Data Dollar: una moneta che si basa sul valore dei dati personali diventa un nuovo metodo di pagamento

Kaspersky Lab, ha creato un pop-up shop in cui i dati personali o meglio, i Data Dollar, sono l’unica moneta utilizzabile. L’obiettivo è dimostrare che i dati hanno un valore economico che può essere utilizzato per gli acquisti nei negozi del futuro.

Il Data Dollar Store è stato creato e allestito da Kaspersky Lab in Old Street a Londra, nel cuore della capitale della tecnologia. I clienti si sono messi in coda molto presto per aggiudicarsi le stampe esclusive del noto street artist Ben Eine, ma sono rimasti molto sorpresi di fronte al modo con cui avrebbero dovuto pagare le opere d’arte, veniva in effetti chiesto a loro di rinunciare alle proprie fotografie personali o ai video e utilizzarli come metodo di pagamento per gli acquisti. Dopo la sorpresa iniziale hanno però acconsentito favorendo l’aumento della valuta Data Dollar. Il Data Dollar Store, è stato ideato per far crescere negli utenti la consapevolezza del valore effettivo dei dati personali e attirare altri player di mercato ad unirsi a questa attività utilizzando il simbolo del Data Dollar. Per l’occasione è stato realizzato un video.

Tenuto conto che la quantità di dati personali continua a crescere in modo esponenziale, possiamo dire che le persone, in modo del tutto inconsapevole, portano con sè ogni giorno una vera e propria miniera d'oro fatta di 
monete preziose che non subiscono l’influenza dei tassi di cambio o della posizione geografica. 
Secondo Kaspersky Lab, la mancanza di consapevolezza rispetto al valore effettivo dei propri dati personali è 
un ostacolo enorme che impedisce alle persone di compredere quanto sia necessario proteggere i propri dati.
La speranza è che attraverso i Data Dollar questa consapevolezza possa aumentare e rendere quindi più sicura
 l'esperienza online di tutti.

“Per noi il Data Dollar è principalmente un mezzo per sensibilizzare gli utenti sul valore dei dati”, afferma Morten Lehn, General Manager Italy di Kaspersky Lab. “Quindi, se un sito web offre dei servizi gratuitamente, ma chiede in cambio i dati personali dei clienti per monetizzare il proprio servizio, dovrebbe utilizzare il simbolo del Data Dollar per dimostrare che si sta verificando una forma di scambio”, continua Lehn.

[amazon_link asins=’8811682479,074947985X,8838662916,B06XWN7VCQ,B01J0RYDPQ’ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’06828932-ad7b-11e7-9229-d34717296eb0′]

Kaspersky Lab ha dimostrato che fare acquisti in un pop-up store temporaneo di Londra utilizzando i dati come
valuta può funzionare. Il negozio che è stato aperto per due giorni ha attirato diversi clienti che volevano 
aggiudicarsi ad ogni costo le stampe esclusive e le opere d'arte di Ben Eine, il noto street artist. 
I clienti erano convinti che avrebbero fatto una normalissima esperienza di shopping e che quindi dopo aver 
osservato i prodotti e scelto quelli da acquistare sarebbero andati alla cassa  per pagarli con del denaro. 
Quello che è accaduto invece è che al momento del pagamento ai clienti è stato chiesto di pagare in Data 
Dollars, la nuova valuta creata da Kaspersky Lab e che consiste nei dati personali dei clienti contenuti 
all’interno del loro smartphone: immagini, video o testi.

Morten Lehn ha aggiunto: “È facile dimenticarsi della quantità enorme di dati che condividiamo quotidianamente. La sensazione di perdita che si prova quando i dati personali vengono sottratti contro la nostra volontà, diventa molto più realistica quando qualcuno prende il nostro smartphone e davanti ai nostri occhi, scorre tutti i nostri dati decidendo quali prendere. L’effetto di questa esperienza di acquisto, che abbiamo potuto esplorare grazie al Data Dollar Store, è stata per noi molto interessante. Secondo un sondaggio globale, anche se il 29% delle persone in tutto il mondo è stato vittima di un attacco informatico, il 39% non protegge i propri dispositivi dagli attacchi.

Le persone dovrebbero dare ai propri dati lo stesso valore che danno al denaro. Visto che i dati personali hanno valore e possono essere utilizzati come mezzo di scambio o per fare acquisti è importante proteggerli facendo di tutto per evitare che vengano rubati o persi”.

27 Settembre 201727 Settembre 2017

Kaspersky Lab – come agiscono i gruppi criminali per realizzare attacchi complessi a basso costo

Economici ma pericolosi: come agiscono i gruppi criminali per realizzare attacchi complessi a basso costo

I ricercatori di Kaspersky Lab hanno rilevato una nuova e importante tendenza per quel che riguarda il modus operandi dei gruppi criminali più sofisticati. Questi gruppi criminali utilizzano sempre meno tecniche di attacco sofisticate e costose come le vulnerabilità zero day, per avvalersi piuttosto di campagne di ingegneria sociale estremamente mirate che vengono combinate con tecniche malevole conosciute ed efficaci. Così facendo, sono in grado di sfruttare campagne dannose difficili da individuare utilizzando le ordinarie soluzioni di sicurezza aziendali.

Questo cambiamento di strategia dei gruppi criminali dimostra che, in generale, le infrastrutture IT delle organizzazioni moderne hanno delle vulnerabilità che consentono ai criminali di utilizzare strumenti di attacco relativamente poco costosi per raggiungere i loro obiettivi. Microcin è una campagna dannosa recentemente rilevata dagli specialisti di Kaspersky Lab, che rappresenta quello che viene definito un attacco economico ma pericoloso.

Tutto ha avuto inizio quando la Kaspersky Anti Targeted Attack Platform (KATA) ha rilevato un file RTF sospetto. Il file includeva un exploit (malware che sfrutta le vulnerabilità di sicurezza dei software più utilizzati per installare componenti dannosi aggiuntivi) di una vulnerabilità nota e già risolta di Microsoft Office. Non è raro che i criminali informatici utilizzino exploit di vulnerabilità note per infettare le vittime con malware distribuiti in maniera massiccia, ma come dimostra una ricerca più approfondita, questo particolare file RTF non appartiene ad un’altra grande ondata di infezioni, ma ad una più sofisticata campagna mirata.

[amazon_link asins=’1593272901,B071GHHDS2,1118825098,B0170LWL08′ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’ca5303ef-a362-11e7-be31-69b21152f77e’]

Il documento di spear-phishing sospetto è stato distribuito attraverso alcuni siti rivolti ad un gruppo specifico di persone: forum in cui venivano discusse questioni legate all’ottenimento di alloggi sovvenzionati. Si tratta di un’esenzione disponibile principalmente per i dipendenti delle organizzazioni governative e militari di Russia e di altri Paesi limitrofi.

Quando viene attivato l’exploit, un malware con una struttura modulare viene installato sul computer preso di mira. L’installazione del modulo viene eseguita tramite un’iniezione dannosa all’interno di iexplorer.exe; e l’esecuzione automatica di questo modulo viene completata tramite il dll-hijacking. Entrambe sono tecniche note che vengono utilizzate ampiamente.

Infine, quando il modulo principale è stato installato, alcuni moduli aggiuntivi vengono scaricati dal server di comando e controllo. Almeno uno di essi utilizza la steganografia – la pratica di nascondere informazioni all’interno di file apparentemente non dannosi, come ad esempio le immagini e questa rappresenta un’altra tecnica pericolosa per trasferire dati rubati.

Una volta che l’intera piattaforma maligna è stata implementata, il malware cerca i file con estensioni .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt e .rtf., che vengono quindi inseriti in un archivio protetto da password e trasferito ai criminali. I criminali, durante l’attacco, oltre ad utilizzare infezioni note e tecniche di movimento laterale utilizzano in modo attivo backdoor note che sono già state rilevate in attacchi precedenti e impiegano strumenti legittimi creati per effettuare test di penetrazione e che generalmente non sono riconosciuti come malevoli dalle soluzioni di sicurezza.

“Se analizziamo l’attacco suddividendolo in singole parti può addirittura dare l’impressione di essere poco pericoloso. Quasi ogni componente, infatti, è stato ben documentato ed è facile da individuare. Tuttavia, vengono combinati tra loro in modo tale che l’attacco diventi difficile da rilevare. Inoltre, questa campagna dannosa non è unica nel suo genere. Sembra che anche alcuni criminali di cyber spionaggio abbiano spostato l’attenzione dalla creazione di strumenti dannosi difficili da individuare, alla pianificazione e realizzazione di operazioni sofisticate che non comportano l’utilizzo di malware complessi ma che sono ugualmente pericolosi“, ha dichiarato Alexey Shulmin, analista di malware di Kaspersky Lab.

Per proteggere l’infrastruttura IT da attacchi come Microcin, gli esperti di Kaspersky Lab consigliano alle organizzazioni di utilizzare strumenti di sicurezza che consentano di individuare operazioni dannose piuttosto che software dannosi.

Soluzioni così complesse, come Kaspersky Anti-Targeted Attack Platform, comprendono non solo le tecnologie di protezione degli endpoint, ma anche tecnologie che consentono di monitorare e correlare i singoli eventi rilevati all’interno delle diverse parti della rete aziendale, identificando così i modelli maligni presenti negli attacchi mirati sofisticati.

I prodotti Kaspersky Lab rilevano e bloccano con successo Microcin e le altre campagne simili.

I dettagli della campagna di Microcin si trovano sul blog Securelist, che include anche ulteriori informazioni tecniche sull’attacco

4 Settembre 20174 Settembre 2017

Akamai pubblica il Rapporto sulla Sicurezza Q2 2017

Il report evidenzia la ricomparsa del malware PBot, l’impiego di algoritmi di generazione dei domini e il rapporto tra infrastruttura command and control di MIRAI e obiettivi di attacco. Sono inoltre contenuti dati salienti sulle statistiche relative agli attacchi DDoS e alle applicazioni web

Per scaricare il Rapporto sullo stato di Internet Q2 2017 / Security: http://akamai.me/2i9vrdz

Per scaricare i singoli grafici e diagrammi con le relative didascalie: http://akamai.me/2w6mI1v

Secondo quanto emerge dal Rapporto sullo stato di Internet Q2 2017 / Security rilasciato da Akamai Technologies, Inc. (NASDAQ: AKAM) sono nuovamente in crescita gli attacchi DDoS (Distributed Denial of Service) e alle applicazioni web. Un importante contributo a questa nuova ondata di attacchi è dato dalla ricomparsa del malware DDoS PBot, utilizzato per lanciare gli attacchi DDoS più imponenti registrati da Akamai nel corso di questo trimestre.

Nel caso del malware PBot, utenti malintenzionati hanno utilizzato codice PHP che risale ad alcuni decenni fa per generare l’attacco DDoS più ampio osservato da Akamai nel secondo trimestre. Gli autori degli attacchi sono riusciti a creare una mini botnet DDoS in grado di lanciare un attacco DDoS da 75 gigabit al secondo (Gbps). È interessante notare che la botnet PBot era composta da un numero relativamente contenuto di nodi, circa 400, in grado tuttavia di generare un notevole livello di traffico di attacco.

Un altro elemento preso dal passato, rilevato dall’analisi svolta dal team Threat Research di Akamai, è l’impiego di algoritmi di generazione di domini (Domain Generation Algorithms) nell’infrastruttura dei malware Command and Control (C2). Utilizzato per la prima volta assieme al worm Conficker nel 2008, il DGA rimane una tecnica di comunicazione frequentemente utilizzata anche per i malware attuali. Il team di ricerca delle minacce di Akamai ha scoperto che le reti infette hanno generato un tasso di ricerche DNS 15 volte superiore rispetto a quelle non infette. Ciò può essere spiegato come conseguenza del fatto che il malware presente nelle reti infette accede a domini generati casualmente. Poiché la maggior parte dei domini generati non era registrata, tentare di accedere a tutti avrebbe generato troppo rumore. Analizzare le differenze di comportamento tra le reti infette rispetto a quelle non infette è un ottimo modo per identificare l’attività del malware.

[amazon_link asins=’B016LPIKS6,B06WRQTFW9,B01LEI5GWI,B071SJF4TB’ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’fedaf60f-9185-11e7-9a8d-2d667555e83e’]

Quando lo scorso settembre è stata scoperta la botnet Mirai, Akamai è subito diventata uno dei suoi primi obiettivi. Da allora, la piattaforma dell’azienda ha continuato a essere presa di mira e a respingere efficacemente attacchi provenienti dalla botnet Mirai. I ricercatori di Akamai hanno utilizzato la visibilità sulla botnet Mirai che solo Akamai può vantare per studiare i diversi aspetti della botnet. In particolare nel secondo trimestre tale analisi si è concentrata sull’infrastruttura C2 di Mirai. Le ricerche condotte da Akamai indicano chiaramente che Mirai, come molte altre botnet, sta contribuendo alla massificazione degli attacchi DDoS. Si è osservato che sebbene molti dei nodi C2 della botnet abbiano condotto “attacchi dedicati” contro IP selezionati, sono stati ben più numerosi i nodi che hanno partecipato a quelli che potremmo considerare attacchi di tipo “pay-for-play”. In queste situazioni, i nodi C2 della botnet Mirai hanno attaccato degli indirizzi IP per brevi periodi, divenendo poi inattivi per riemergere in seguito e attaccare obiettivi diversi.

“Gli autori degli attacchi testano continuamente i punti deboli nelle difese delle aziende e investono maggiore energia e risorse sulle vulnerabilità che risultano più diffuse ed efficace”, spiega Martin McKeay, Senior Security Advocate di Akamai. “Eventi come la botnet Mirai, l’exploit utilizzato da WannaCry e Petya, l’aumento continuo degli attacchi SQLi e la ricomparsa del malware PBot testimoniano che gli autori degli attacchi non escogiteranno solo nuovi strumenti e strategie, ma torneranno a riutilizzare anche strumenti già visti in passato che si sono dimostrati particolarmente efficaci”.

Alcuni dati:

Altri dati di rilievo presenti nel rapporto sono:

● Il numero di attacchi DDoS del secondo trimestre è cresciuto del 28% su base trimestrale dopo avere registrato un calo per tre trimestri consecutivi.

● Gli autori degli attacchi DDoS si stanno dimostrando più ostinati che mai, attaccando i propri obiettivi con una media di 32 volte nel corso del trimestre. Una società di gaming è stata attaccata 558 volte, ossia con una media di sei volte al giorno.

● Il maggior numero di indirizzi IP univoci utilizzati in attacchi DDoS frequenti ha avuto origine in Egitto, con una percentuale del 32% sul totale generale. Il trimestre scorso erano gli Stati Uniti a detenere il primato, mentre l’Egitto non rientrava nella top five.

● Questo trimestre sono stati utilizzati meno dispositivi per lanciare attacchi DDoS. Il numero di indirizzi IP coinvolti in attacchi DDoS volumetrici è crollato del 98% passando da 595.000 a 11.000.

● L’incidenza degli attacchi alle applicazioni web è aumentata del 5% su base trimestrale e del 28% su base annuale.

● Gli attacchi SQLi sono stati utilizzati in più della metà (51%) degli attacchi alle applicazioni web questo trimestre, rispetto al 44% del trimestre scorso, generando quasi 185 milioni di avvisi solo nel secondo trimestre.

Metodologia

Il Rapporto sullo stato di Internet Q2 2017 / Security di Akamai combina i dati sugli attacchi raccolti dall’intera infrastruttura globale di Akamai ed è frutto delle ricerche svolte dai vari team dell’azienda. Il rapporto si avvale dei dati raccolti dalla Akamai Intelligent Platform e fornisce un’analisi dell’attuale panorama delle minacce e della sicurezza sul cloud, nonché informazioni sulle tendenze degli attacchi. Il Rapporto sullo stato di Internet / Security è frutto della collaborazione di vari professionisti della sicurezza di Akamai, tra cui il team SIRT (Security Intelligence Response Team), l’unità Threat Research, i team Information Security e Custom Analytics.

[gview file=”https://www.antoniosavarese.it/wp-content/uploads/2017/09/q2-2017-state-of-the-internet-security-infographic.pdf”]

Informazioni su Akamai

Grazie alla propria piattaforma cloud di delivery più estesa e affidabile al mondo, Akamai supporta i clienti nell’offerta di experience digitali migliori e più sicure da qualsiasi dispositivo, luogo e momento. Con oltre 200.000 server in 130 paesi, la piattaforma Akamai garantisce protezione dalle minacce informatiche e performance di altissimo livello. Il portfolio Akamai di soluzioni per le web e mobile performance, la sicurezza sul cloud, l’accesso remoto alle applicazioni aziendali e la delivery di contenuti video è affiancato da un servizio clienti affidabile e da un monitoraggio 24×7. Per scoprire perché i principali istituti finanziari, i maggiori operatori e-commerce, provider del settore Media & Entertainment ed enti governativi si affidano ad Akamai, visitate il sito https://www.akamai.com/it/it/ o https://blogs.akamai.com/it/ e seguite @AkamaiItalia su Twitter.

4 Settembre 20174 Settembre 2017

Vulnerabilità di Instagram sfruttata per rubare credenziali agli utenti

I ricercatori di Kaspersky Lab hanno fornito i dettagli tecnici relativi alla vulnerabilità di Instagram sfruttata dai criminali informatici per rubare informazioni sensibili agli account.

Secondo quanto riportato ieri da Instagram, i criminali hanno sfruttato un bug all’interno del social network che gli ha permesso di rubare le credenziali degli utenti Instagram, tra cui anche quelle di alcune celebrità. I ricercatori di Kaspersky Lab che hanno rilevato il bug lo hanno notificato a Instagram martedì 29 agosto condividendo con il social network anche una breve analisi tecnica.

I ricercatori hanno scoperto che la vulnerabilità esiste nella versione 8.5.1 per mobile di Instagram, rilasciata nel 2016 (la versione corrente è 12.0.0). Il processo di attacco è relativamente semplice: utilizzando la versione non aggiornata dell’applicazione i criminali selezionano l’opzione di ripristino della password e registrano la richiesta utilizzando un proxy web. Quindi selezionano una vittima e inviano una richiesta al server di Instagram tramettendo l’identificativo della vittima o il suo nome utente. Il server restituisce una risposta in JSON con le informazioni personali della vittima, compresi i dati sensibili come l’indirizzo e-mail e il numero di telefono.

[amazon_link asins=’8820366029,1537132261,8857905918,8893050862′ template=’ProductCarousel’ store=’antoniosavare-21′ marketplace=’IT’ link_id=’3fa9dcec-914f-11e7-846b-e3cb754038f7′]

Gli attacchi sono piuttosto impegnativi: ciascuno di essi deve essere fatto manualmente in quanto Instagram utilizza calcoli matematici per impedire ai criminali di automatizzare il modulo di richiesta.

Gli hacker sono stati individuati in un forum underground mentre negoziavano le credenziali private degli account appartenenti ad alcune celebrità.

Kaspersky Lab consiglia agli utenti di aggiornare il prima possibile le versioni precedenti del software con l’ultima versione disponibile. Un altro consiglio utile da seguire quando si utilizzano i social media è quello di usare diversi indirizzi di posta elettronica per le diverse piattaforme social segnalando eventuali preoccupazioni o irregolarità al social network, soprattutto quando si ricevono messaggi di posta elettronica relativi a un ripristino di password non richiesto personalmente.

4 Aprile 20174 Aprile 2017

Attacchi bancari fileless – ecco come avvengono

Gli esperti di Kaspersky Lab ricostruiscono un caso di ATMitch e scoprono un modo misterioso di guadagnare con gli ATM

Un giorno gli impiegati di una banca scoprirono un ATM vuoto: i soldi erano scompari e non c’era traccia di danni fisici al dispositivo né di malware. Studiando questo caso, gli esperti di Kaspersky Lab sono stati in grado non solo di scoprire i tool usati dai cyber criminali per la rapina ma anche di riprodurre l’attacco, scoprendo una vulnerabilità di sicurezza nella banca.

A febbraio 2017 Kaspersky Lab ha pubblicato i risultati di un’indagine su misteriosi attacchi fileless ad alcune banche: i criminali usavano un malware residente in memoria per infettare le reti bancarie. Ma perché lo stavano facendo? Il caso ATMitch ha aiutato gli esperti ad ottenere il quadro d’insieme.

L’indagine è iniziata dopo che gli specialisti forensi della banca hanno scoperto e condiviso con Kaspersky Lab due file contenenti log di malware trovati nell’hard drive dell’ATM (kl.txt e logfile.txt). Questi sono gli unici due file lasciati dopo l’attacco: non è stato possibile trovare i file eseguibili nocivi poiché dopo la rapina i cyber criminali hanno cancellato il malware. Tuttavia, anche queste scarse informazioni hanno permesso a Kaspersky Lab di condurre con successo un’indagine.

Preleva e cancella

Grazie ai file di log, gli esperti di Kaspersky Lab sono stati in grado di identificare pezzi di informazione in formato testo che li hanno aiutati a creare delle YARA rule per gli archivi pubblici di malware e a trovare un sample. Le YARA rule – essenzialmente delle stringhe di ricerca – aiutano gli analisti a scoprire, raggruppare e categorizzare campioni di malware connessi e creare collegamenti sulla base di pattern comportamentali sospetti su sistemi o reti che presentano somiglianze.

Dopo una giornata di attesa, gli esperti hanno trovato il desiderato campione di malware: “tv.dll” o “ATMitch”, come è stato successivamente rinominato. È stato scoperto due volte: una volta in Kazakistan e una in Russia.

Questo malware viene installato ed eseguito da remoto su un ATM dall’interno della banca attraverso lo strumento di amministrazione remota di questi dispositivi. Dopo l’installazione e la connessione all’ATM, il malware ATMitch comunica con il Bancomat come se si trattasse di un software legittimo. Questo permette ai criminali di eseguire una serie di comandi, come raccogliere informazioni sul numero di banconote nei cassetti dell’ATM. Inoltre, permette ai criminali di erogare denaro in ogni momento, semplicemente premendo un tasto.

Solitamente i criminali iniziano raccogliendo informazioni sulla somma di denaro all’interno di una macchina, per poi inviare il comando di erogare un certo numero di banconote da qualsiasi cassetto. Ai criminali non resta, quindi, che ritirare le banconote e andarsene. Una simile rapina richiede solo pochi secondi.

Una volta svaligiato l’ATM, il malware elimina le proprie tracce.

Di chi si tratta?

Non è ancora noto chi si celi dietro questi attacchi. L’utilizzo di codice open source nell’exploit, di comuni utility Windows e domini sconosciuti nella prima fase di attacco rende praticamente impossibile determinare quale gruppo ne sia responsabile. Tuttavia, “tv.dll”, usato nella fase di attacco che coinvolge gli ATM, contiene risorse in lingua russa e i gruppi conosciuti che potrebbero rispondere a questo profilo sono GCMAN e Carbanak.

“Questi criminali potrebbero essere ancora attivi, ma non temete! Combattere questo tipo di attacchi richiede competenze specifiche agli specialisti di sicurezza che proteggono le organizzazioni. La violazione ed esfiltrazione dei dati da una rete può avere successo solo con tool comuni e legittimi e, dopo l’attacco, i criminali potrebbero cancellare tutti i dati che porterebbero al rilevamento, non lasciando alcuna traccia. Per affrontare questi problemi, le indagini forensi nella memoria sono sempre più fondamentali per l’analisi dei malware e delle loro funzionalità. Come provato da questo caso, una pronta risposta diretta agli incidenti può aiutare a risolvere anche i casi più difficili”, ha commentato Sergey Golovanov, Principal Security Researcher di Kaspersky Lab.

Le soluzioni Kaspersky Lab rilevano con successo le attività criminali che sfruttano le tattiche, tecniche e procedure precedentemente descritte. Ulteriori informazioni su questa storia e le Yara rule per le analisi forensi degli attacchi fileless possono essere trovate nel blog post su Securelist.com. I dettagli sulle tecniche, compresi gli indicatori di compromissione, sono inoltre a disposizione dei clienti dei Kaspersky Intelligence Services.

26 Luglio 2016

No More Ransom: forze dell’ordine e aziende di sicurezza IT si uniscono

Un nuovo tool con oltre 160.000 chiavi di decriptazione aiuterà le vittime a recuperare i propri dati

La polizia olandese, Europol, Intel Security e Kaspersky Lab uniscono le forze per lanciare l’iniziativa No More Ransom, un nuovo passo nella collaborazione tra le forze dell’ordine e il settore privato per combattere insieme i ransomware. No More Ransom (www.nomoreransom.org) è un nuovo portale volto a informare gli utenti del pericolo rappresentato dai ransomware e ad aiutare le vittime a recuperare i propri dati senza dover pagare il riscatto ai cyber criminali.

I ransomware sono un tipo di malware che blocca i computer delle vittime o cripta i loro dati, chiedendo un riscatto per riottenere il controllo sui dispositivi o i file colpiti. I ransomware costituiscono una delle maggiori preoccupazioni per le forze dell’ordine europee: quasi due terzi degli stati dell’Unione Europea stanno conducendo indagini su questo genere di attacco malware. Sebbene i principali obiettivi siano spesso i dispositivi degli utenti, vengono colpite anche le reti aziendali e governative. Il numero delle vittime sta aumentando a una velocità allarmante: secondo Kaspersky Lab, il numero di utenti attaccati dai crypto-ransomware è aumentato del 550%, da 131.000 nel periodo 2014-2015 a 718.000 nel 2015-20[amazon text=Amazon]16.

NoMoreRansom.org

Lo scopo del portale www.nomoreransom.org è offrire un’utile risorsa online alle vittime di ransomware. Gli utenti vi possono trovare informazioni su cosa siano i ransomware, come funzionino e, ancora più importante, come proteggersi. La consapevolezza è essenziale, in quanto non ci sono tool di decriptazione per tutti i tipi di malware attualmente disponibili. Una volta infettati, ci sono alte probabilità che i dati siano persi per sempre. Usare Internet in modo consapevole, seguendo alcune regole basilari di sicurezza informatica, può aiutare a evitare in primo luogo l’infezione.

Il progetto offre agli utenti tool che potrebbero aiutarli a recuperare i propri dati una volta che sono stati criptati dai criminali. Nel suo stadio iniziale, il portale conterrà quattro tool di decriptazione per diversi tipi di malware, di cui l’ultimo è stato sviluppato a giugno 2016 per la variante Shade.

Shade è un Trojan del tipo ransomware emerso verso la fine del 2014. Il malware viene diffuso attraverso siti nocivi ed email con allegati infetti. Dopo essersi introdotto nel sistema dell’utente, Shade cripta i file archiviati sulla macchina e crea un file .txt contenente informazioni sul riscatto e le istruzioni dei cyber criminali su cosa fare per riavere i file personali dell’utente. Shade usa un algoritmo di decriptazione forte per ciascun file criptato, generando due chiavi AES casuali da 256 bit: una è usata per criptare il contenuto del file, mentre l’altra è usata per criptarne il nome.

Dal 2014, Kaspersky Lab e Intel Security hanno impedito più di 27.000 tentativi di attacco agli utenti con il Trojan Shade. La maggior parte delle infezioni sono avvenute in Russia, Ucraina, Germania, Austria e Kazakistan. L’attività di Shade è stata inoltre registrata in Francia, Repubblica Ceca, Italia e Stati Uniti.

Lavorando insieme e condividendo le informazioni tra diverse parti, è stato possibile ottenere l’accesso al server di comando e controllo di Shade usato dai criminali per archiviare le chiavi di dectriptazione per poi condividerle con Kaspersky Lab e Intel Security. Questo ha aiutato a creare un tool dedicato che le vittime possono scaricare dal portale No More Ransom per recuperare i propri dati senza pagare i criminali. Il tool contiene oltre 160.000 chiavi.

Cooperazione pubblico-privata

Il progetto è stato concepito come iniziativa non commerciale che unisce istituzioni pubbliche e private. Per via della natura mutevole dei ransomware, con i cyber criminali che sviluppano costantemente nuove varianti, questo portale è aperto alla collaborazione di nuovi partner.

Wilbert Paulissen, Director della National Criminal Investigation Division della polizia olandese, ha commentato: “Non possiamo combattere il cyber crimine e, in particolare, i ransomware da soli. È una responsabilità comune di polizia, dipartimento di giustizia, Europol e aziende ICT che richiede uno sforzo condiviso. Ecco perché sono molto felice della collaborazione della polizia con Intel Security e Kaspersky Lab. Insieme, faremo tutto il possibile per ostacolare i piani dei criminali e restituire i file ai loro legittimi proprietari senza che debbano pagare un riscatto”.

“Il problema principale con i crypto-ransomware oggi è che quando vengono criptati i dati preziosi degli utenti, questi ultimi sono pronti a pagare i criminali per riaverli. Questo incoraggia l’economia sotterranea e stiamo osservando un aumento del numero di nuovi player e quindi di attacchi. Possiamo cambiare la situazione solamente se coordiniamo i nostri sforzi per combattere i ransomware. La comparsa di tool di decriptazione è solo il primo passo di questo percorso. Ci aspettiamo che questo progetto venga esteso e che presto molte altre aziende e forze dell’ordine di diversi Paesi e regioni combatteranno i ransomware insieme”, ha affermato Jornt van der Wiel, Security Researcher del Global Research and Analysis Team di Kaspersky Lab.

“Questa iniziativa mostra il valore della cooperazione pubblico-privata nella lotta al cyber crimine”, ha dichiarato Raj Samani, EMEA CTO di Intel Security. “Questa collaborazione va oltre la condivisione dell’intelligence e l’educazione degli utenti per aiutare le vittime a rispondere al danno inflitto. Ripristinando l’accesso ai loro sistemi, rafforziamo gli utenti dimostrando loro che possono attivarsi ed evitare di pagare il riscatto ai criminali”.

Wil van Gemert, Europol Deputy Director Operations, ha infine commentato: “Da alcuni anni i ransomware sono diventati una delle principali preoccupazioni delle forze dell’ordine europee. È un problema che affligge allo stesso modo cittadini e aziende, computer e dispositivi mobile, con i criminali che sviluppano tecniche sempre più sofisticate per avere maggior impatto sui dati delle vittime. Iniziative come il progetto No More Ransom mostra che unire le forze e condividere l’expertise è il modo giusto di combattere il cyber crimine. Ci aspettiamo di aiutare molte persone a riottenere il controllo dei propri file, accrescendo la consapevolezza e insegnando agli utenti come proteggere nel modo migliore propri dispositivi dai malware”.

Denunciare sempre

Segnalare attacchi ransomware alle forze dell’ordine è molto importante per aiutare le autorità a farsi un’idea complessiva della minaccia e quindi ottenere una maggiore capacità di contrastarla. Il sito No More Ransom offre alle vittime la possibilità di denunciare un crimine, in connessione diretta con la supervisione di Europol dei meccanismi nazionali di segnalazione.

Se in qualche modo siete stati colpiti dal ransomware, vi consigliamo di non pagare il riscatto. Pagando, supporterete il business dei cyber criminali. Inoltre, non ci sono garanzie che pagare il riscatto vi restituisca l’accesso ai dati criptati.

28 Giugno 2016

L’Italia è terreno fertile per hacker e malware

Secondo i dati Threat Index di maggio 2016, l’Italia è il secondo paese in Europa più colpito, mentre il malware bancario Tinba fa capolino tra i top 3 malware più diffusi

Check Point® Software Technologies Ltd. (NASDAQ: CHKP) pubblica l’ultima versione del Threat Index, che mostra un forte aumento a maggio, pari al 15%, delle varianti di malware attive a livello mondiale. Tra i paesi più minacciati l’Italia, seconda classificata in Europa, e trentesima a livello mondiale. Le minacce più significative rispecchiano le passioni dell’italiano medio: smartphone e siti di networking. Arrivano infatti da Conficker, worm che all’inizio della sua diffusione sceglie le sue vittime proprio su questo tipo di siti, come Facebook e Skype, e da Hummingbad, il malware nemico di Android. In ascesa le minacce bancarie: al terzo posto, infatti, spunta anche in Italia Tinba, il trojan che sfrutta l’exploit kit BlackHole e attacca principalmente i correntisti italiani e polacchi.

Check Point ha rilevato 2.300 diverse varianti di malware attive, che hanno attaccato le reti delle aziende durante il mese di maggio. Per il secondo mese di fila, i ricercatori hanno evidenziato un aumento delle singole varianti di malware, dato che già in aprile si era registrato un aumento del 50%. La crescita continua del numero di varianti di malware attive evidenzia la vasta portata delle minacce, e quindi delle sfide che i reparti di sicurezza informatica affrontano, quando prevengono un attacco ai dati riservati delle aziende.

Tra le minacce più temibili a livello mondiale:

Se, da un lato, Conficker è sempre il malware più usato nell’arco del periodo, il malware bancario Trojan Tinba è emerso come la seconda forma di infezione più utilizzata nel mese scorso, permettendo agli hacker di rubare le credenziali delle vittime attraverso web-injection, che vengono attivati quando gli utenti cercano di effettuare il log-in sui siti web bancari.

Gli attacchi contro i dispositivi mobili sono stati costanti, il malware Android HummingBad è ancora nella top 10 degli attacchi malware. Nonostante sia stato scoperto dai ricercatori di Check Point soltanto lo scorso febbraio, in breve tempo è diventato molto frequente, dimostrando che gli hacker vedono i dispositivi mobili Android come una falla di debolezza nella sicurezza delle aziende e come bersagli potenzialmente ad alta resa.

“Rileviamo costantemente un’impennata del numero di varianti di malware attive contro le reti aziendali, che è esemplificativo dell’impegno che gli hacker stanno dedicando a creare nuovi attacchi zero-day, oltre a dimostrare l’importanza della sfida che le aziende affrontano difendendo le loro reti dai cybercriminali”, dichiara Nathan Shuchami, head of threat prevention di Check Point. “Le organizzazioni devono valutare l’applicazione di soluzioni advanced threat prevention per le proprie reti, per gli endpoint, e per i dispositivi mobili, al fine di bloccare i malware allo stadio pre-infettivo, e garantire una sicurezza effettiva contro le minacce più moderne”.

A maggio, la variante più diffusa è stata Conficker, responsabile del 14% di tutti gli attacchi riconosciuti; mentre, le minacce che si posizionano al secondo e al terzo posto, Tinba e Sality, hanno causato ciascuna il 9% degli attacchi. Le varianti nella top ten hanno causato il 60% di tutti gli attacchi riconosciuti.

↔ Conficker – Worm che consente operazioni da remoto, download di malware e furto di credenziali disattivando i sistemi di sicurezza di Windows Microsoft. Le macchine infettate vengono controllate da una botnet, che contatta il server Command&Control, pronta a ricevere istruzioni.

↑ Tinba – Conosciuto anche come Tiny Banker o Zusy, Tinba è un trojan bancario che ruba le credenziali delle vittime sfruttando le web-injection. Si attiva non appena l’utente cerca di effettuare il log in sul sito web della propria banca.

↓ Sality – Virus che colpisce le piattaforme Windows e permette di eseguire operazioni da remoto e download di altri malware nei sistemi infetti. A causa della complessità e della facilità di adattamento che lo contraddistinguono, Sality è considerato da molti uno dei più pericolosi malware diffusi fino ad oggi.

Le varianti di malware per i dispositivi mobili sono sempre una grande minaccia per i dispositivi delle aziende, e il mese di maggio non ha fatto eccezione, con sei new entry tra le 100 varianti di malware più diffuse. La maggior parte di queste attacca Android, ma continua anche il trend già riscontrato in aprile, con diverse minacce rivolte al sistema iOS. Le tre varianti di malware per dispositivi mobili più pericolose sono state:

↔ HummingBad – Malware Android che istalla un rootkit persistente sul dispositivo, oltre a applicazioni fraudolente e, con poche modifiche, potrebbe innescare altre attività malevole, come l’installazione di key logger, il furto di credenziali, e scavalcare i sistemi di crittografia delle email utilizzati dalle aziende.

↔ Iop – Malware Android che consente di installare applicazioni e che visualizza pubblicità eccessiva utilizzando l’accesso root del dispositivo mobile. La quantità di annunci e applicazioni installate rende difficile per l’utente continuare a utilizzare il dispositivo come al solito.

↔ XcodeGhost – Una versione compromessa della piattaforma di sviluppo iOS Xcode. Questa versione non ufficiale di XCode è stata alterata, e inietta codice malevolo in tutte le app che sono state sviluppate e assemblate basandosi su questo servizio. Il codice iniettato invia le informazioni sull’app a un server C&C, consentendo all’app infetta di leggere la clipboard del dispositivo.

Il Threat Index di Check Point

Il threat index di Check Point si basa sulla threat intelligence della ThreatCloud World Cyber Threat Map, che monitora come e dove si stanno svolgendo i cyberattacchi nel mondo in tempo reale. La Threat Map si avvale dell’intelligence ThreatCloud^TMdi Check Point, la più grande rete che collabora contro i cybercriminali e fornisce dati sulle minacce e sull’andamento degli attacchi, attraverso una rete globale di sensori delle minacce. Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.

3 Giugno 20163 Giugno 2016

I siti più visitati dai bambini sono chat, giochi e pagine che parlano di droga

L’ultimo report di Kaspersky Lab mostra come i bambini di tutto il mondo trascorrano la maggior parte del proprio tempo online usando strumenti di comunicazione come social network, email e chat (che rappresentano il 67% della loro attività online). I portali di gioco (11%) e i siti con informazioni su alcol, droghe e tabacco (9%) sono arrivati rispettivamente secondi e terzi. Sono state, tuttavia, rilevate significative differenze tra gli interessi dei bambini dei diversi Paesi.

Il report, che copre gli ultimi 12 mesi, ha analizzato statistiche anonime rilevate dalle soluzioni di Kaspersky Lab per PC Windows e Mac con il modulo di Parental Control attivato e mostra le percentuali delle pagine web visitate o a cui si è tentato di accedere con contenuti potenzialmente pericolosi inclusi nelle 14 categorie prestabilite*. Le statiche mostrano che durante il periodo analizzato sono diminuiti l’utilizzo degli strumenti di comunicazione e le visite da parte dei bambini ai siti con contenuti per adulti. Questo trend può essere spiegato dalla migrazione della maggior parte delle attività dei bambini verso i dispositivi mobile, che non sono stati presi in esame da questo report.

La categoria “Strumenti di comunicazione su Internet” ha avuto più successo in Messico (86%), Russia, Brasile e Italia (tutti lievemente superiori al 70%). In questo periodo, i giovani utenti meno comunicativi sono stati invece quelli di Cina (30%), Germania (31%) e Regno Unito (32%). Curiosamente, si nota che meno è diffusa questa categoria in un Paese, più lo è quella dei “Giochi per computer”. I bambini che giocano di più online sono quelli di Regno Unito (28%), Germania (26%) e Australia (21%), mentre i giovani utenti di Messico (4%), Italia (6%) e Giappone (7%) lo fanno meno spesso.

Quando si tratta di guardare video, ascoltare musica e scaricare file, i bambini del Giappone sono senza dubbio i primi della classifica (12% di tutte le notifiche del Parental Control). Questi ultimi sono inoltre coloro che fanno più acquisti online (17%), insieme ai bambini della Cina (20%). La categoria “Alcol, tabacco e droghe” ha visto il maggior numero di notifiche provenire dalla Germania (23%) e dal Regno Unito (25%). I “Contenuti per adulti” hanno invece generato più interesse in Cina (23%) e Giappone (5%), mentre questi argomenti si sono rivelati meno interessanti nel Regno Unito e negli Stati Uniti (entrami sotto l’1%).

“La popolarità di alcuni tipi di siti tra i bambini di diversi Paesi può essere collegata agli aspetti culturali e alle condizioni economiche dello stato. Vediamo che i bambini stanno diventando sempre più autonomi online: scelgono che musica ascoltare, che film e cartoni vedere e quali software installare. L’indipendenza è positiva, ma sul web, come nel mondo reale, è importante guidare i più giovani e insegnar loro come comportarsi in modo intelligente, sicuro e responsabile. Noi di Kaspersky Lab crediamo che per impedire che i propri figli entrino in contatto con contenuti pericolosi, i genitori dovrebbero combinare una soluzione di sicurezza completa con una comunicazione costante. Parlarne permette ai giovani utenti di riconoscere le minacce online e aiuta a instaurare un rapporto di fiducia con i familiari, mentre le soluzioni di sicurezza offrono una base per questo genere di conversazioni e un ambiente sicuro per tutta la famiglia”, ha commentato Morten Lehn, General Manager di Kaspersky Lab Italia.

Le soluzioni per l’utente finale Kaspersky Total Security – Multi-Device e Kaspersky Internet Security – Multi-Device includono il modulo di Parental Control per aiutare gli adulti a proteggere i propri bambini dalle minacce online e a bloccare i siti o le app con contenuti inappropriati.

Kaspersky Lab offre inoltre la soluzione Safe Kids che permette ai genitori di monitorare cosa i bambini facciano, vedano o cerchino online da tutti i dispositivi e li aiuta a spiegar loro cosa sia pericoloso o inappropriato online.

*Categorie di siti web che possono essere bloccati dal modulo di Parental Control delle soluzioni di Kaspersky Lab: Contenuti per adulti; Alcol, tabacco, droghe; Giochi per computer; E-commerce; Linguaggio esplicito; Gioco d’azzardo e lotterie; Reindirizzamento di ricerce HTTP; Strumenti di comunicazione su Internet; Ricerche di lavoro; Siti di news; Religione e associazioni religiose; Software, audio e video; Violenza; Armi, esplosivi e fuochi d’artificio.

26 Maggio 2016

Danti & Co: i gruppi di cyber spionaggio colpiscono le aziende di tutto il mondo

Il Global Research and Analysis Team di Kaspersky Lab ha osservato negli ultimi mesi un’ondata di attacchi di cyber spionaggio condotti da diversi gruppi nella regione Asia-Pacifico (APAC) e in Estremo Oriente accomunati da una caratteristica: per infettare le loro vittime con il malware, i criminali usano un exploit per la vulnerabilità CVE-2015-2545. Questa debolezza del software Microsoft Office è stata risolta alla fine del 2015, ma sembra essere ancora utilizzata da questi gruppi criminali. Era noto che i gruppi Platinum, APT16, EvilPost eSPIVY usassero questo exploit, ma ora si è aggiunto un nuovo gruppo, finora sconosciuto, chiamato Danti.

Un exploit è un tool nocivo ampiamente utilizzato dai gruppi di cyber spionaggio e dai criminali informatici per infettare silenziosamente le macchine prese di mira con i malware. Diversi anni fa, l’uso delle cosiddette vulnerabilità zero-day (che vengono usate in the wild prima che il vendor del software colpito rilasci la patch) era la caratteristica distintiva dei gruppi criminali più sofisticati, ma le cose sono cambiate: oggi, i gruppi di cyber spionaggio sono più portati ad utilizzare exploit di vulnerabilità note, semplicemente perché sono più economici e sembrano comportare un tasso soddisfacente d’infezione.

L’errore CVE-2015-2545 permette ai criminali di eseguire codici arbitrari usando un file immagine EPS appositamente progettato. L’exploit per questa vulnerabilità è molto pericoloso perché usa la tecnica PostScript che riesce a eludere i metodi di protezione Address Space Layout Randomization (ASLR) e Data Execution Prevention (DEP) integrati in Windows. Danti è l’ultimo gruppo a essere stato scoperto a utilizzare questa vulnerabilità.

Danti colpisce principalmente gli enti diplomatici. Potrebbe avere già accesso completo ai network interni nelle organizzazioni del governo indiano. Secondo Kaspersky Security Network, alcuni Trojan Danti sono stati inoltre rilevati in Kazakistan, Kirghizistan, Uzbekistan, Birmania, Nepal e Filippine. La sua attività è stata rilevata per la prima volta all’inizio di febbraio ed è proseguita da marzo al giorno d’oggi.

L’exploit viene distribuito attraverso email di spear-phishing. Per attirare l’attenzione delle potenziali vittime, il gruppo criminale che si cela dietro a Danti ha creato email a nome di numerosi alti ufficiali del governo indiano. Una volta sfruttata la vulnerabilità, la backdoor Danti viene installata, fornendo ai criminali accesso alla macchina infetta in modo da rubare i dati sensibili.

L’origine di Danti è sconosciuta, ma i ricercatori di Kaspersky Lab hanno ragione di sospettare che sia in qualche modo connesso ai gruppi Nettraveler e DragonOK. Si crede che dietro a questi gruppi si celino hacker di lingua cinese.

Inoltre, i ricercatori di Kaspersky Lab hanno scoperto attacchi CVE-2015-2545 di origine sconosciuta condotti contro organizzazioni in Taiwan e Tailandia. A questi attacchi è stato attribuito il nome interno SVCMONDR, come il nome del Trojan scaricato dopo lo sfruttamento della vulnerabilità. Il Trojan è diverso da quello usato dal gruppo Danti, ma condivide alcune caratteristiche con Danti, otlre che con APT16, un noto gruppo di cyber spionaggio si presume essere di origine cinese.

“Ci aspettiamo di vedere ulteriori incidenti con questo exploit e continuiamo a monitorare le nuove ondate di attacchi e le potenziali relazioni con altri attacchi nella regione. Le ondate di attacchi condotti attraverso una singola vulnerabilità suggeriscono due cose: in primo luogo, che i gruppi criminali tendono a non investire molte risorse nello sviluppo di tool sofisticati, come gli exploit zero-day, quando gli exploit 1-day possono funzionare altrettanto bene. In secondo luogo, che il tasso di adozione delle patch nelle aziende e nelle organizzazioni governative prese di mira è molto basso. Abbiamo bisogno che le aziende pongano maggiore attenzione nella gestione delle patch nella loro infrastruttura IT per proteggersi almeno dalle vulnerabilità conosciute”, ha commentato Morten Lehn, General Manager di Kaspersky Lab Italia.

È possibile leggere ulteriori informazioni sugli attacchi mirati che usano CVE-2015-2545 su Securelist.com

27 Aprile 2016

Bancomat – rischio malware!

Gli esperti di Kaspersky Lab hanno scoperto che i bancomat sono a rischio!

È possibile accedere illegalmente a quasi tutti i bancomat al mondo e sbancarli con o senza l’aiuto di malware. Secondo una ricerca condotta dagli esperti di Kaspersky Lab, questo è dovuto all’uso diffuso di software vecchi o non protetti, ad errori nella configurazione di rete e ad una mancanza di una protezione fisica.

Per molti anni la più grande minaccia sono stati gli skimmer, dispositivi speciali collegati a un bancomat per rubare i dati dalle bande magnetiche delle carte di credito. Le tecniche malevole si sono evolute e i bancomat sono stati esposti a maggiori pericoli. Nel 2014, i ricercatori di Kaspersky Lab hanno scoperto Tyupkin, uno dei primi esempi di malware per bancomat ampiamente conosciuto, e nel 2015 hanno rilevato Carbanak, che, tra le altre cose, è in grado di sbancare un bancomat attraverso l’infrastruttura compromessa della banca. Entrambi gli esempi di attacco sono stati realizzati sfruttando molte debolezze comuni nella tecnologia bancomat e nell’infrastruttura che li supporta.

Nel tentativo di mappare tutte le problematiche di sicurezza dei bancomat, gli specialisti nei test di penetrazione di Kaspersky Lab hanno portato avanti una ricerca basata sull’analisi di attacchi reali e sui risultati delle valutazioni di sicurezza dei bancomat di numerose banche internazionali.

Problemi software

Come risultato della ricerca, gli esperti hanno dimostrato che gli attacchi malware contro i bancomat sono possibili principalmente a causa di due problematiche di sicurezza:

Tutti i bancomat sono PC che installano versioni molto vecchie dei sistemi operativi come Windows XP. Questo li rende vulnerabili a infezioni con malware PC e attacchi attraverso exploit. Nella maggior parte dei casi, il software che permette al PC del bancomat di interagire con l’infrastruttura della banca e le unità hardware, elaborando l’erogazione di contanti e le operazione delle carte di credito, è basato sullo standard XFS. Questa è una caratteristica tecnologica piuttosto vecchia e non protetta, creata originariamente per standardizzare il software dei bancomat, così da poter lavorare con qualsiasi dotazione indipendentemente dal produttore. Il problema è che lo standard XFS non richiede autorizzazione per i comandi che esegue, questo significa che ogni app installata o eseguita sul bancomat può inviare comandi a qualsiasi altra unità hardware del bancomat, compreso il lettore di carte e l’erogatore di banconote. Nel caso in cui un malware infetti un bancomat, avrà funzionalità praticamente illimitate di controllo dello stesso: potrà trasformare il PIN pad e il lettore di carte in skimmer ‘nativi’ o erogare tutto il denaro del bancomat grazie a un comando dell’hacker.

Sicurezza fisica

In molti casi analizzati dai ricercatori di Kaspersky Lab, i criminali non hanno dovuto usare i malware per infettare il bancomat o la rete della banca a cui era collegato. Questo è stato possibile a causa della mancanza di sicurezza fisica degli stessi bancomat, una problematica molto comune a questi dispositivi. Sovente i bancomat sono realizzati e installati in modo che una terza parte possa facilmente accedere al PC integrato nel bancomat o al cavo di rete che connette la macchina a Internet. Ottenendo anche un accesso parziale al bancomat, i criminali potenzialmente possono:

Un centro di elaborazione falso è un software che analizza i dati di pagamento ed è identico al software della banca, a parte il fatto che non appartiene alla banca. Una volta che il bancomat è ricollegato al centro di elaborazione fasullo, i criminali informatici possono eseguire qualsiasi comando vogliano e il bancomat li eseguirà.

Come evitare che i bancomat siano sbancati

“I risultati della nostra ricerca dimostrano che sebbene i vendor ora stiano cercando di sviluppare bancomat con elevate caratteristiche di sicurezza, molte banche stanno ancora utilizzando modelli non sicuri e questo li rende impreparati ad affrontare i criminali che invece sfidano la sicurezza di questi device. Questa è la realtà di oggi che provoca sia alle banche sia ai clienti enormi perdite finanziarie. Dal nostro punto di vista questo è il risultato di una falsa credenza di lunga data, secondo la quale i cyber criminali sono interessati solo ad attacchi informatici contro l’Internet banking anche se assume sempre più valore la possibilità di sfruttare le vulnerabilità,perché gli attacchi diretti a questi dispositivi accorciano in modo significativo la strada verso il denaro”, ha dichiarato Morten Lehn, General Manager di Kaspersky Lab Italia.

Sebbene i problemi di sicurezza elencati sopra molto probabilmente sono comuni in tutto il mondo, non significa che la situazione non possa essere risolta. I produttori di bancomat possono ridurre il rischio di un attacco implementando queste misure:

In primo luogo, è necessario rivedere lo standard XFS con una maggiore attenzione alla sicurezza e introdurre l’autenticazione a due fattori tra dispositivi e software legittimi. Questo aiuterà a ridurre le probabilità di prelievi di denaro non autorizzati, usando trojan e attacker e ottenendo un controllo diretto sulle unità bancomat.
In secondo luogo, è necessario implementare l’authenticated dispensing per escludere la possibilità di attacchi attraverso falsi centri di elaborazione.
Infine, è necessario implementare la protezione crittografica e il controllo di integrità sui dati trasmessi tra tutte le unità hardware e il PC all’interno del bancomat.

Per avere ulteriori informazioni sulla sicurezza dei bancomat è disponibile un articolo di Olga Kochetova su Securelist.com: https://securelist.it/pubblicazioni/61261/malware-and-non-malware-ways-for-atm-jackpotting-extended-cut