a[1]

Google ha lasciato in chiaro per 14 anni le password di utenti G Suite

Dopo Facebook e Twitter, Google è il successivo gigante della tecnologia che ha accidentalmente salvato le password dei propri utenti in chiaro sui propri server. Conseguenza è che per tutto il tempo di vigenza del bug, gli impiegati Google hanno avuto la possibilità di accedere ai dati e vedere in chiaro le password, così come può essere successo anche a cyber attaccanti che possono aver avuto accesso ai server, dato il lasso di tempo così lungo.

E’ stata Google stessa a rivelare, con un post sul suo blog, questa problematica della piattaforma G Suite, che ha esposto per 14 anni le password di utenti aziendali: i dati, salvati in server interni, sono finiti in chiaro a causa di un bug nella funzione di recupero della password.

Per chi non lo sapesse Google G Suite, conosciuta in realtà col nome di Google Apps, è una raccolta in cloud di tool per il computing, la produttività e la collaborazione pensata per utenti aziendali con l’email hosting per le proprie attività. In breve, una versione business dei servizi che Google offre a chiunque.

La vulnerabilità: qualche info tecnica
La vulnerabilità (che, fa sapere Google, è stata risolta) risiede nel meccanismo di recupero password di G Suite, che consente agli amministratori aziendali di caricare o impostare manualmente un set di password per ogni utente con il dominio aziendale senza la necessità di conoscere le password precedenti: sono tutti meccanismi pensati per facilitare la creazione di nuovi account o per il recupero di account. Se però l’amministratore esegue un reset, la console di amministrazione esegue una copia di queste password: qui sta l’errore… la copia viene eseguita senza che si attivi alcun meccanismo di criptazione. Insomma non viene salvato l’hash della password, ma la password stessa in chiaro.

L’errore, fa sapere Google, risale addirittura al 2005 e non ve n’è stata consapevolezza fino a qualche giorno fa. In ogni caso, Big G rassicura i propri utenti perché le password, per quanto in chiaro, erano salvate su infrastrutture non aperte direttamente ad Internet, su server interni criptati e non si sono trovate prove di qualsiasi tipo di accesso non autorizzato.

Chi potrebbe essere riguardato da questo problema?
Difficile dirlo: Google ha fatto sapere che nessuna versione gratuita di account Google (Gmail ad esempio) è stata riguardata da questo bug. Il problema quindi riguarda soltanto gli utenti delle app G Suite per le aziende, ma Big G non ha fatto sapere quanti utenti potrebbero essere in qualche modo ricompresi in questo incidente di sicurezza. Oggi Google G Suite ha 5 milioni di clienti aziendali e il bug è stato presente per 14 anni.

La soluzione
Ad ora Google, per risolvere il problema, ha rimosso la funzionalità incriminata dagli amministratori G Suite e inviato un email a tutti gli utenti interessati chiedendo il reset della password. Oltre a ciò Google ha annunciato che procederà al reset automatico delle password di quegli utenti che non modificheranno le proprie password.

I casi precedenti
Come scritto in incipt di testo, Google G Suite non è certo la capostipite di questo tipo di incidenti di sicurezza: nel Marzo 2019 Facebook ha annunciato di aver scoperto salvate in chiaro le password di “centinaia di milioni” di utenti. Poco dopo stesso problema sia per utenti Facebook che Instagram: in entrambi i casi, rassicura Facebook, i dati erano si in chiaro, ma stoccati su server interni.

Poco più di anno fa è stata invece la volta di Twitter, che aveva annunciato, tra l’altro per un bug molto simile a quello presentato in questo articolo, di aver riscontrato il salvataggio in chiaro delle password di 330 milioni di utenti.

a[1]

Pioggia di attacchi DDoS contro l’Italia: in alcuni casi richiesto un riscatto

Lo rivela la società tedesca Link11, che si occupa specificatamente di difesa contro attacchi DDoS: Link11, che sta proteggendo molteplici aziende italiane, non specifica né numeri né nomi di aziende, ma indica solo che sono molteplici gli attacchi contro hosting provider italiani, ISP e Data center. Attacco che sta determinando disfunzioni e interruzioni di servizi su migliaia di siti ospitati dai provider sotto attacco.

L’attacco DDoS è accompagnato dalla ricezione di una email, a nome di Turkish Hacker, che richiede il pagamento di un riscatto in BitCoin al fine di evitare attacchi superiori ai 100 Gbps. Il pagamento viene preteso nell’arco di 24-48 ore. La campagna prosegue ormai da inizio Maggio.
Le modalità di Turkish Hacker si sono dimostrare sempre le stesse, un vero e proprio protocollo: la prima fase è segnata da una serie di piccoli pre-attacchi il cui scopo è, principalmente, il sovraccarico dei sistemi e delle infrastrutture IT degli provider bersaglio. Nel frattempo l’attacco DDoS prosegue, ma viene rimodulato costantemente, sia nelle tecniche che nei vettori di attacchi sia nella potenza di fuoco impiegata.

Tutto questo determina una gravissima difficoltà per le aziende vittima a rispondere adeguatamente all’attacco qualora non siano già dotate di efficaci sistemi di protezione: l’attacco non lascia infatti molti margini ad una implementazione di urgenza di misure anti DDoS. Tutti i centri di elaborazione dati che sono sprovvisti di adeguata protezione hanno di fronte la strada, sconsigiliatissima, di cedere al ricatto oppure quella di mettersi al riparo implementando prima possibile più misure di mitigazione di attacchi DDoS.

1[1]

Nuova versione del ransomware Dharma usa ESET come copertura

E’ stata individuata, già in uso in attacchi reali, una nuova versione della famigerata famiglia di ransomware Dharma: in questo caso viene usato, come copertura, l’installer ESET AV Remover. Si tratta di una copertura usata per distrarre le vittime mentre la criptazione dei file avviene in background. L’ESET AV Remover è un software legittimo firmato con valida firma ESET, quindi è un ottimo trucco per distrarre le vittime, dato che non induce sospetti.

Come si diffonde
Stando all’analisi di BleepingComputer, questo ransomware viene diffuso usando campagne di spam contenenti allegati compromessi: il dropper del ransomwar Dharma è contenuto in questo allegato, un archivio auto estraente protetto da password. L’archivio si chiama Defender.exe ed è ospitato su un server compromesso, link[.]fivetier[.]com.

La catena di infezione. Fonte: Bleepingcomputer.com

La password per aprire l’allegato è contenuta nel testo dell’email di spam: anche questa è una tecnica di ingegneria sociale fatta per incuriosire le vittime e indurle ad aprire l’archivio, quindi a lanciare l’infezione di Dharma senza averne consapevolezza.

L’email di spam. Fonte: Bleepingcomputer.com
Il testo dell’email, come si vede, cerca di creare ansia alla vittima, parlando di un problema di corruzione del sistema e del rischio di danneggiamento dei file di sistema, delle applicazioni e perfino di fuga di dati.

Come cripta i file
Una volta che il file Defender,exe è eseguito, questo scarica sul sistema una veccia versione dell’installer di ESET AV Remover, chiamata Defender_nt32_enu.exe. Quindi il binario di Dharma viene aggiunto a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup e “nascosto” col nome taskhost.exe: il binario viene quindi eseguito e inizia la criptazione dei file contenuti nella macchina.

L’installer ESET AV Remover viene automaticamente lanciato una volta che viene eseguito l’archivio autoestraente, così da catturare l’attenzione della vittima mentre Dharma avvia la criptazione dei file presenti sui dischi. I ricercatori spiegano che il ransomware avvia la criptazione dei file anche nel caso in cui l’installazione non dovesse avviarsi: l’installazione del software e l’esecuzione del malware sono differenti istanze, quindi il loro comportamento non è correlato.

Questa versione di Dharma cripta i file lasciandone intatto il nome e aggiungendo l’estensione [ENIGMA1CRYPT@AOL.COM].ETH dopo l’estensione originale dei file.

Enigma1crypt@aol.com è l’email di contatto per le vittime. Sotto la nota di riscatto

Attualmente non sono conosciute modalità per riportare in chiaro i file senza cedere al ricatto dei cyber attaccanti: in ogni caso sconsigliamo il pagamento del riscatto sia perchè questo non assicura assolutamente di ricevere il tool di decriptazione sia perchè non c’è certezza del corretto funzionamento dell’eventuale tool. Aggiorneremo quando ci sarà una soluzione legale e sicura al 100%.

1[1]

Ancora PEC sotto attacco: campagna di email diffonde il malware Gootkit

Yoroi segnala una ennesima, pericolosa, campagna in corso contro aziende e enti pubblici italiani. I tecnici di Yoroi hanno intercettato email dirette alle caselle di posta PEC contenenti allegati infetti.

Le email vettore
Le email che diffondono il malware sono approntate per sembrare comunicazioni collegate a problematiche di tipo amministrativo, quella che va per la maggiore vuole convincere l’utente ad aprire l’allegato descrivendolo come una fattura non liquidata.

Email esempio. Fonte: Yoroi Blog

L’allegato, in formato .ZIP, non contiene alcuna fattura, ma script VBS che scaricano e installano sulla macchina della vittima il malware bancario Gootkit, ormai una vecchia conoscenza degli utenti italiani. Sono già decine le campagne, tutte molto simili, mirate a diffondere questa famiglia di malware agli utenti aziendali e delle PA italiani.

Il Trojan Gootkit
Come detto, questa campagna diffonde il trojan bancario Gootkit: parliamo di un malware nient’affatto nuovo, già utilizzato in numerose campagne precedenti e che si distingue principalmente perchè presenta un alto livello di diffusione precisamente in Italia. La particolarità di questo trojan è che è descritto dai ricercatori di sicurezza come uno strumento privato (ovvero non in vendita ne né dark né nel deep web). Insomma c’è un gruppo di attaccanti o un attaccante che utilizza da qualche mese un trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.

Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due finalità: rubare le credenziali bancarie degli utenti e intromettersi direttamente nelle attività di banking online tramite iniezione di codice nel browser in uso, intercettare comunicazioni di rete, smart card inserite ecc…

Indicatori di compromissione

Mittente: xxxxx@pec.it
Oggetto: bonifico a VS favore XXXXX (serie casuale di numeri)
Server di comando e controllo:
C2(gootkit):
185.158.249[.144
ssw.138front[.com
martatov[.top
ami.sigaingegneria[.com
erre.effe-erre[.es
filuetrama[.top
Hash dei file:
EXE: d2fe4bb28c995b71fa6739d870117aa34b0ce3ed1b3b8359a1a244549fe873df
VBS: 365749d27244bef550e760f96e26771d997891f9fc13254aee81b15ac8422df2

a+28129[1]

Hacker VS PEC: l’attacco si allarga, il Garante Privacy lancia l’allarme

Le notizie di ieri si sono concentrate sull’attacco che gli hacktivisti di Anonymous hanno lanciato contro i server Lextel, il provider che gestisce gli account email PEC dell’ordine degli Avvocati di Roma. In breve, per rinfrescare la memoria, gli attaccanti sono riusciti a violare l’account amministratore, mettendo quindi le mani sul documento dove erano salvate in chiaro (e già questo fatto è una grave falla di sicurezza) le password di default degli account email PEC: così Anonymous è riuscita a mettere le mani sui dati e la corrispondenza di oltre 30.000 avvocati romani che non hanno mai proceduto alla sostituzione della password di default: l’attacco è avvenuto nei pressi dell’ anniversario dell’arresto di Aken e Otherwise, due membri di AnonIta arrestati nel Maggio 2015 (ai quali l’attacco è stato dedicato).

Per saperne di più >> Anonymus ruba i dati di 30.000 avvocati romani e…riconferma limiti e debolezze della sicurezza dei dati in Italia

L’attacco è in corso da giorni, su più obiettivi
“In un primo momento – racconta l’avvocato Andrea Brunelli del Foro di Genova – si era diffusa la notizia che l’attacco riguardasse esclusivamente gli avvocati della capitale e ha avuto risalto perché tra gli indirizzi mail violati c’era anche quello di Virginia Raggi. Poi però da un amico consigliere ho saputo che diversi colleghi liguri sono caduti nell’imboscata degli hacker e così quelli campani. Lì ho capito che, nonostante quello che si leggeva sui media, l’attacco fosse più grave e non così circoscritto”.

Allargando lo sguardo, emerge che l’attacco è in corso da giorni e contro diversi obiettivi, tutti comunque accomunati dal fornire un servizio di email PEC poco sicuro: il 6 Maggio infatti il gruppo LulzSec_ITA, anche questo legato ad Anonymous Italia, ha colpito anche l’Ordine degli Avvocati di Caltagirone e Matera. Ieri invece anche gli Ordine degli avvocati di Piacenza e Napoli hanno subito un duro colpo, mentre si sono registrati problemi tecnici a Bari ed Avellino. A fine Aprile invece sempre il gruppo LulzSec Italia aveva rubato credenziali di accesso e password ai danni del sito degli Archivi di Stato.

Tutti casi accomunati da un problema ricorrente: l’inadeguatezza delle misure di sicurezza correlate alla gestione del servizio. Ancora più gravi se pensiamo che gli attacchi hanno violato il sistema di posta PEC, teoricamente il servizio di comunicazione più sicuro di cui dovrebbero godere enti pubblici, aziene e professionisti in genere.

Il Garante Privacy suona l’allarme
Qualche ora dopo la segnalazione dell’attacco, regolarmente effettuata da LexTel secondo quanto previsto dal GDPR, il Garante per la Privacy italiano ha rilasciato una brevissima nota:

“Abbiamo avviato l’istruttoria, necessaria ad accertare le relative responsabilità e a prescrivere le misure opportune per limitare i danni suscettibili di derivarne agli interessati: in particolare avvocati e loro assistiti. Sin da ora – sottolinea Soro – emerge l’assoluta inadeguatezza delle misure di sicurezza correlate alla gestione di un servizio, quale la pec, che dovrebbe garantire la massima riservatezza e su cui, peraltro, si basa l’intera architettura del processo telematico”.

1[1]

MegaCortex: il nuovo ransomware che colpisce le reti aziendale (anche in Italia)

E’ stato individuato, già usato in attacchi reali, un nuovo ransomware che prende di mira le reti aziendali e le workstation collegate. Si chiama MegaCortex e usa i domain controller di Windows per distribuirsi in tutta la rete, una volta trovato un punto di accesso. Si registrano infezioni già in svariati stati, sopratutto in Stati Uniti, Italia. Canada, Francia, Paesi Bassi e Irlanda. Non si conoscono ancora molti particolari di questo ransomware, sopratutto sui meccanismi di diffusione e di criptazione, perchè risulta essere integralmente nuovo: non c’è traccia, nel suo codice, di elementi “presi in prestito” da altre famiglie di ransomware.

Quale dato tecnico
Quel che per ora i ricercatori di sicurezza sono riusciti a ricostruire è che il ransomware MegaCortex infetta reti sulle quali sono già presenti altri due malware, ovvero i trojan Emotet (bancario) e Qakbot (botnet): questo fatto suggerisce che gli attaccanti stiano pagando gli operatori ai comandi di questi due trojan per sfruttare l’accesso che questi hanno già ottenuto ai sistemi aziendali.
Tutte le vittime fino ad adesso hanno segnalato che gli attacchi provengono da un domain controller compromesso: su questo viene scaricato ed eseguito Cobolt Strike, per creare una reverse shell verso un host degli attaccanti.Tramite questa shell gli attaccanti possono ottenere l’accesso remoto al domain controller e configurarlo per distribuire una copia di PSExec, l’eseguibile principale del malware e un file batch su tutti i computer della rete. Quindi il file batch viene eseguito da remoto tramite PSExec.

Il file batch contiene i comandi per arrestare 44 differenti processi, bloccare 199 servizi di Windows e disabilitare altri 194 servizi.

Una volta terminati o interrotti tutti i possibili servizi che potrebbero impedire l’esecuzione dell’eseguibile dannoso o la criptazione dei file, il file batch contiene il codice utile ad eseguire il file principale del malware, chiamato winnit.exe.

L’eseguibile è lanciato con una stringa codificata in base64 come argomento: l’uso dell’argomento corretto farà si che il malware estragga un file .DLL dal nome random e lo esegua usando rundll32.exe. Questa libreria DLL è la componente del ransomware responsabile della criptazione del computer.

Come cripta i file
Il meccanismo di criptazione non è ancora chiaro: una volta che i file sono stati criptati, viene aggiunta l’estensione .aes128ctr dopo l’estensione originale.

Ad esempio il file cartella.xls diverrà cartella.xls.aes128ctr. Alcuni utenti però hanno segnalato estensioni diverse, quindi non è ancora chiaro quale meccanismo provochi la scelta di una estensione piuttosto che un’altra o se queste siano del tutto random.

Al termine della criptazione il ransomware crea un altro file con lo stesso nome del fil DLL precedentemente estratto e aggiungerà l’estensione .tsv. Nella parte superiore di questo file è presente una stringa codificata in base64 che i ricercatori sospettano essere la chiave di decriptazione in forma criptata.

La nota di riscatto
La nota di riscatto è chiamata !!!_READ_ME_!!!.txt e contiene le informazioni utili per capire cosa è successo e per contattare gli attaccanti. Due sono, per adesso, le email di contatto:

shawhart1542925@mail.com e anderssperry6654818@mail.com.

I payload secondari
I ricercatori hanno notato come MegaCortex “non venga mai da solo”: hanno cioè notato come questo ransomware si sposti in coppia con altri payload secondari… altri malware quindi. Uno di questi payload secondari attiene al malware Rietspoof (per approfondire, leggi qui): questo è un malware multi-stage utilizzato per diffondere più payload sulla stessa macchina. Attualmente non si può affermare con certezza se sia Rietspoof a diffondere, quindi, MegaCortex o se, viceversa, sia il ransomware a portare con sè Rietspoof come payload secondario.

Alcune indicazioni base per proteggersi da questo ransomware
Attualmente non esistono maniere conosciute di decriptare i file senza pagare il riscatto agli attaccanti (strada che sconsigliamo caldamente, anche perché non c’è alcuna certezza che, pagato il riscatto, l’azienda vittima riceverà il tool di decriptazione funzionante).

Difficilmente si può pensare che questo ransomware venga diffuso tramite email di spam: è molto più probabile che l’accesso possa avvenire o sfruttando le backdoor lasciate aperte da altri malware oppure violando i Remote Desktop Service pubblicamente accessibili via Internet. In questo ultimo caso è molto importante ricordarsi di “nascondere” i servizi di desktop remoto dietro un buon firewall e di renderli accessibili solo tramite VPN.

a[1]

Campagna di phishing contro utenti italiani a tema “Rimborso canone Rai”

Il CERT-PA ha diramato proprio ieri un alert riguardante una campagna di phishing, attualmente in corso, mirata principalmente agli account email di Pubbliche Amministrazioni e società private: scopo della campagna è indurre le vittime a rivelare le credenziali delle carte di credito aziendali o private, così da poterle rubare.

L’email fake
Le false email sembrano provenire dall’Assistenza servizi telematici dell’Agenzia delle Entrate: in realtà una analisi attenta mostra come l’indirizzo del mittende sia contraffatto e non riconducibile all’Agenzia stessa.

Il CERT-PA ha pubblicato l’immagine sotto che mostra un esemplare delle email di questa campagna:

L’oggetto dell’email è “Richiesta di rimborso del canone TV addebitato nelle fatture elettriche”, il riferimento è del tipo “RAI–A8001W”, “A8005W” ecc…

Il testo invita l’utente a procedere con la richiesta cliccando sul link allegato nel corpo email, che però non è quel che sembra. Nel corpo email si legge l’indirizzo https://www.agenziaentrate.gov.it, ma questo link in realtà punta ad un’altra pagina fake, il cui indirizzo è www[.]area-inviotelematico[.]info/caricamento/in_corso/attendi/attendi[.]html: anche questo link mostra di essere un semplice reindirizzamento verso un altro URL che conduce ad una pagina “Caricamento in corso”

La pagina di caricamento scompare dopo un breve lasso di tempo: si apre quindi un form per l’inserimento di dati.

Il form è costruito ad arte, può facilmente ingannare l’utente: i loghi sono stati prelevati dalle pagine ufficiali dei siti legittimi. In questo step si invita l’utente ad inserire i dati anagrafici e quelli della carta di credito sulla quale ottenere il “rimborso” del Canone, il cui importo sarebbe 14.90 euro.

Ovviamente, ribadiamo in corso col CERT-PA, questa email è falsa e non è questa la modalità tramite la quale la Rai riceve pagamenti ed effettua rimborsi. Vi consigliamo di cestinare l’email e, sopratutto, di non inserire dati.

Una curiosità
Questa campagna è praticamente una fotocopia di una campagna di phishing risalente all’Agosto 2018: perfino l’importo è identico, 14.90 euro. Per approfondire, rimandiamo al comunicato stampa relativo diramato nel 2018 dal Cert-Pa.

a[1]

Perchè i dispositivi iOS e macOS sono a rischio: attacco massiccio in corso

Perchè i dispositivi iOS e macOS sono a rischio: attacco massiccio in corso
– GIOVEDÌ 2 MAGGIO 2019

La convinzione che i dispositivi iOS e i sistemi operativi MAC siano impenetrabili è ancora molto molto radicata. Poteva essere vera, questa convinzione, fino a qualche anno fa, quando i prodotti Apple erano ancora di nicchia, quindi un obiettivo poco ghiotto e poco profittevole per i cyber criminali.

Ormai però i prodotti Apple sono diventati comuni, per quanto molto meno diffusi di Window per il mondo dei PC e di Android per il mondo degli smartphone: questo ha ovviamente attirato l’attenzione dei cyber criminali. I quali possono contare anche su un vantaggio, la sicurezza che gli utenti che proteggono i dispositivi iOS e i macOS con una soluzione di sicurezza si contano ancora sulle dita di una mano.

1. attacco di hijacking massiccio
Dal 19 Aprile è in corso un massiccio attacco contro i dispositivi iOS: i dati parlano di almeno 500 milioni di utenti colpiti. L’attacco è stato portato da un gruppo di cyber truffatori ben conosciuto, eGobbler: sono autori di campagne di ampie dimensioni, che solitamente presentano picchi di attività di 36-48 ore prima di passare ad uno stato di stallo completo per poi tornare di nuovo a colpire. Caratteristica che li contraddistingue è l’uso del dominio .world per le proprie pagine fake.

Ecco qui un esempio

Lo scopo principale della campagna è dirottare l’utente verso pagine web truffaldine o compromesse, finalizzate al furto di dati o alla distribuzione di malware: il dirottamento (hijacking) avviene sia tramite uso di codice Javascript nel browser sia tramite pop-up fake che aprono nuove schede o finestre. eGobbler usa anche un codice javascript il cui scopo è evitare di finire intrappolati in qualche sandbox.

2. ritorna il trojan Flashback
Quasi in contemporanea con la campagna sopra descritta, è tornato in circolazione un trojan comparso nel 2011 e che ha colpito oltre 500.000 Mac. Parliamo di un trojan che usa moltissime tecniche di offuscamento sia per evitare il rilevamento all’ingresso nel sistema sia quando è già in esecuzione: l’intera struttura del trojan infatti è criptata con l’algoritmo di cifratura RC4, usando addirittura l’identificativo del dispositivo. Viene diffuso, solitamente, come aggiornamento per Adobe Flash o come applet Java.

Flashback ha varie funzioni: anzitutto quella di backdoor, così da garantire agli attaccanti un accesso continuato sul sistema. Oltre a ciò ruba i dati relativi alla macchina, all’utente e altre informazioni sensibili, quindi le comunica al proprio server di comando e controllo via Twitter.

Quick Heal Antivirus per Mac
senza dilungarci molto, questi sono solo due esempi, piuttosto recenti, di campagne di attacco che hanno preso di mira il primo gli iPhone, il secondo SO Mac. Il numero dei dispositivi colpiti è molto indicativo rispetto alla relativa facilità col quale questi due attacchi riescono a penetrare nei sistemi di Apple. Consigliamo quindi di non sottovalutare il problema e di installare una solida soluzione antivirus sui vostri dispositivi.

1[1]

“Il tuo computer è stato bloccato. Chiama per supporto”: la Polizia Postale dirama alert su una nuova ondata di truffe online

La Polizia Postale ha pubblicato pochi giorni fa un avviso per gli utenti italiani, per informare di una nuova ondata di truffe finalizzata all’estorsione di denaro alle vittime.

Sono state infatti molteplici le segnalazioni di utenti che, durante la navigazione su siti web anche legittimi, hanno improvvisamente visualizzato un messaggio di allarme proveniente, in apparenza, da Microsoft:
Il testo esteso è il seguente:
“Security warning: Il tuo computer è stato bloccato. Errore #DW6VB36. Per favore chiamaci immediatamente al numero +39 0694804XXX. Non ignorare questo avviso critico.
Se chiudi questa pagina, l’accesso del tuo computer sarà disattivato per impedire ulteriori danni alla nostra rete. Il tuo computer ci ha avvisato di essere stato infestato con virus e spyware. Sono state rubate le seguenti informazioni: Accesso Facebook, Dettagli carta di credito, Accesso account e-mail, Foto conservate su questo computer”.

Il tentativo di truffa, va detto, è piuttosto banale: anche chi ha un’esperienza minima può comprendere che si tratti di un falso messaggio o, quantomeno, un messaggio sospetto che tenta di indurre con una certa urgenza a contattare un numero telefonico fisso italiano.

I truffatori cercheranno di estorcere denaro alla vittima in cambio di “supporto” per aiutarla a risolvere il problema: gli importi ruotano attorno alla cifra di 100 euro.

Questo tipo di truffa non è affatto nuovo, anzi, quella denunciata in questi giorni dalla Polizia Postale altro non è che una versione ulteriormente migliorata di una tipologia specifica di truffa, tecnicamente chiamata TSS, technical support scam e diffusa in tutto il mondo.

Qualche info tecnica
Tecnicamente parlando, come funziona questa truffa? Il blocco dello schermo, per cominciare, avviene tramite l’esecuzione di codice JavaScript in browser, il quale spesso usa anche iframe che garantiscano il caricamento in loop dell’avviso fake. Il Novembre 2018 è stato un anno di svolta per questo tipo di truffa: in quel periodo comparirono le prime truffe che sfruttavano varie tecniche di offuscamento e l’algoritmo di criptazione AES per rendere più difficilmente riconoscibile il codice dannoso.

Che cosa fare?
La Polizia Postale invita ovviamente a ignorare l’alert, a non contattare il numero fisso contenuto nel messaggio e, meno che mai, pagare.

L’alert è risolvibile/aggirabile, in teoria, in almeno due modi:
premere la combinazione di tasti CTRL+MAIUSC+ESC per aprire la finestra di Gestione Attività quindi, tramite questa, selezionare i processi usati dal browser in uso e terminarli con clic su Termina attività.
aprire una finestra del prompt dei comandi (Windows+R, cmd) quindi digitare quanto segue in base al browser in uso:

taskkill /im chrome.exe /f
taskkill /im firefox.exe /f
taskkill /im opera.exe /f

Nel caso in cui il browser sia impostato in maniera tale da riaprire le schede di lavoro aperte nella sessione precedente, può succedere che il codice dannoso venga ricaricato assieme al ripristino delle pagine. Per evitare questo problema:

– per Chrome -> evitare di cliccare sul pulsante che permette il ripristino della precedente sessione di lavoro;
– per Firefox–> tenere premuto il tasto MAIUSC mentre si clicca sull’icona del browser per il riavvio. Dovrebbe quindi essere sufficiente il clic su “Avvia in modalità provvisoria” per impedire a Firefox di ricaricare le ultime pagine web visualizzate.

Altrimenti, un pò più complesso ma comunque valido, si potrà fare clic su Windows+R, digitare %appdata%\Mozilla\Firefox\Profiles, andare nella cartella del proprio profilo utente e cancellando la cartella sessionstore-backups e il file, in essa contenuto, rinominato sessionstore.json.

1[1]

Libero e Virgilio Mail hacked: rubati (da un bar) gli accessi di oltre 1.4 milioni di utenti

E’ stato sufficiente appostarsi in un bar di Assago (provincia di Milano) a poche decine di metri in linea d’aria dalla sede di Italiaonline S.p.a con un pc e un antenna per riuscire a rubare le credenziali di accesso ad oltre 1 milione e 400 mila utenti di Libero Mail e Virgilio Mail. La storia, già rimbalzata sulle cronache nazionali, ha dell’incredibile: protagonista uno studente di Giurisprudenza di 24 anni, ingaggiato su Telegram da ignoti attaccanti che gli hanno garantito un buon gruzzolo in Bitcoin come ricompensa.

L’attacco pare essersi svolto in due diversi momenti: un primo tentativo era stato fermato la scorsa settimana, quando i proprietari del bar in cui si era appostato l’attaccante avevano trovato insolito l’armamentario del ragazzo (montava sul pc una grossa antenna per captare da lontano il WiFi di Italiaonline) e lo avevano inseguito, riuscendo però a scattargli solo una foto. Il secondo tentativo invece è stato interrotto direttamente dai Carabinieri, che lo attendevano appostati nel bar.

In ogni caso, l’attacco ha avuto successo: le indagini hanno mostrato come lo studente sia riuscito ad accedere alla rete WiFi di Italiaonline grazie alla password di un dipendente (non è chiaro al momento se il dipendente sia complice o meno) e ad inviare comunque in tempo le credenziali sottratte. Un numero impressionante (1.400.000 di account violati), ma se l’attaccante avesse avuto più tempo, il data breach poteva essere ben più grave: Italiaonlie spa è infatti il gruppo digitale tutto italiano che comprende Virgilio, Libero, Supereva e, dal 2016, anche SEAT Pagine Gialle (quindi anche Pagine Bianche e Tuttocittà). Un vero e proprio nugolo di dati.

L’attacco quindi ha avuto successo, anche se non si è completato, ma i sistemi anti intrusione di Italiaonline hanno lanciato immediatamente l’allarme: gli utenti di Libero Mail e Virgilio Mail sono stati avvisati quasi in tempo reale e invitati a modificare immediatamente le password dei propri account. Ancora non risultano segnalazioni di utenti incorsi in accessi indesiderati alla propria posta, ma va anche detto che il tempo trascorso dall’attacco è ancora troppo poco perché le credenziali appena sottratte possano già essere in uso in maniera massiccia.

Gli utenti che hanno subito il furto di credenziali, però, non rischiano soltanto accessi indesiderati alla propria email e il furto di altri dati collegati al proprio account (nome e cognome, data di nascita, documenti di identità ecc…): sono purtroppo ancora tantissimi gli utenti che hanno la (pessima) abitudine di usare le stesse credenziali per più account e servizi: se questa tecnica sicuramente viene incontro alla necessità di ricordare meno password possibili nonostante il moltiplicarsi degli account che ognuno di noi ha intestati, l’altro rischio è che rubando le credenziali di un account gli attaccanti possano accedere su molteplici account.

Il consiglio per gli utenti di Virgilio e Libero Mail è di cambiare prima possibile la password di accesso al proprio account email e a tutti gli altri account con le stesse credenziali.

Il ragazzo, denunciato per “accesso abusivo a sistema informatico”, rischia da 1 a 5 anni: nel frattempo il Garante per la Privacy italiano, ricevuto avvisto del data breach, sta procedendo ad ispezione della sede di Italianonline, come previsto dal GDPR.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy