie", che contiene il nome utente e la password di un account web, Valotta ha detto via e-mail a Reuters. "Qualsiasi sito web. Qualsiasi cookie. Il limite è solo la vostra immaginazione", scrive sul blog.

Non è semplice tirare fuori l'attacco e combina diverse tecniche tra cui social engineering, però, se fatto correttamente può risultare molto efficace. La tecnica, chiamata "cookiejacking", sfrutta un bug nella gestione dei cookie da parte del browser Microsoft. La vulnerabilità interessa tutte le versioni di IE, tra cui Internet Explorer 9, su ogni versione del sistema operativo Windows.

Per sfruttare la falla, l'hacker deve convincere la vittima a trascinare un oggetto attraverso lo schermo del PC prima che il cookie possa essere dirottato. Ciò appare come un compito difficile, ma Valotta ha detto che è in grado di farlo abbastanza facilmente. Ha costruito un puzzle che ha messo su Facebook in cui viene chiesto agli utenti di "spogliare" la foto di una donna attraente.



Pur trattandosi di un mero esperimento, Valotta ha rivelato che "in meno di tre giorni, i suoi server hanno ricevuto il contenuto di ben 80 cookie su un totale complessivo di 150 amici raccolti sul social network". Il bug del browser IE consiste nel caricamento di un cookie, se il file corrispondente viene servito come src di un iframe.

Poiché il percorso del cookie dipende dal nome dell'utente di Windows, l'utente malintenzionato deve determinare questo valore. Valotta descrive un metodo basato sul Web che inganna il browser a rivelare il nome della vittima. La versione del sistema operativo deve essere anche determinata, perché i cookie vengono memorizzati in posizioni diverse sui diversi sistemi Windows.

Questo può essere fatto analizzando l'oggetto navigator.userAgent. Tuttavia, il caricamento di un cookie, che è sostanzialmente un file di testo, all'interno di un iframe non consente al malintenzionato di leggerlo in realtà, a causa delle restrizioni costruite nel browser. Per bypassare questo, l'attaccante ha la necessità di ingannare la vittima per farsi consegnare il contenuto dei cookie.



Ciò implica la selezione del testo e incollarlo all'interno di un contenitore attaccante controllato (drag & drop). Ovviamente questo sarebbe molto sospetto, e gli attaccanti hanno bisogno di utilizzare tecniche di clickjacking per nascondere ciò che sta accadendo. In un altro esempio Valotta, ha nascosto le azioni furtive con un semplice gioco in cui l'utente deve trascinare una palla attraverso un cerchio di basket.

Poiché tutte le versioni di Internet Explorer su tutte le versioni di Windows sono colpite, Valotta avverte che il pool di potenziali vittime è enorme. Inoltre, non ci sono molte difese contro le tecniche di clickjacking in IE. Microsoft ha risposto dicendo che, a causa del livello di interazione, non si tratta di un problema ad alto rischio.

"Dato il livello di intervento da parte dell'utente, questo problema non è quello che consideriamo ad alto rischio nel modo in cui il codice remoto potrebbe essere eventualmente eseguito dagli utenti," ha detto Jerry Bryant, manager del gruppo Microsoft Security Response Center (MSRC).

"Al fine di essere eventualmente colpito, un utente deve visitare un sito Web dannoso ed essere convinto a fare clic e trascinare gli elementi all'interno della pagina in modo che l'attaccante possa indirizzare un cookie specifico da un sito Web in cui l'utente ha effettuato precedentemente l'accesso".  Nonostante queste parole rassicuranti, è sempre meglio evitare di accettare richieste inviate dagli amici relative a giochi o applicazioni sospette e non usare Internet Explorer. L'azienda conta di risolvere il problema tra giugno e agosto.

Likejacking: iscrizioni gonfiate alla pagina Facebook di Letizia Moratti


Si chiama likejacking letteralmente ‘furto dei like’ la tecnica che secondo diversi blogger è servita per aumentare i fan della pagina Facebook di Letizia Moratti. Ma il suo comitato elettorale “si dissocia da una campagna web scorretta”. In pratica il likejacking consiste nell’inserire iFrame nascosto in alcune pagine web per cui, se qualcuno le consulta tenendo aperta la propria pagina Facebook e vi clicca, automaticamente si ritrova fra i fan di una determinata pagina.

giovedì 26 maggio 2011

Falso avviso email di accesso non autorizzato all'account Facebook


Qualche giorno fà i ricercatori dei TrendLabs hanno riferito di un attacco che sembra essere mirato e che coinvolge i messaggi email inviati tramite un servizio di Webmail. Con ulteriori indagini, i TrendLabs sono stati in grado di confermare che questo attacco sfrutta una precedente vulnerabilità in Hotmail, adesso patchata da Microsoft.

Trend Micro rileva i messaggi di posta elettronica dannosi come HTML_AGENT.SMJ. Il suddetto attacco richiede semplicemente all'utente preso di mira di aprire il messaggio e-mail appositamente predisposto, che esegue automaticamente lo script incorporato. Questo porta poi al furto di informazioni critiche, in particolare i messaggi e-mail e informazioni sui contatti personali dell'utente interessato. I messaggi di posta elettronica rubati possono contenere informazioni riservate che i criminali informatici possono usare per le varie malicious routine. Lo script si connette all'indirizzo:

http://www{BLOCCATO}eofpublic.com/Microsoft.MSN.hotmail/mail/rdm/rdm.asp?a={nome user account}{numero} La natura di tale URL suggerisce fortemente che l'attacco è mirato. L'URL contiene due variabili {nome account}, che è l'ID di destinazione dell'utente Hotmail, e numero {}, che è un numero predefinito impostato dall'utente malintenzionato. Il numero, che sembra determinare il payload maligno, verrà eseguito per il furto di informazioni di routine che vengono eseguite solo quando i numeri sono determinati nel campo del numero {}. 

L'URL porta ad un altro script rilevato da Trend Micro come JS_AGENT.SMJ. Lo script attiva una richiesta che viene inviata al server di Hotmail. La suddetta richiesta invia a tutti gli utenti dei messaggi e-mail interessati ad un certo indirizzo di posta elettronica. L'inoltro dei messaggi di posta elettronica, però, funziona solo durante la sessione in cui lo script è stato eseguito e si ferma una volta che l'utente si disconnette. L'attacco sfrutta uno script o un meccanismo di filtraggio bug CSS in Hotmail (CVE-2011-1252). Microsoft ha già preso provvedimenti e ha aggiornato Hotmail per risolvere il suddetto bug.

La vicenda è iniziata quando uno dei ricercatori di TrendLabs a Taiwan ha ricevuto un messaggio di posta elettronica che, a differenza di altri attacchi tramite e-mail che richiedono agli utenti di aprire il messaggio e fare clic su un link incorporato o di scaricare ed eseguire un allegato, l'esecuzione di questo attacco richiede soltanto agli utenti di visualizzare in anteprima il messaggio nei loro browser. Di seguito è riportato uno screenshot della pagina della casella di posta elettronica:


Gentile utente Facebook,

Il tuo account Facebook è accessibile da un computer o un dispositivo o da una posizione che non avete mai utilizzato prima. Per proteggere la sicurezza del tuo account, prima di confermare che il tuo account non è stato violato, abbiamo temporaneamente bloccato l'account.

Hai mai effettuato l'accesso a Facebook da altro luogo?

Se questo non è il tuo nome, si prega di utilizzare il vostro personal computer per effettuare il login su Facebook e seguire le istruzioni per gestire le informazioni del tuo account.

Se questo non è il tuo account, non preoccupatevi. Il relogin può portare nuovamente al proprio account.

Per ulteriori informazioni, visitare il nostro Centro assistenza qui:

[LINK]

Grazie,
Facebook Security Team

L'anteprima del messaggio e-mail viene richiesto di scaricare uno script da un URL remoto. Lo script viene quindi iniettato nella pagina per avviare il furto di informazioni. I dati rubati includono i messaggi di posta elettronica e le informazioni di contatto. Ancora più importante, però, lo script consente anche l'inoltro di email su account utenti interessati, che invia tutti i loro messaggi a un indirizzo specifico. Il messaggio e-mail che sembra essere stato appositamente predisposto per beneficiarne, in quanto utilizza ogni ID utente Hotmail ID nello script dannoso che essa incorpora. Successivamente vengono scaricati anche l'uso specifico dell'ID Hotmail e un numero identificato da un aggressore. La modifica del numero può cambiare il carico utile. 

"I dipendenti che controllano i loro account di posta elettronica personali sul posto di lavoro e che sono rimaste vittime danno all'aggressore l'accesso alle informazioni sensibili che possono essere riconducibili alla loro azienda, compresi i contatti e messaggi riservati. Le aziende dovrebbero prendere in seria considerazione i rischi che portano questi attacchi e simili, tanto più che solo l'anteprima di messaggi di posta elettronica già attiva l'esecuzione dello script malizioso", spiega Trend Micro sul suo blog. 

Anche se la falla è stata tappata,   vi consigliamo di prestare attenzione quando aprite le caselle di posta elettronica e ricevete messaggi da sedicenti mittenti Facebook che sfruttano il sistema anti-phishing di Facebook per comunicare presunti accessi non autorizzati. I ricercatori dei TrendLabs monitorano da giorni  l'attacco malware che mette in luce il rischio, spesso ignorato e sottovalutato di consentire ai dipendenti di controllare i loro account di posta personale sul lavoro.

mercoledì 25 maggio 2011

Falso aggiornamento Microsoft via e-mail scarica malware sul computer


Se avete recentemente ricevuto un email da Microsoft, sostenendo che è necessario un aggiornamento di sicurezza, attenzione, questa non è proveniente da Microsoft, ma piuttosto è un tentativo di spam per ottenere il download di malware. A segnalare il nuovo tentativo di scam è la società di sicurezza CISCO. Queste e-mail inviate inizialmente in francese, possono essere visualizzati in diverse lingue. Il nome del file per questo particolare malware è SECURITY_FIX_0231.exe. Già, i produttori di antivirus si sono attivati per fornire aggiornamenti per combattere questa minaccia internet più recente. Il messaggio di informazioni che ricevete in una e-mail, secondo CISCO , potrebbe essere simile a questo:



Oggetto: Aggiornamento della protezione critici: URGENTE

Corpo del messaggio:

Cari Clienti Microsoft,
Si prega di notare che la società Microsoft ha recentemente rilasciato un aggiornamento della protezione per Microsoft Windows OS.
L'Aggiornamento della protezione è quello per impedire a utenti malintenzionati di avere accesso ai file del computer.
L'aggiornamento si applica alle seguenti versioni di sistema operativo:
Microsoft Windows 98, Microsoft Windows 2000, XP di Microsoft, Microsoft Windows 7.
Si prega di notare, che il presente aggiornamento si applica a priorità alta nella categoria aggiornamenti. Al fine di proteggere il computer dalle minacce alla sicurezza e problemi di prestazioni, si consiglia vivamente di installare questo aggiornamento.
Poiché la distribuzione pubblica di questo aggiornamento tramite il sito ufficiale avrebbe luogo alla creazione di un efficiente software dannoso, abbiamo preso la decisione di rilasciare questo aggiornamento per la protezione via e-mail. Al fine di avviare l'aggiornamento, attenersi alla seguente procedura:
1. Scaricare l'aggiornamento utilizzando il seguente link:
http://two******.ca/newsletter/users/microsoft.ca/update/SECURITY_FIX_0231.exe
2. Fare doppio clic su SECURITY_FIX_0293.exe per avviare l'installazione.
Questo è un messaggio automatico prodotto dalla Microsoft Canada Co., preghiamo di non rispondere

Ed ecco i messaggi di spam in altre lingue:

Subject: URGENT: Critical Security Update

Message Body:

Dear Microsoft Customer,
Please notice that Microsoft company has recently issued a Security Update for Microsoft Windows OS.
The Security Update is to prevent malicious users from getting access to your computer files.
The update applies to the following OS versions:
Microsoft Windows 98, Microsoft Windows 2000, Microsoft XP, Microsoft Windows 7.
Please notice, that present update applies to high-priority updates category. In order to help protect
your computer against security threats and performance problems, we strongly recommend you to install
this update.
Since public disitribution of this Update throught the official website would have result in efficient
creation of a malicious software, we made a decision to issue this security update via e-mail.
In order to start the update, follow these steps:
1. Download the update using the following link:
http://two******.ca/newsletter/users/microsoft.ca/update/SECURITY_FIX_0231.exe
2. Double-click on SECURITY_FIX_0293.exe to start the installation.
This is an Automated Message produced by Microsoft Canada Co., Please Do Not Reply

Cher client Microsoft,

La socit de Microsoft a rcemment publi une mise jour de scurit pour Microsoft Windows OS.
Cette mise jour a pour bt d'empcher les utilisateurs malveillants d'obtenir l'accs vos fichiers informatiques.
La mise jour s'applique aux versions suivantes d'OS:
Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows 2003, Microsoft XP, Microsoft Windows 7.
Veuillez notez que la mise jour actuelle s'applique aux mises jour de la catgorie prioritaires.
Afin de protgez votre ordinateur contre des menaces et les problmes de performance et de scurit,
nous vous recommandons vivement d'installez la mise jour le plus rapidement possible.
Puisque la disitribution public de cette mise jour sur le site Web officiel de Microsoft aurait eu comme
rsultat la cration efficace d'un logiciel malveillant, nous avons pris une dcision de publier cette mise jour
de scurit via courriel.

Pour procder l'installation de la mise jour:
1. Tlchargez le fichier d'installation ici:
hxxp://two******.ca/newsletter/users/microsoft.ca/update/SECURITY_FIX_0231.exe
2. Double-cliquez sur SECURITY_FIX_0293.exe pour dbuter l'installation.

Ceci est un message automatis produit par Microsoft Canada Co.

Microsoft Canada Co.
1950 Meadowvale Blvd
Mississauga, ON
L5N 8L9 CANADA

Tel: 905-568-0434
Fax: 905-568-1527
Web: www.microsoft.ca

Naturalmente se ricevete e-mail simili a questa segnalatela come spam. Microsoft non invia aggiornamenti via e-mail. Qualsiasi update avviene attraverso il canale ufficiale o in maniera automatica. Gli esperti del Cisco Security Intelligence Operations esaminano in tempo reale i dati di traffico di posta elettronica che vengono raccolti da oltre 100.000 organizzazioni in tutto il mondo. Questi dati contribuiscono a fornire una vasta gamma di informazioni e di analisi delle minacce alla sicurezza globale delle tendenze e-mail. Cisco continua a seguire questa minaccia e si adattano automaticamente IronPort Systems per proteggere i clienti. Tale relazione verrà aggiornata se ci saranno variazioni significative o se il rischio per gli utenti finali aumenta.

martedì 24 maggio 2011

Javasticking: "Quante volte viene visto il profilo", truffa su Facebook


Dopo la truffa segnalata nelle scorse ore, una nuova ondata di messaggi spam sulle bacheche degli utenti di Facebook sono stati individuati da Protezione Account. Anche in questo caso la truffa (ancora attiva) promette, a suo dire, di mostrare i visitatori del proprio profilo Facebook. Per aumentarne la credibiltà, si sottolinea nel messaggio di spam che si tratta d'una versione "aggiornata e corretta".  

Come abbiamo già ripetuto in diverse occasioni, sono molte le applicazioni che permettono di vedere chi vi sta seguendo sul social network (o solo in generale controllando il vostro profilo). Ma queste applicazioni compilano i dati in base al modo di interagire con il vostro profilo da parte di amici, per scoprire chi sono i vostri più grandi fan.

Ma nessuna sarà in grado di dire quante volte viene visitato il vostro profilo, come invece promette questa truffa. I messaggi recitano testualmente: "At last they updated the Profile Viewer to a new working Version. LOL i thought it was a scum. I can now see a list of my Profile viewers any time i want. Awesome ^_^ Who is checking on me? [LINK] You meet people on facebook everyday but do you know if they are trustworthy?You know adding them gives them access to your Profile! Check how many times stalks your profile here!", che tradotto:

"Finalmente hanno aggiornato il Visualizzatore del profilo a una nuova versione di lavoro. LOL ho pensato che fosse una feccia. Ora posso vedere un elenco dei visualizzatori del mio profilo quando voglio. Spaventoso ^ _ ^ Chi mi sta controllando? [LINK] Tutti i giorni si incontrano persone su facebook ma non sai se sono affidabili? Lo sai aggiungendoli dando loro accesso al tuo profilo! Controlla quante volte seguono il tuo profilo qui!"


Se si fa clic sul link si viene portati ad una pagina web esterna al social network che effettua immediatamente un reindirizzamento alla ormai famosa pagina di Javasticking, dove si viene indotti a copiare e incollare un codice JavaScript nella barra degli indirizzi del vostro browser.

Il codice che l’utente ignaro incolla nella barra degli indirizzi è un JavaScript che richiama un secondo file JavaScript, presente sul sito "esca". Questo secondo file passa in rassegna tutti i contatti dell’utente inviando loro messaggi post sulle bacheche, compresi i vostri amici online in chat.


Facebook non fornisce alcuna funzionalità che consenta di monitorare chi visualizza il vostro profilo, o parti di esso, come le foto. Le applicazioni di sviluppatori esterni non possono fornire questa funzionalità, ne tantomeno dei codici JavaScript. Le applicazioni che sostengono di offrire questa possibilità verranno rimosse da Facebook per aver violato le sue politiche.

Inoltre, utilizzando tali metodi, si verrà estromessi dal sito attraverso il nuovo sistema antispam di Facebook, che è basato sul rilevamento di numerose azioni del profilo in un breve lasso di tempo. Si verrà dunque informati di tale attività maligna sul proprio profilo ed invitati a condividere un post che descrive l'azione e rimanda sulla pagina informativa del Facebook Help Center dedicata alle informazioni di base su come proteggere il proprio account.

Gli spammer sfruttano la debolezza dei browser web chiedendo alle persone di copiare e incollare il codice maligno nella barra degli indirizzi, facendo intraprendere al profilo azioni a nome di quelle persone, compresa la pubblicazione di aggiornamenti di stato con link fasullo e l'invio di messaggi di spam a tutti gli amici.

Facebook ha lavorato per migliorare i propri sistemi in grado di rilevare e bloccare questi tipi di attacchi, come pure educare la gente su ciò che sta causando l'invio di spam  dal loro account. Non utilizzate dunque codici JavaScript loggati su Facebook e rimuovete il post sulla vostra bacheca cliccando sulla X accanto al post.

lunedì 23 maggio 2011

Account LinkedIn a rischio, scoperto grave bug nella gestione cookie



Il sito di networking professionale LinkedIn ha delle falle di sicurezza che rende gli account degli utenti vulnerabili agli attacchi di hacker, i quali potrebbero accedervi senza nemmeno aver bisogno di password, secondo un ricercatore di sicurezza che ha identificato il problema. LinkedIn, fondato nel dicembre 2002 e avviato nel maggio 2003, è utilizzato principalmente per networking professionale.

A marzo 2011, LinkedIn relaziona più di 100 milioni di utenti registrati, che coprono più di 200 paesi e territori in tutto il mondo. La notizia della vulnerabilità è emersa durante il fine settimana, solo pochi giorni dopo LinkedIn Corp è andato in offerta pubblica la scorsa settimana con il debutto commerciale che ha visto il valore delle sue azioni più del doppio, che evoca i ricordi del boom di investimenti dot.com della fine degli anni 1990. 

Rishi Narang - un ricercatore indipendente di sicurezza Internet con sede vicino a New Delhi, in India, che ha scoperto la falla di sicurezza - ha detto a Reuters Domenica che il problema è legato al modo in cui LinkedIn gestisce un tipo di file dati comunemente usato e conosciuti come cookie, che includono il JSESSIONID e il LEO_AUTH_TOKEN. 

Dopo che un utente inserisce il nome utente corretto e la password per accedere a un account, il sistema di LinkedIn crea i cookie sul computer dell'utente che servono come chiave per accedere all'account. Molti siti web utilizzano tale cookie, tra i quali Facebook, ma ciò che rende il cookie LinkedIn insolito è che non scade per un anno intero dalla data della sua creazione, ha detto Narang. Il dettaglio della vulnerabilità è descritto in un post sul suo blog di Sabato.


I cookie token di accesso della maggior parte dei siti web commerciali in genere scadono nel giro di 24 ore, o anche prima se un utente effettua il logout dal sito, ha detto Narang. Ci sono alcune eccezioni: i siti bancari spesso disconnettono gli utenti dopo 5 o 10 minuti di inattività. Google offre ai suoi utenti la possibilità di usare i cookies che li tengono connessi per diverse settimane, ma consente all'utente di deciderlo prima. La lunga durata del cookie LinkedIn significa che chiunque si impossessa del file può caricarlo su un PC e accedere facilmente all'account originale dell'utente per almeno un anno.



La società ha rilasciato una dichiarazione dicendo che essa sta già effettuando la procedura per garantire gli account dei suoi clienti. "LinkedIn prende la privacy e la sicurezza dei nostri iscritti seriamente", dice la nota. "Sia che siate su LinkedIn o qualsiasi altro sito, è sempre una buona idea scegliere reti WiFi o reti VPN (reti private virtuali) criptate o di fiduicia, quando possibile". La società ha detto che attualmente supporta SSL, o Secure Sockets Layer, tecnologia per la crittografia di alcuni dati "sensibili", tra cui gli accessi agli account. Ma quei token cookie di accesso non sono ancora codificati con SSL.


Ciò rende possibile per gli hacker rubare i cookie utilizzando strumenti ampiamente disponibili per sniffare il traffico Internet, ha continuato Narang. Se si è in una rete di casa o aziendale e qualcuno raccoglie i cookie di traffico o usa Firesheep il gico è fatto. E, anche se si cambia la password e tutte le impostazioni, ancora il vecchio cookie è valido e dunque concede all'attaccante un accesso al vostro account. LinkedIn ha detto nella sua dichiarazione che si sta preparando ad offrire opt-in il supporto SSL per le altre parti del sito, una opzione che avrebbe coperto la crittografia dei cookie. 

L'azienda ha detto che si aspetta sarà disponibile "nei prossimi mesi". Ma i funzionari LinkedIn hanno rifiutato di rispondere alla critica di Narang sull'uso della società di un cookie con scadenza di un anno. Narang ha detto che il problema è particolarmente grave perché gli utenti di LinkedIn gli utenti non sono consapevoli del problema e non hanno idea che essi debbano proteggere tali cookie. Il ricercatore aa affermato, inoltre, di aver trovato quattro cookie con token di accesso LinkedIn validi che erano stati caricato su un forum per gli sviluppatori LinkedIn dagli utenti che avevano postato delle domande circa il loro uso. Narang ha scaricato quei cookie e ha potuto accedere agli account dei quattro abbonati LinkedIn.

Facebook rinnova interfaccia e strumenti del suo Centro assistenza


Facebook da qualche ora ha reso disponibile il suo nuovo Centro Assistenza, rinnovandone l'interfaccia grafica  per la seconda volta, cercando di suddividere meglio i contenuti e razionalizzando la disposizione dei collegamenti. Adesso il sistema è molto più chiaro e risulta  molto più rapido trovare le informazioni e l’assistenza di cui si necessità. Per accedere al Centro assistenza (Help center) dovete andare, loggati su Facebook, con il mouse sulla barra blu in alto e cliccare sul collegamento “Account” nell'angolo a destra della stessa barra, apparirà un piccolo menù contestuale a discesa con la voce “Centro assistenza”, cliccate sul link per accedere.

domenica 22 maggio 2011

Facebook a lavoro per proteggere dal furto dei cookie di sessione


Oltre a spingere per l'HTTPS, Facebook sta lavorando con Google, Yahoo! e Mozilla su una specifica in grado di proteggere i cookie di sessione da furti anche tramite connessioni non crittografate. Chiamata autenticazione di accesso MAC, la specifica è attualmente un progetto Internet Engineering Task Force (IETF) ed è pensato per fornire la verifica di crittografia per alcune porzioni di richieste HTTP. MAC, in questo contesto si riferisce al codice di autenticazione del messaggio, una stringa univoca generata dal client, che consente al server di verificare che la richiesta non sia stata fatta prima.

sabato 21 maggio 2011

Profile Spy, nuova truffa per scoprire chi visita il vostro profilo su Facebook


Un'altra truffa, segnalata da Sophos, è in corso di diffusione su Facebook ed inganna gli utenti facendo credere di scoprire chi guarda segretamente il vostro profilo sul social network. Sono molte le applicazioni  che permettono di vedere chi vi sta seguendo (o solo in generale controllando il vostro profilo). Ma queste applicazioni compilano i dati in base al modo di interagire con il vostro profilo da parte di amici, per scoprire chi sono i vostri più grandi fan.

Ma nessuna sarà in grado di dire chi guarda il vostro profilo, come invece promette questo metodo spam.  Utilizzando l'immagine di un cartone animato di quello che sembra essere uno scimpanzé che guarda attraverso un binocolo, i messaggi sono inviati da altri utenti di Facebook che sono già caduti nella trappola, facendo clic sul link e seguendo le istruzioni del truffatori.

Il sistema è il già pluricollaudato JavaScript, come abbiamo già visto in questo post. Il testo del post è il seguente: "WICKED! Now you can see who views your facebook profile.. i saw my top profile stalkers and my EX is still creeping my profile every day Checkout your PROFILE stalkers [LINK] Now you can see who stalks your profile daily" (Visto! Ora è possibile vedere chi visualizza il tuo profilo di Facebook .. Ho visto chi segue maggiormente il mio profilo e il mio ex è ancora strisciante sul mio profilo ogni giorno Acquista il tuo PROFILO stalker [LINK] Ora è possibile vedere chi segue tuo profilo giornalmente).


Se si fa clic sul link si viene portati ad una pagina web di terze parti che vi spinge a copiare e incollare un codice JavaScript (Javasticking) nella barra degli indirizzi del vostro browser. Le rivendicazioni della pagina sono quelle che il vostro codice è unico per visualizzare la vostra Top 10 profile spys - ma non è affatto vero. Le persone devono essere consapevoli che non esiste una caratteristica su Facebook che consente di visualizzare il profilo dei visitatori. Pertanto, qualsiasi messaggio o applicazione che afferma il contrario è sicuramente una truffa. Questo è un trucco viene comunemente usato dai truffatori in questo momento.


Se si incolla il codice nella barra degli indirizzi, tipicamente passa il messaggio ad altri utenti di Facebook, inviando un post sulle bacheche - compresi i vostri amici online in chat. Facebook non fornisce alcuna funzionalità che consenta di monitorare chi visualizza il vostro profilo, o parti di esso, come le foto. Le applicazioni di sviluppatori esterni non possono fornire questa funzionalità, ne tantomeno dei codici JavaScript. Le applicazioni che sostengono di offrire questa possibilità verranno rimosse da Facebook per aver violato le sue politiche.

Inoltre, utilizzando tali metodi, si verrà estromessi dal sito per attività di spam. Decine di gruppi e pagine su Facebook con migliaia e migliaia di utenti sono stati creati al riguardo, promettendovi qualcosa che ovviamente non è possibile. Come leggiamo sul Facebook Help Center, Facebook attualmente non fornisce un'applicazione che permette agli utenti di tracciare le visualizzazioni del profilo o le statistiche sulle visualizzazioni di contenuti utente specifici.

Gli sviluppatori di terzi, tuttavia offrono applicazioni che forniscono questa funzione. Ricordate  che le applicazioni NON possono tracciare le visite del profilo per utenti che accedono al profilo di un'altra persona, Facebook ha reso questa funzione tecnicamente impossibile. Per essere tracciato da un'applicazione, dovete acconsentire in modo specifico che l'applicazione possa tenere traccia delle vostre azioni. Non utilizzate codici JavaScript loggati su Facebook.

venerdì 20 maggio 2011

Vinci iPhone? No, invii spam da profilo Facebook con falsa Applet Java


Una nuova truffa si sta diffondendo in queste ore tra gli utenti italiani di Facebook. La truffa, segnalata da un nostro lettore e analizzata da Protezione Account, a suo dire, permetterebbe l'iscrizione ad un presunto quanto fantomatico concorso per partecipare all'estrazione di un iPhone 4 di Apple, nuovo di zecca. Lo spam arriva da un amico che è caduto nella trappola e si presenta con un messaggio che recita: "per caso ti interessa un iPhone 4 gratis? ;) dai un'occhiata al link qui sotto allora! ci sentiamo :D [LINK]".


Se clicchiamo sul link veniamo rimandati alla scheda di "benvenuto" di una pagina su Facebook, dove leggiamo: "Vinci un nuovissimo iPhone 4! Segui le istruzioni qui in basso. Segui le istruzioni qui in basso per convalidare la tua iscrizione (Solo utenti Italiani)".


Se "confermiamo" la partecipazione ci verrà presentata una finestra di dialogo per eseguire una falsa applet Java


L'applicazione altro non è che un "pacchetto" di comandi che verranno eseguiti a nome vostro su Facebook, utilizzando la tecnica fraudolenta del copia/incolla di codice javascript nella barra degli indirizzi del browser (Javasticking). In questo modo invieremo il messaggio di spam sulla nostra bacheca e a quella degli amici. Fortunatamente, sembra che sia a pieno regime la nuova funzionalità antispam dei profili annunciata da Facebook nei giorni scorsi per bloccare questo nuovo metodo utilizzata dagli spammer. Infatti verremo estromessi dal sito e ci verrà comuinicato che abbiamo inviato spam dal nostro profilo.



Saremo poi invitati da Facebook a condividere l'informazione con tutti i nostri amici, pubblicando un post che avverte gli utenti a prestare attenzione a queste tipologie di truffe. Protezione Account si aspetta che molti saranno gli spammer ad utilizzare questi attacchi, dato che si tratta d'un pacchetto preconfenzionato che opera senza chiedere azioni (come avveniva in precedenza) da parte dell'utente.


Vi raccomandiamo di non eseguire applet java il cui certificato è sconosciuto. Di seguito i dettagli del certificato dell'applicazione in questione


Il consiglio è come sempre quello di non copiare link sulla barra degli indirizzi del browser mentre si è loggati su Facebook, ma soprattutto di prestare attenzione ai link che ricevete sulla vostra bacheca da amici o in chat.  Se siete caduti nella trappola contrassegnate il post come spam cliccando sulla X posta sulla destra al passaggio del mouse ed avvertite i vostri amici.

giovedì 19 maggio 2011

Microsoft: attacchi cybercrimine e phishing in aumento su Facebook



E’ stata pubblicata la decima edizione del Microsoft Security Intelligence Report (SIRv10), l'analisi semestrale di Microsoft sulle minacce alla sicurezza informatica. E’ un report pieno di informazioni per comprendere l’evoluzione del rischio su Internet, utile non solo per gli addetti ai lavori ma per tutti. In questo semestre la considerazione prevalente è l’osservazione di come la cybercriminalità abbia ben compreso l’efficacia di utilizzare le dinamiche “virali” di condivisione dei contenuti offerte dai social network per diffondere attacchi di phishing in modalità quasi “marketing”.

Secondo il rapporto, gli attacchi di phishing, per il furto di dati personali, contro le reti sociali sono aumentati del 1.200% nel 2010. ''Il social networking - sostiene il Microsoft Security Intelligence Report - e' diventato un terreno fertile per ogni tipo di criminalita' informatica''. Secondo il rapporto, che prende in esame in particolare il periodo tra luglio e dicembre 2010 ed analizza i dati provenienti da oltre 600 milioni di sistemi di 117 paesi di tutto il mondo, la popolarita' dei siti di social networking e dei giochi online ha aperto nuove strade ai criminali informatici che cosi' possono raggiungere una vasta platea di vittime, utilizzando false identita' di utenti delle reti sociali. In particolare gli attacchi di phishing sui social network sono passati dall'8,3% del totale del gennaio 2010 all'84,5% di dicembre scorso. 


Le aree geografiche con una bassa densità di popolazione e un numero inferiore di siti host in Internet tendono ad avere alte concentrazioni di pagine di phishing anche se, in termini assoluti, la maggior parte delle pagine di phishing siano situate in paesi/aree geografiche più grandi e più industrializzate con un alto numero di siti host in Internet. I siti di phishing rivolti ai social network ricevono normalmente il numero più alto di impression rispetto a tutti i siti di phishing attivi. La percentuale di siti di phishing attivi rivolti a social network è aumentato durante gli ultimi mesi dell'anno, ma ha rappresentato solo il 4,2% dei siti attivi a dicembre.

 Il numero di siti attivi che ospitano malware monitorati ogni mese è aumentato gradualmente durante l'anno, principalmente a causa di migliori sistemi di rilevamento. Gli attacchi informatici vengono condotti sotto forma di false campagne di marketing e promozioni di prodotti apparentemente legittimi. 6 tra le prime 10 famiglie di malware maggiormente diffuse nella seconda metà del 2010 rientrano in queste categorie. Attraverso questi malware i criminali informatici ottengono denaro ingannando gli utenti con formule pay-per-click, falsi annunci pubblicitari o vendita di software di sicurezza contraffatto

Questo tipo di attacchi è aumentato a livello mondiale del 70% dal secondo al quarto trimestre del 2010 e che questo trend è visibile anche in Italia. Il dato più evidente e significativo è che il veicolo di propagazione maggiore dei virus sono i social network ed in particolare Facebook, ambienti in cui gli utenti vengono attaccati dal cosiddetto social engineering malware. Si tratta di quelle applicazioni rogue che si celano dietro un link condiviso tra amici, come quello recente che prometteva di aprire un video sulla morte di Osama bin Laden o sul Royal Wedding e che invece attiravano codice maligno.


Altra categoria di malware sono i cosiddetti Adware, quei programmi che aprono banner pubblicitari rallentando la navigazione e vagliano il PC alla ricerca di dati. Nel 2010 questo tipo di attacchi sono aumenatti, infatti si e' passati dal 29,3% del terzo trimestre al 32,7% nel quarto trimestre, dei PC colpiti da adware rispetto al totale dei computer infetti. La famiglia di 'adware' piu' diffusa in Italia e' JS/Pornpop (16,1% dei PC infetti), seguita da Win32/Hotbar (11,3%), mentre Win32/ClickPotato si classifica al 7° posto con il 6,1%. Un sito di attacchi drive-by download (insediamento automatico di programmi dannosi nel sistema dell'utente) è un sito che ospita uno o più exploit che puntano sulle vulnerabilità dei browser web e dei componenti aggiuntivi dei browser. 

Gli utenti con computer vulnerabili possono venire infettati da malware semplicemente visitando un sito Web, pur non eseguendo alcun download. Nel secondo semestre del 2010, le pagine di attacchi di tipo drive-by download hanno rappresentato circa il 2,4% ogni 1.000 pagine di risultati di ricerca visualizzati dagli utenti nello stesso periodo di tempo. Naturalmente i consigli sono sempre gli stessi: tenere sempre aggiornati antivirus e antimalware e nel caso dei social network, evitare di cliccare su link sospetti o offerte troppo belle per essere autentiche.

mercoledì 18 maggio 2011

Scam con javascript: Inserisci il pulsante non mi piace su Facebook


Una nuova truffa sta girando su Facebook e promette l'installazione del tasto "Non mi piace" sul profilo degli utenti. Si tratta d'una vecchia truffa che viene riproposta in chiave moderna ed aggiornata. Quando un utente su Facebook condivide una frase, lascia un commento, inserisce un link o qualsiasi altro elemento pubblico, i suoi contatti possono esprimere l’apprezzamento per lo stesso utilizzando il tasto "Mi Piace". 

Molti utenti hanno però richiesto l’introduzione di un ulteriore pulsante, un "Non mi piace", ma al momento, lo staff di Facebook non ha mostrato alcun interesse verso questo argomento. Vi sono molti gruppi e pagine su Facebook che promettono di spiegare come aggiungere il tasto "Dislike", ma nella maggior parte dei casi si tratta solo di operazioni virali per accrescere il proprio numero di iscritti. E' altresì vero che esistono dei plug-in per browser che permettono di cliccare "Non mi piace", ma funzionano solo se installati da tutti gli utenti. 

Un altro metodo per aggiungere il tasto Non Mi Piace consiste nell'utilizzare Social Plus, però, anche in questo caso il vostro "Non Mi Piace" sarà visualizzato soltanto da chi, a propria volta, ha installato Social Plus. La truffa in questione, individuata da Protezione Account, è uno scam e si presenta attraverso messaggi di spam in lingua italiana (scam localizzato) sulle bacheche degli amici: "Lo sai che adesso puoi avere il tasto non mi piace? Clicca su Installa Non mi piace qua sotto [LINK]" e apparentemente inviati tramite iPhone.


Una volta che clicchiamo sul link "Installa Non Mi Piace" verremo rimandati ad un pagina su Facebook che invita ad effettuare delle operazioni per potere installare il tanto agognato pulsante. Ecco cosa leggiamo sulla pagina:

"Usa il nostro codice unico per inserire il "Non mi piace"!
Segui i semplici passi qua sotto per installarlo.
Passo 1 - Copia questo codice: Clicca nello spazio sottostante, seleziona il tasto destro del mouse e copialo.



Passo 2 - Incolla il testo prima copiato nella tua barra degli indirizzi dove vedi scritto Facebook.com Dopodichè premi INVIO sulla tua tastiera!

Nota bene: Sii paziente l'installazione del componente NON MI PIACE può durare qualche minutio!"


Nel frattempo dal profilo verranno impartiti dei comandi come se fosse lo stesso utente ad eseguire delle operazioni automatizzate (Javasticking), come per esempio inviare dei post sulla propria  bacheca e su quella degli amici: Facebook, dal canto suo, sembra aver attivato finalmente il nuovo sistema antiscam avvertendo gli utenti che sono caduti vittime di queste tipologie di truffe, attraverso dei link che riportano ad una pagina di sicurezza del Facebook Help Center dedicata alla prevenzione: "Keep your account safe: Never paste suspicious-looking links or test into your internet address bar. They could be spam!
Malicious script scams - Facebook Help Center" ("Mantenete il vostro account: Mai incollare link sospetti o con l'aspetto di test nella barra degli indirizzi di Internet. Potrebbero essere spam!
Truffe script dannoso - Guida di Facebook Center")


Come leggiamo sulla pagina del Centro Aiuto di Facebook: "Se l'account di un tuo amico invia inviti a pagine, gruppi o eventi che non ha creato, è possibile che sia stato scaricato del software dannoso sul computer del tuo amico o che le sue informazioni di accesso siano state violate da un tentativo di phishing mirato a inviare spam dal suo profilo. Suggerisci al tuo amico di visualizzare la pagina phishing del nostro Centro assistenza per proteggere il suo account. 

Per ulteriori informazioni in merito, clicca qui. Una volta ripristinata la sicurezza, consiglia al tuo amico di eliminare la Pagina, il gruppo o l'evento di spam". Facebook ha dunque reso operativo il sistema per contrastare le truffe attraverso Javascript annunciato nei giorni scorsi. Ma ancora molte persone cadono nella truffa e, nonostante la pagina scam sia stata disattivata da Facebook nel giro di poche ore, Protezione Account si aspetta un'escalation di questi attacchi, che fanno leva come sempre sulla poca informazione da parte degli utenti e soprattutto sulla curiosità di provare funzionalità che non sono previste nella piattaforma. 

Il consiglio è come sempre quello di non copiare link sulla barra degli indirizzi del browser mentre si è loggati su Facebook, ma soprattutto di prestare attenzione ai link che ricevete sulla vostra bacheca da amici o in chat. Rimuovete il post cliccando sulla X posta sulla destra al passaggio del mouse in modo da non far cadere nella trappola i vostri amici ed avvertite l'utente che vi ha inviato lo scam.

martedì 17 maggio 2011

Spam su Facebook: Perchè sei taggato in questo video di Youtube?


Una nuova truffa virale, che finge di essere un link ad un video di YouTube nel quale si è stati taggati sta facendo il giro tra gli utenti di Facebook. La truffa utilizza i messaggi di spam multiplo, tra cui: "YO [name] why are you tagged in this video", "hey [name] i cant believe youre tagged in this video", "hey [name] you look so stupid in this video" or "OMG [name] why are you in this video". Tradotto: (" YO [nome] perché ti ho taggato in questo video ", "hey [nome] Non posso credereche  tu sei taggato in questo video ", " hey [nome] sei così stupido in questo video" o "OMG [nome], perché sei in questo video").