smartphone-malware

Secondo Websense questa utilità potrebbe essere sfruttata anche dai cyber-criminali. Ad esempio, con Twitter è possibile inviare messaggi con abbreviazioni degli indirizzi URL indicati. Fenomeno comodo, ma molto rischioso per gli utenti, dal momento che malintenzionati potrebbero sfruttare questi accorgimenti per immettere gli utenti su pagine “trappola” L’URL di destinazione viene infatti “mascherato” e l’utente non è più in grado di capire dove andrà la propria navigazione.

Websense ammonisce anche in tema di “botnet” che, con ogni probabilità, nel 2010 conosceranno un nuovo periodo di boom. Le botnet, come noto, sono veri e propri eserciti virtuali di computer di ignari utenti, anche a diverse centinaia di migliaia di km fra loro, che vengono posti sotto il controllo di un unico “proprietario” grazie all’installazione al loro interno di particolari programmi maligni. Le botnet hanno un enorme potenziale criminale perché possono essere utilizzate per attaccare con tecniche DDoS portali finanziari bloccandone l’accesso grazie alle molteplici contemporanee richieste di ingresso. Le previsioni prevedono in futuro lotte tra bande criminali per disattivare i rispettivi eserciti.

L’anno prossimo venturo, ammoniscono da Websense, vedrà in gran quantità attacchi nei confronti di Windows 7 e di Internet Explorer 8 con un unico principale obiettivo: la disattivare il sistema UAC (User Access Control) per consentire all’estraneo criminale di eseguire il relativo codice dannoso sul sistema dell’utente.

Nuove minacce, inoltre, si prevedono in materia di “Blackhat SEO” ovvero di attacchi finalizzati ad indurre i motori di ricerca ad indicizzare pagine Internet mettendo in evidenza quelle contenenti malware o legate ad attività di phishing tra i primi risultati nelle SERP.

Ulteriori  informazioni: il Software.it

Fonte: Anti-Phishing Italia – www.anti-phishing.it

pdf_cut

Il dato più significativo (da tenere senz’altro a mente quando ci verranno propinati studi di segno opposto) è che i codici maligni utilizzati per sottrarre informazioni personali sarebbero in netto aumento, così come, link a pagine web pericolose e documenti in PDF contenenti software pericolosi per la privacy degli interessati Nell’ultimo anno, questo è il dato maggiormente significati, vi sarebbe stato un aumento del 508% nel numero di siti potenzialmente pericolosi collegati e resi accessibile in rete tramite collegamenti ipertestuali (link) ingannevoli. Collegamenti di tale natura sono stati riscontrati all’interno di siti innocui, come blog, portali informativi ed altro.

L’altro dato allarmante riguarda il fatto che sarebbero quasi raddoppiati i documenti in PDF con cui vengono camuffati contenuti pericolosi. Tale tipologia di attacco si rivela particolarmente molesta, tenuto conto che il PDF è il formato con cui solitamente viaggiano i contenuti prettamente testuali, come e-book o riviste, o documenti cartacei digitalizzati. Per questo l’attenzione degli utenti verso un file .pdf pervenuto in allegato ad un messaggio di posta elettronica, rispetto ad un allegato .exe (con cui usualmente vengono trasmessi i software propriamente detti), tende ad essere minore.

A quanto pare, invece, occorre prestare massima attenzione anche a questi, visto che, come ricorda lo studio della IBM, si tratta del formato con cui malintenzionati spesso, sempre più spesso, fanno circolare i loro software spioni.

Il commento rilasciato dal direttore di IBM X-Force, Kris Lamb, non è certo dei più lusinghieri: “i trend che abbiamo rilevato” si può leggere in una sua dichiarazione ripresa dal quotidiano Repubblica “sembrano rivelare una fondamentale debolezza della sicurezza nell’ecosistema web, in cui l’interoperabilità tra browser, plugin, contenuti e applicazioni aumenta enormemente la complessità e il rischio”.

Ed ancora “il web sembra sempre più simile ad una riproduzione digitale del Far West, dove non c’è nessuno di cui fidarsi pienamente, una sorta di tempesta perfetta digitale sotto cui nascondere le attività criminali. Nessun sito è completamente sicuro, nessun utente è completamente al riparo dalle minacce”.

Fonte: Anti-Phishing Italia – www.anti-phishing.it

]]> http://www.anti-phishing.it/sicurezza-informatica/2009/09/07/1386/feed 7 http://www.anti-phishing.it/truffe-on-line/2009/07/20/1309 http://www.anti-phishing.it/truffe-on-line/2009/07/20/1309#comments Mon, 20 Jul 2009 21:09:50 +0000 Luca http://www.anti-phishing.it/?p=1309

password

Analoga frode, segnalano i cronisti locali, sarebbero state riscontrate anche nelle Marche. Può essere un segno dei tempi? Il Phishing potrebbe essersi spostato dagli utenti alle aziende o direttamente ai bancari? Ancora presto per tirare le somme, ma un primo dato è possibile e doveroso registrarlo.

Secondo l’articolo della versione on line del Resto del Carlino, storico quotidiano bolognese leggibile in edicola con il Quotidiano Nazionale ma ancora disponibile sul web, la Polizia Postale di Bologna avrebbe denunciato quattro italiani – tra cui due bolognesi- per la frode informatica ad una azienda emiliana a sono stati rubati sottratti, per via telematica, circa 40.000 euro.

Secondo gli inquirenti, come detto, i soldi carpiti sarebbero stati destinati a bande criminali russe, autrici ed ideatrici del raggiro.

L’inchiesta, coordinata dal pubblico ministero Flavio Lazzarini, mette a nudo la piaga delle frodi informatiche alle imprese perpetrate con l’utilizzo di forme evolute di “phishing” eseguito non più mediante email, ma tramite “trojan banking”, subdolamente installati nei computer aziendali.

Principali bersagli dei raggiri sarebbero le piattaforme ed i server utilizzati per l’home banking che consentono l’accesso contemporaneo a più conti correnti di diversi istituti di credito con la medesima password e userid.

Nei giorni scorsi gli agenti della Polizia Postale di Bologna avevano sventato una analoga frode in danno di una azienda marchigiana che aveva subito un illecito ammanco di oltre 4.000 euro.

Pare che ora, anche in seguito a questi recenti episodi di cronaca, si legge nell’articolo del Carlino, d’intesa con la stessa Polizia delle Comunicazioni, le banche sarebbero in procinto di predisporre nuove forme di tutela.

Fonte: Anti-Phishing Italia – www.anti-phishing.it

Immagina tratta da Pc1news.com

eyes_2

In definitiva, un computer su tre viene controllato dai malfattori all’insaputa dei legittimi proprietari.

Cresce la banda (larga) crescono le bande (criminali)

Secondo i recenti studi della Symantec, nel 2008, sarebbero stati riscontrati nel mondo oltre 1,6 milioni di nuove minacce: Le insidie informatiche rilevate nell’anno appena scorso, corrispondono al 60% circa dei 2,6 milioni di codici pericolosi rilevati dalla stessa società negli ultimi 27 anni. Non c’è che dire, davvero un exploit decisamente (e tristemente) significativo.

Dall’indagine emerge ccome gli Stati Uniti siano ancora il luogo d’origine di molte attività informatiche malevole, cui si affiancano ora Paesi prima poco significativi come: il Brasile (quinto nella graduatoria 2008 dall’ottavo posto nel 2007), la Turchia (nona nel 2008 e quindicesima nel 2007) e la Polonia (decima, salita dal dodicesimo posto del 2007) che hanno visto incrementare le attività malevole in proporzione alla diffusione della banda larga.

Ad ogni modo, sei dei primi dieci paesi generatori di minacce telematiche appartengono all’area Europa-Medio Oriente-Africa, per un totale del 45%.

Anche nel 2008, come già rilevato per il 2007, le attività dei cybercrminali hanno visto il Web come principale bersaglio delle loro effrazioni anche grazie alla crescente sofisticazione e proliferazione delle infrastrutture, nonchè per via del loro crescente uso in molteplici attività.

Di tutte le vulnerabilità identificate nel 2008, il 63% riguardava le applicazioni Web, in salita rispetto al 59% del 2007. Sono diverse le tecniche che gli hacker sfruttano per violare i siti Web: dall’utilizzo di un’applicazione Web vulnerabile che gira su un server, all’attacco sferrato attraverso campi d’input non debitamente messi in sicurezza, fino allo sfruttamento di vulnerabilità presenti nel sistema operativo sottostante.

Dunque, nel 2008 sono state identificate 12.885 vulnerabilità e il 63% di quelle documentate da Symantec ha avuto conseguenze negative sulle applicazioni Web.

Ma perchè sono importanti le vulnerabilità dei sistemi operativi e dei programmi informatici?

Perchè attraverso lo sfruttamento di tali vulnerabilità, i cybercriminali possono, ad esempio, modificare le pagine consultate dagli utenti che visitano un determinato sito dirigendo i contenuti pericolosi direttamente dal sito piuttosto che nascondendoli all’interno di frame pericolosi, che provvedono al re-indirizzamento del browser dell’utente verso un altro server Web controllato dagli attaccanti.

Così facendo, la compromissione di un unico sito Web può causare attacchi rivolti a tutti i visitatori di quel sito.

Occhio al portafogli
Dagli studi forniti è emerso come il vero obiettivo degli attacchi sia sempre più il tentativo di conseguire illeciti guadagni economici.

Nel 2008, il 78% delle minacce indirizzate al furto d’informazioni riservate si è concretizzato nella sottrazione di dati relativi agli utenti, contro il 74% del 2007.
Il 76% dei tentativi di phishing, inoltre, ha avuto quale bersaglio società operanti nel settore dei servizi finanziari, il quale è stato il più esposto alle violazioni delle identità proprio per i furti di dati.

Il settore finanziario è, infatti, stato quello in cui si è registrato il maggior numero d’identità violate nel 2008, con il 29% del totale, in notevole ascesa rispetto al 10% del 2007.

Durante l’arco temporale in esame, il maggior volume di tutti i siti Web di phishing ha riguardato aziende e marchi appartenenti al settore dei servizi finanziari con il 76% del totale; un valore in aumento rispetto al 52% del 2007.

Per quanto riguarda lo spam: è stato registrato un aumento del 192% di questo fenomeno nel Web; nel 2008 il 25% di tutto lo spam rilevato da Symantec proveniva dagli Stati Uniti, il che rappresenta un calo importante rispetto al 45% del 2007, anno in cui gli Stati Uniti erano stati il primo paese d’origine.

Sempre più specializzati
Uno dei risultati più rilevanti evidenziati da Symantec è dato dalla crescente professionalizzazione in atto all’interno dell’economia sommersa, ovvero la presenza di gruppi coordinati specializzati (e in alcuni casi in concorrenza fra loro), impegnati nella produzione e distribuzione di codice custom, kit di phishing e simili, portando a un aumento sensibile della generale proliferazione di codice pericoloso.

Le organizzazioni criminali specializzate nella distribuzione di codici malevoli e nella gestione di siti Web malevoli hanno conseguito un tale successo, da essere accreditate di quasi la metà degli attacchi phishing verificatisi in tutto il mondo nel 2008. L’economia sommersa ha visto la nascita di vere e proprie pseudo-aziende specializzate nello sviluppo su larga scala di codice pericoloso, strutturate in maniera simile alle società produttrici di software legittimo. Tale economia, inoltre, è quanto mai prospera: lo dimostra che, mentre nel mercato legittimo i prezzi sono in calo, in quella sommersa essi sono rimasti costanti tra il 2007 e il 2008.

Fonte: Anti-Phishing Italia – www.anti-phishing.it

Immagine tratta da Tomshardware.com

Una nuova minaccia potrebbe colpire gli utenti del web italiani. E’ stata appena rilevata (ore 1.34) un e-mail dall’eloquente titolo “BERLUSCONI SORPRESO A LETTO CON UNA SUA ESCORT DA UN GIORNALISTA” che invita l’utente a visionare un video nel quale il presidente del consiglio è in piacevole compagnia di una escort. Si tratta in realtà di una trappola per la diffusione del worm Kolab.

L’utente cliccando nell’apposito link presente nell’e-mail è condotto in una falsa versione di Youtube (youtorube.com), dove il video promesso è momentaneamente non visibile in quanto necessita da parte dell’utente del download di un apposito codec wmpcodec.exe ossia il malware. Il quale è rilevato, secondo Virustotal.com, da un numero troppo basso di software anti-virus.

L’e-mail utilizzata:

berlusconi_escort_250609_01

La falsa versione di Youtube:

youtorubecom_250609_01

Fonte: Anti-Phishing Italia – www.anti-phishing.it

cybercrime-attack

Di solito vengono creati dei link che rimandano a file infetti in forum piuttosto che su siti di social network. La maggior parte di questi offre tool completamente gratuiti. Attraverso questo sistema i criminali riescono a by-passare i filtri basati sul concetto di “reputazione” che inseriscono i website in “white” o “black” list. I servizi di file hosting non rientrano nelle black list e quindi non vengono bloccati. Il ventaglio di malware diffuso attraverso questo sistema è decisamente vario: ci sono backdoor, sniffer, downloader come pure diverse tipologie di Trojan e worm.

Ralf Benzmueller, Manager of G Data Security Labs: “Non è solo Rapidhsare che è stato infettato. Anche molti altri servizi di file hosting come mediafire,com, uploaded.to e uploading.com vengono utilizzati per diffondere malware. Spesso questi file vengono pubblicizzati come l’ultima versione di un software piuttosto che come i tool più aggiornati o software “craccato”.

Il rischio è elevatissimo. Di solito gli utenti Internet non dovrebbero essere ingannati da un falso senso di sicurezza, perfino quando la fonte è un rinomato servizio di file hosting.”

I motivi essenziali per distribuire malware attraverso servizi di file hosting deve essere analizzato da un duplice punto di vista, tecnico ed economico:

1. L’upload di codici dannosi è per la maggior parte anonimo e i siti che offrono questo servizio offrono grande spazio e capacità online. Inoltre questi siti sono un modo semplice ed efficiente per distribuire malware.

2. Questo sistema permette di evitare il controllo operato dai filtri URL che si basano sulla gestione di “white” e “black” list e quindi sulla reputazione stessa dei siti web. Vista la loro enorme popolarità questi siti di file hosting non sono inseriti in black list.

Fonte: Anti-Phishing Italia – www.anti-phishing.it

]]> http://www.anti-phishing.it/sicurezza-informatica/2009/06/13/1116/feed 1 http://www.anti-phishing.it/sicurezza-informatica/2009/06/12/1111 http://www.anti-phishing.it/sicurezza-informatica/2009/06/12/1111#comments Fri, 12 Jun 2009 22:12:45 +0000 Giancarlo http://www.anti-phishing.it/?p=1111

La sciagura dell’Airbus 447 della compagnia di bandiera francese Air France è utilizzata in una campagna di spamming realizzata appositamente per diffondere un malware in grado di rubare dati sensibili nei pc colpiti. A lanciare l’allarme è il Websense Security Labs il quale ha rilevato la diffusione di un e-mail in lingua portoghese nella quale si invita l’ignaro utente a visione il primo video del disastro.

Il link al video in realtà lancia file Video_AirFrance_447.com, che se eseguito avvia il download del malware, camuffato agli occhi dell’utente da immagine ([removed].org/imgs/like2.jpg). Una volta in funzione il codice maligno installa un componente BHO ruba dati che prova a passare inosservato mascherato da McAfee SiteAdvisor. Al momento il malware secondo un analisi di Virus Total.com è riconosciuto da un numero troppo basso di anti-virus.

air_france_plane_crash_spam

Immagine tratta da Websense Security Labs

Ulteriori informazioni:  Air France Plane Crash Spam – Websense

Fonte: Anti-Phishing Italia – www.anti-phishing.it

iphone_youtube

I laboratori di Panda Security segnalano l’ennesimo esempio di come i cyber criminali stiano colpendo i più popolari siti Web 2.0 per diffondere il malware. In precedenza, abbiamo assistito ad attacchi di portata minore su Digg.com e Facebook. Oggi, sono stati rilevati quasi 5.000 video su YouTube con commenti contenenti link che conducono a pagine sviluppate per scaricare malware.

Questi post sono solitamente a sfondo erotico ed il link sembra collegare ad una pagina web legale con contenuti pornografici.

3548358349_334035eab4_o

Questo malware, quando eseguito sul computer, simula un’analisi del sistema, fingendo di rilevare decine di virus, in realtà inesistenti. In seguito, offre la possibilità di acquistare il falso antivirus a pagamento per eliminarli. L’ultimo scopo dei cyber criminali è quello di guadagnare denaro attraverso la vendita di questa versione “Premium”.

Luis Corrons, direttore tecnico dei laboratori di Panda Security afferma “la tecnica di utilizzare commenti pericolosi su YouTube non è nuova. Ciò che preoccupa è la quantità di link rilevati che conducono alla stessa pagina web. Questo significa che i cyber criminali stanno sfruttando strumenti automatici per pubblicare questi commenti.”

3548362019_be3453df9c

Tutte le immagini sono disponibili su http://www.flickr.com/photos/panda_security/tags/privacycenter/

Ulteriori informazioni: Panda Software Italia

Fonte: Anti-Phishing Italia – www.anti-phishing.it

conficker

Il software “worm” si era segnalato per la prima volta verso la fine del 2008, creando un contagio su milioni di computer e facendo parlare di vera e propria bot-net, cioè una rete di computer robot alla mercè degli autori (ancora sconosciuti) del codice maligno. Secondo Vincent Weafer, vice presidente di Symantec Security Response, il settore di ricerca del più grande produttore mondiale di antivirus, Symantec Corp. “Aspettatevi che questo dia un cambiamento a lungo termine, lento”, spiega Weafer parlando di Conficker.

“Non diventerà rapido, aggressivo”. Conficker installa un secondo virus, Waledac, che invia massicce dosi di spam all’insaputa dei proprietari dei pc, ed invia, inoltre anche un falso programma anti-spyware, a detta del tecnico. Il virus Waledac, a sua volta, assolverebbe altri pc in una seconda “botnet” che esiste da anni e li specializza nella distribuzione di spam. “Si tratta probabilmente di una delle più sofisticate botnet del pianeta. Quelli che hanno organizzato la cosa sono dei veri professionisti. Sanno assolutamente quel che stanno facendo”, dice Paul Ferguson, ricercatore senior presso Trend Micro Inc, terza società mondiale di antivirus.

Secondo Ferguson, i criminali che hanno ideato Conficker con ogni probabilità avranno installato un diffusore di spam e altri software maligni su decine di migliaia di computer a partire da 7 aprile scorso.
Ma l’attività del worm non sarebbe illimitata, anzi, secondo il ricercatore il codice smetterà di distribuire il software sui pc contagiati il 3 maggio, tuttavia potranno registrarsi altri attacchi. I virus che trasformano i computer in robot pronti a rispondere ai loro ordini sfrutterebbero una falla del sistema operativo Windows di Microsoft.

La pericolosità de Conficker è particolarmente avvertita dalle aziende, perchè è stato riscontrato come sia in grado di eludere i firewall aziendali passando attraverso le chiavette Usb che si usano per trasportare dati da un pc all’altro.

Fonte: Anti-Phishing Italia – www.anti-phishing.it

money-phone

Del quale al momento si ignorano le reali capacità dato che la stessa Sophos, alla quale il comune si è rivolta per informare dell’accaduto ed arginare il problema, non ha ancora fornito dettagli sulla natura del malware.

Intanto l’amministrazione municipale cerca di informare i propri cittadini con il seguente messaggio:

The user received an SMS message to say that his bank account details had been posted on the Internet and gave him a URL to go to. He attempted to access the site using a library PC but failed and queried the librarian about the security on the PC who raised a support call with us. [...]

The obfuscated script inserts an iframe which attempts to download malware which Sophos blocks. I haven’t seen details of a scam like this before and have looked for a site on which to report it without success. I’m assuming you’ll know what to do with it..

pid1

Ulteriori informazioni: SMS message saying bank details on the internet are malicious – SophosLabs Blog

Fonte: Anti-Phishing Italia – www.anti-phishing.it

]]> http://www.anti-phishing.it/truffe-on-line/2009/03/26/676/feed 0