Assistenza Informatica & Sistemistica - Xion Informatica Milano
Assistenza Informatica & Sistemistica - Xion Informatica Milano

Allarme banking online: individuato da ESET Android/Spy.Agent

Spy.Agent sottrae le credenziali superando anche l’autenticazione a due fattori

I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione Europea, hanno scoperto un particolare malware per Android che può sottrarre le credenziali degli utenti che accedono ai loro conti bancari attraverso i dispositivi mobile. Il malware, rilevato dai sistemi di sicurezza ESET comeAndroid/Spy.Agent.SI, si presenta alle vittime come una falsa schermata di autenticazione della loro applicazione bancaria e blocca lo schermo fin quando non si inseriscono nome utente e password. Usando le credenziali rubate, i ladri possono autenticarsi da remoto al conto delle vittima e trasferirne i soldi. Possono addirittura dirottare i messaggi SMS indirizzati al dispositivo infettato ed eliminarli. Questo consente alle transazioni fraudolente di superare l’autenticazione a due fattori basata su SMS, senza che il proprietario del dispositivo sospetti di nulla.

ESET_OnlineBanking_trojan

 

Android/Spy.Agent.SI si diffonde attraverso un applicazione Flash Player fasulla. Dopo il download e l’installazione, l’app richiede i diritti di amministratore sul dispositivo, per proteggere se stessa da eventuali tentativi di disinstallarla. Successivamente, il malware verifica che ci siano applicazioni bancarie installate sul dispositivo, ed in caso positivo, riceverà dal suo server di comando e controllo delle false schermate di autenticazione per ogni app bancaria presente nel dispositivo. Ogni volta che la vittima esegue un’app bancaria, gli apparirà una falsa schermata di autenticazione davanti a quella dell’app legittima, che bloccherà lo schermo fin quando la vittima non invierà le proprie credenziali bancarie.

Fortunatamente questo malware è ancora in fase di sviluppo. Se le prime versioni erano semplici, e i loro fini malevoli facili da identificare, le versioni più recenti presentano avanzate funzionalità di codifica e offuscamento.

La campagna scoperta dai ricercatori ESET interessa per ora 20 delle maggiori banche di Australia, Nuova Zelanda e Turchia, ma l’attacco è talmente vasto che potrà essere facilmente indirizzato verso qualsiasi altra banca.

Pubblicato in News

L’Italia migliora ma è stabile nella top ten dei Paesi che mandano più spam

Trend Micro presenta il report delle minacce 2015. L’Italia è anche tra le nazioni con il maggior numero di utenti che visitano siti maligni.

Diminuisce il numero di spam inviato dall’Italia, ma il nostro Paese è ancora nella top ten mondiale degli stati che inviano più comunicazioni maligne. Questo è quello che emerge dal report sulle minacce informatiche che hanno colpito il 2015, dal titolo “Stabilire il contesto: le mutazioni del panorama dettano le future strategie di risposta alle minacce”.

L’anno appena trascorso ha visto emergere attaccanti ancora più agguerriti, più furbi e capaci di osare maggiormente con i vettori di attacco, il cyber-spionaggio e le attività cyber nell’underground. Le preoccupazioni maggiori nel 2015 a livello globale hanno riguardato le estorsioni online e gli attacchi su larga scala che hanno colpito molte organizzazioni di alto profilo. Ashley Madison e Hacking Team ad esempio, sono solo due delle aziende che hanno visto milioni di impiegati e clienti esposti. In ogni caso la maggior parte delle violazioni di dati è stata causata dalla perdita del dispositivo, seguita da malware e azioni di hackeraggio. Il settore più colpito nel 2015 è stato quello della sanità, l’utilizzo dei crypto-ransomware ha raggiunto l’83% del numero totale dei ransomware e il numero dei malware per Android è raddoppiato rispetto al 2014, arrivando a 32 milioni.

Cosa è successo in Italia nel 2015:

  • Spam – l’Italia è l’ottava nazione al mondo per spam inviato. Il nostro Paese segna un miglioramento rispetto al quarto posto del 2014. Ai primi tre posti Stati Uniti, Cina e Russia. Nel 2014 le prime tre posizioni erano occupate da Stati Uniti, che si confermano “leader” nel settore, Spagna e Argentina
  • Visite a siti maligni – L’Italia entra nella top ten dei Paesi con il maggior numero di utenti che visitano siti maligni. Ai primi tre posti Stati Uniti, Giappone, Australia
  • Online Banking – Nel 2015 sono stati 11.097 i malware di online banking che hanno colpito l’Italia
  • Malware diretti ai sistemi PoS – Diminuiscono i malware diretti ai sistemi PoS che hanno colpito l’Italia. Nel 2014 il nostro Paese era l’ottavo più colpito in tutto il mondo, nel 2015 esce dalla top ten, facendo registrare solo 25 sistemi colpiti
  • Nell’ultimo periodo di riferimento, il quarto trimestre 2015, in Italia sono stati identificati: 
    – 33.585.353 indirizzi IP che inviano spam
    – 4.139.744 malware
    – 5.823 PC infetti

    – Il numero più preoccupante è relativo ai download di app maligne, che sono stati ben 290.003

“Le nostre osservazioni sul 2015 hanno confermato che i metodi tradizionali per la protezione dei dati e degli asset non sono più sufficienti e dovrebbero essere ripensati, per mantenere i migliori livelli di sicurezza aziendale e personale” ha commentato Raimund Genes, CTO Trend Micro.

Pubblicato in News

Vega e Navi, svelate le GPU di AMD per il 2017 e 2018

AMD ha già chiari i piani per il futuro in ambito grafico: dopo Polaris vedremo Vega e Navi, rispettivamente nel 2017 e nel 2018.

Durante l'evento Capsaicin 2016 alla Game Developers Conference AMD ha mostrato una roadmap in cui ha svelato i piani per il 2017 e 2018 in ambito grafico. Dopo l'architettura Polaris attesa nei prossimi mesi AMD volgerà il suo impegno su Vega, per poi presentare un anno più tardi Navi.

Da quanto si è potuto apprendere finora Polaris è in grado di offrire un miglioramento delle prestazioni per watt pari a 2,5 volte rispetto alle proposte a 28 nanometri. I progressi nell'architettura e il passaggio al processo a 14 nanometri FinFET rappresentano le due principali innovazioni che permetteranno ad AMD di centrare questo traguardo. Le prime proposte Polaris sono attese intorno alla metà di quest'anno.

Per quanto concerne l'architettura Vega attesa per nel 2017 AMD dichiara ufficialmente l'uso di memoria HBM2. Questo fa pensare che le schede video Polaris saranno abbinate a memorie GDDR5/GDDR5X o HBM1, come le attuali proposte top di gamma basate su GPU Fiji.

Approfondimento: Polaris, l'architettura delle GPU AMD per il 2016

Non è da escludere però che AMD usi le HBM1 sulle schede Radeon e in seguito le HBM2, sul finire di quest'anno, nei prodotti professionali FirePro. Al momento non abbiamo certezze. Allo stesso modo si può ipotizzare che Vega non rappresenterà un cambiamento radicale rispetto a Polaris: dovremmo assistere a miglioramenti prestazionali e di efficienza frutto di affinamenti all'architettura, ma non a interventi sostanziali. Il processo produttivo dovrebbe inoltre rimanere quello delle GPU Polaris, salvo sorprese.

Nel 2018 toccherà a Navi, un'architettura che nelle intenzioni di AMD saràaltamente scalabile (capace di coprire un'ampia fetta di mercato e più settori) e accompagnata da memoria di nuova generazione. L'azienda non lo scrive, ma potrebbe riferirsi a una terza generazione della memoria HBM, un'ipotetica HBM3, oppure a qualcosa di diverso che ancora ci sfugge.

Pubblicato in News

ESET registra una nuova ondata di e-mail infette causate da Nemucod

In Italia Nemucod è responsabile del 42% di tutte le infezione rilevate da ESET negli ultimi giorni.

I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell’Unione Europea, hanno registrato negli ultimi giorni un aumento del numero di e-mail infette causate dal trojan Nemucod che in Italia, durante lo scorso 11 marzo, ha raggiunto il picco di infezioni del 42%. Rilevato dai ricercatori di ESET con il nome di JS /TrojanDownloader.Nemucod, questo malware si diffonde attraverso e-mail scritte in modo molto affidabile che appaiono come fatture, atti giudiziari o altri documenti ufficiali; le mail contengono un allegato zip malevolo con un file JavaScript che, se aperto, scarica e installa il malware sul dispositivo delle vittime.

Nemucod attualmente scarica principalmente i ransomware TeslaCrypt e Locky, che criptano i file e chiedono poi un riscatto per la decodifica. Nemucod sta registrando in questi giorni una incidenza insolitamente alta in Europa, Nord America, Australia e Giappone, oltre che in Italia.Per evitare il contagio gli esperti di ESET raccomandano di:

  • Non aprire i file allegati alle mail provenienti da destinatari sconosciuti.
  • Effettuare con regolarità il backup dei dati.
  • Installare con regolarità gli aggiornamenti del proprio sistema operativo e degli altri software utilizzati sul dispositivo.
  • Utilizzare il software di sicurezza con tutti gli aggiornamenti installati, possibilmente nella versione più recente.
Pubblicato in News

La privacy di un utente su cinque è a rischio durante l’installazione di app

Kaspersky Lab ha scoperto che i consumatori tendono a installare app sui propri dispositivi ignorando le possibili conseguenze.

Uno sconcertante 63% degli utenti non legge attentamente il contratto di licenza prima di installare una nuova applicazione sul proprio telefono e un utente su cinque (20%) non legge mai i messaggi al momento dell’installazione: i consumatori si limitano a cliccare automaticamente su “avanti” e “acconsento”, senza capire a che cosa potrebbero aderire.

Il test di Kaspersky Lab “Are you cyber savvy?”, che ha coinvolto 18.507 utenti sulle loro abitudini online, ha svelato che un numero allarmante di utenti lascia la propria privacy – e i dati archiviati sui telefoni – esposta alle cyber minacce, installano le app sui propri dispositivi in modo poco sicuro.

Quando gli utenti tralasciano la lettura dei contratti di licenza o dei messaggi che appaiono durante il processo di installazione dell’applicazione, non sanno a che cosa stanno acconsentendo. Alcune app possono mettere a rischio la privacy dell’utente, comportare l’installazione di altre applicazioni o persino modificare le impostazioni del sistema operativo del dispositivo in modo totalmente legale, grazie alle autorizzazioni che l’utente ha dato nel corso del processo di installazione.

Il test ha inoltre messo in luce che poco meno della metà degli utenti (43%) potrebbe essere a rischio per via delle app installate sul proprio dispositivo mobile, non essendo abbastanza cyber esperti da limitare le autorizzazioni durante l’installazione delle app. Il 15% degli intervistati non limita in alcun modo quello che l’applicazione può fare sul proprio smartphone, il 17% concede le autorizzazioni richieste, ma poi se ne scorda, mentre l’11% crede di non poter modificare le autorizzazioni rilasciate. Quando non vengono verificate le autorizzazioni, per le app diventa possibile – e legale – accedere alle informazioni personali e private presenti sui dispositivi mobile, dalle informazioni sui contatti, alle foto, fino alla geolocalizzazione.

“Gli utenti Internet affidano ai propri dispositivi dati sensibili propri e di altri – come contatti, messaggi privati, e così via – ma non si assicurano che le loro informazioni siano al sicuro. Questo può trasformare i dispositivi in “digital frenemy”. Non prendendo precauzioni nel momento dell’installazione, molti utenti concedono alle app il permesso di introdursi nella loro vita privata, guardare ciò che è stato archiviato sul dispositivo e monitorare dove si trovano, installare ulteriori applicazioni indesiderate e apportare modifiche al device, già dal momento dell’installazione. Noi di Kaspersky Lab vogliamo aiutare gli utenti a diventare esperti digitali, proteggendo se stessi e i propri dati preziosi da questi pericoli”, ha commentato Morten Lehn, General Manager di Kaspersky Lab Italia.

Per proteggersi, gli utenti dovrebbero:

  • Scaricare applicazioni solo da fonti affidabili,
  • Scegliere con cautela le applicazioni da installare sul proprio dispositivo,
  • Leggere attentamente il contratto di licenza durante il processo d’installazione,
  • Leggere attentamente l’elenco delle autorizzazioni richieste dall’app. Non limitarsi a cliccare ‘avanti’ senza controllare a cosa si sta aderendo,
  • Usare una soluzione di cyber sicurezza che protegga il dispositivo dalle minacce informatiche.
Pubblicato in News

SSD BGA Samsung

SSD BGA di Samsung - fonte: PC Watch

Samsung ha mostrato a un evento in Giappone un SSD in formato BGA, una soluzione tutto in uno di piccole dimensione e alte prestazioni.

Samsung ha mostrato durante un evento in Giappone il PM971, un interessante SSD in formato BGA (ball-grid array), ossia una soluzione tutto in uno (NAND, controller, DRAM e il resto) che si può saldare sulle motherboard di dispositivi come smartphone, i tablet o i cosiddetti 2 in 1, anche se nulla esclude di usarlo su un notebook o un PC desktop con un connettore adatto.

L'obiettivo di Samsung e di altre aziende con gli SSD BGA è ridurre ulteriormente lo spazio occupato all'interno di un prodotto rispetto all'uso di prodotti come gli SSD in formato M.2, guadagnando allo stesso tempo qualcosa in autonomia, spessore e temperature.

Benché si tratti di ancora di un prototipo sono note alcune caratteristiche di questo SSD. Samsung prevede di commercializzarlo in tre capacità (128, 256 e 512 GB) usando memoria MLC V-NAND affiancata da un controller speciale identificato con il nome Photon.

samsung pm971 ssd bga 01
SSD BGA di Samsung - fonte: PC Watch

Dal punto di vista delle prestazioni l'azienda sudcoreana indica letture sequenziali fino a 1500 MB/s e scritture fino a 600 MB/s. Per quanto concerne le prestazioni casuali si parla di letture fino a 190.000 IOPS e scritture fino a 150.000 IOPS.

L'interfaccia dell'SSD è quindi PCI Express, mentre le dimensioni - come potete vedere - sono inferiori a quelle di una scheda SD. Samsung si aspetta che i produttori di dispositivi inizino ad adottare questi SSD nella seconda metà di quest'anno o al più tardi nella prima parte del 2017.

Pubblicato in News

Google, Microsoft e Yahoo! lavorano a email più sicure

Google, Microsoft e Yahoo! lavorano a un nuovo standard di crittografia per proteggere lo scambio di email

L’esigenza di sicurezza è diventata di fondamentale importanza per gli utenti, in particolare per quanto riguarda le conversazioni online. Google, Microsoft e Yahoo! stanno quindi lavorando a un nuovo standard per definire le regole di crittografia relative alle email. Fino al 1982 la posta elettronica ha utilizzato il protocollo SMTP (Strict Mail Transport Security) che non prevede l’utilizzo di particolari sistemi di protezione. Nel 2002 lo standard ha ricevuto un aggiornamento chiamato STARTTLS che integrava sistemi crittografici. La sua adozione si è però diffusa solo dopo lo scandalo Datagate portato alla luce dall’ex contractor Edward Snowden.

L’obiettivo di colossi della Silicon Valley come Microsoft, che ha reso disponibile Windows 10 Mobile su vari modelli di smartphone, è quello di sostituire il troppo poco sicuro STARTTLS con un nuovo standard chiamato SMTP (Strict Mail Transport Security). La proposta è ora al vaglio dell’Internet Engineering Task Force, l’organo internazionale di ricerca che si occupa di sviluppare e promuovere nuovi standard Internet. Recentemente Google ha rilasciato il suo Rapporto di trasparenza in cui sottolinea che l’83% delle email inviate tramite Gmail ad altri servizi di posta sono criptate. Le piattaforme di gestione email dei concorrenti, invece, proteggono solamente il 69% dei messaggi inviati.

Pubblicato in News

Recuperare file da un backup di Windows usando un Mac

Con OS X è possibile accedere a un backup creato con gli strumenti di Windows e recuperare così eventuali file danneggiati.

Vi serve recuperare un vecchio file conservato in un backup di Windows usando un Mac? Partiamo da una buona notizia: è possibile recuperarlo ma serve un po' del vostro tempo, infatti Time Machine non è in grado di compiere questa operazione in modo autonomo.

In questa pagina ci dedicheremo a tre tipologie di Backup: Backup con cronologia file creati con Windows 10 e 8, Windows Backup di Windows 7 e System Image Backup generate da una qualsiasi versione di Windows.

Recuperare elementi da File History su Windows 10 e 8

La gestione di un backup su hard disk esterno con File History genera una struttura di cartelle ben determinata e visibile nel momento in cui colleghiamo il drive al Mac. Noteremo la presenza di una cartella denominata File History e usando Finder su Mac visualizzeremo questa struttura:

FileHistory/USERNAME/COMPUTERNAME/Data/C/Users/USERNAME/Documents 

Potrebbe sembrare complesso ma così non è, infatti, all'interno di questa cartella ritroveremo tutti i file sottoposti a backup e collocati nella medesima struttura di cartelle presenti sul PC Windows: con un minimo di tempo e di impegno si raggiungerà l'obiettivo.

Recuperare file da un backup creato su Windows 7

Iniziamo con una premessa: il metodo che andremo a descrivere a breve non è consigliato e deve essere visto come una delle ultime opzioni a disposizione. Il motivo è semplice: i backup gestiti da Windows 7 quando sono aperti come descritto non mantengono la struttura delle cartelle. Se possibile, è decisamente più raccomandabile aprire il backup usando un sistema Windows, recuperare il file desiderato e trasferirlo al Mac con una comune chiavetta USB.

In alternativa, valutare anche la possibilità di installare Windows sul Mac sfruttando Boot Camp. Se però l'unica alternativa è Mac OS X collegate l'hard disk esterno al Mac e attraverso Finder aprite il backup.

La cartella principale avrà il nome del PC dal quale il backup proviene, mentre a livello di struttura si noteranno tre cartelle denominate "Backup Set", "Catalogs" e "MediaID.bin".

La cartella di nostro interesse è Backup Set al cui interno troveremo i backup veri e propri indicati con la data di creazione. Ricercare quindi la cartella di proprio interesse, probabilmente quella con data più recente, e aprirla: all'interno troveremo una serie di file .zip che rappresentano i backup incrementali creati da Windows 7. Nell'archivio .zip più datato sarà presente il primo backup fatto, mentre negli altri .zip saranno presenti i file successivamente aggiunti.

file1

Per procedere al recupero del file è necessario copiare il file .zip sul Mac, aprirlo con un doppio click e ricercare il file desiderato. Di sicuro non è una operazione immediata, ma il risultato con un po' di sforzo è facilmente raggiungibile.

file4

Recuperare un file da System Image Backup

Scegliendo di gestire un backup su Windows attraverso system image si troverà sul volume di archiviazione dedicato all'operazione un file denominato "MediaID.bin" e una cartella dal nome "WindowsImageBackup" al cui interno è collocata una cartella con il nome del PC e una serie di file in formato .VHDX. Si tratta di hard disk virtuali generati da Windows che non possono essere aperti direttamente al fine di estrarre un singolo file.

file6

Per aggirare il problema è sufficiente installare Paragon VMDK Mounter il cui uso è gratuito. Questo strumento è assai valido e merita di essere tenuto nella "cassetta degli attrezzi" personale, infatti, permette di aprire svariati formati di immagini del disco.

Una volta installato il tool di Paragon è sufficiente fare doppio click sul file VHDX per aprirlo, anzi per essere più corretti per montarlo e renderlo accessibile dal Mac. Si potrà quindi accedere all'archivio e ricercare il file desiderato, copiandolo e incollandolo poi in un'altra posizione del disco.

Un'ultima raccomandazione: se il file .VHDX è salvato su un hard disk esterno formattato in NTFS è necessario trasferire tale file sul disco del Mac o su un volume con file system adatto, infatti, OS X può accedere in sola lettura a un volume NTFS. Ciò significa che utilizzando il tool di Paragon si visualizzerà un errore che non permetterà di montare il volume.

L'immagine seguente mostra ciò che potremmo vedere all'interno del file VHDX montato: nello specifico abbiamo visualizzato la cartella Utenti e le relative sottocartelle al cui interno sono solitamente archiviati i dati personali.

file7

Pubblicato in News

Asus RT-AC5300

Dedicato soprattutto ai gamer ma non solo, l'Asus RT-AC5300 è un nuovo router wireless tri-band basato su tecnologia Broadcom NitroQAM, capace di offrire velocità in Wi-Fi fino a 5334 Mbit/s, che lo rende il router più veloce mai realizzato.

Si chiama Asus RT-AC5300 e, grazie all'innovativa tecnologia Broadcom NitroQAMche gli consente di raggiungere velocità di 5334 Mbit/s, è il router Wi-Fi tri-band più veloce al mondo.

Dotato di un design insolito e futuristico, con i lati asimmetrici che gli impromono la sensazione di un moto di rotazione, l'Asus RT-AC5300 ha 8 antenne esterne dual-band staccabili (due per lato) in configurazione 4x4 MIMO, ovvero 4 in trasmissione e 4 in ricezioneoperative su tre bande differenti che, coniugate con le tecnologie di beamforming universale AiRadar e Tri-Band Smart Connect, garantiscono prestazioni straordinarie con molteplici dispositivi.

Il router inoltre include un esclusivo game accelerator integrato, basato su tecnologia WTFast GPN (Gamers Private Network), che riduce significativamente i tempi di ping e la latenza per garantire un'esperienza senza paragoni in tutti i giochi online multiplayer più competitivi e impegnativi.

La tecnologia Broadcom NitroQAM aumenta la velocità massima di ogni banda di frequenza da 5 GHz portandola dal valore standard di 1,734 Mbit/s fino a ben 2,167 Mbit/s, mentre nella banda da 2,4 GHz le velocità vengono aumentate da 800 Mbit/s a 1.000 Mbit/s offrendo un throughput combinato di 5334 Mbit/s, vale a dire cinque volte l'ampiezza di banda di una connessione cablata Gigabit Ethernet.

In questo modo, il router ASUS RT-AC5300 offre una capacità più che sufficiente per garantire bassa latenza nel gaming online, massima uniformità nello streaming dei video 4K/UHD e una condivisione ultra rapida dei file tra tutti i dispositivi connessi, che ormai in una casa sono sempre di più.

image004

La tecnologia Tri-Band Smart Connect inoltre consente all'RT-AC5300 di selezionare in modo intelligente la banda ottimale per ciascun dispositivo in funzione della sua velocità, del livello di segnale e del grado di sfruttamento di ogni banda disponibile. Ciò significa che l'utente non deve mai scegliere quale banda utilizzare, poiché questa operazione viene effettuata automaticamente dal router.

Il supporto della tecnologia Link Aggregation (802.3ad) offre poi agli utenti avanzati un modo per combinare due delle porte LAN Gigabit Ethernet in unasingola connessione cablata ultra veloce da 2 Gbit/s, usando due cavi di rete, funzione particolarmente interessante per chi utilizza ad esempio dispositivi NAS ad alta velocità.

Pubblicato in News

Il caso dell’attacco phishing travestito da foglio Excel condiviso su piattaforma Windows Live

I cybercriminali le tentano proprio tutte: gli attacchi mirati agli utenti aziendali non sono una novità, ma a volte gli espedienti utilizzati per accedere ai nostri dati sorprendono

I tentativi di attacco veicolati tramite mail erano già noti ancora prima dell’ondata di Ransomware. Quotidianamente vengono inviati in europa centinaia di milioni di messaggi spam, tra cui non figurano esclusivamente attacchi di massa ma anche attacchi mirati. Nel presente caso, analizzato dai G DATA Security Lab, abbiamo a che fare con un espediente ai danni delle aziende, il cui procedimento risulta “innovativo”. I destinatari della mail si accorgono solo facendo estrema attenzione, che si tratta di un tentativo di truffa. Le soluzioni G DATA riconoscono l’allegato come Script.Trojan-Stealer.Phish.AG.

La mail che raggiunge la casella di posta elettronica delle potenziali vittime reca un allegato chiamato purchase-order.htm. A ben guardare, il messaggio contiene elementi che destano sospetti. L’azienda emittente non esiste sotto questo nome, l’indirizzo gmail del mittente può risultare poco serio e il testo della mail contiene refusi, che possono essere scusabili, considerando che il potenziale cliente pare non essere geograficamente collocato in Paesi anglofoni.

csm_excel_phish_document_anonym_6abcd9a205L’allegato é travestito da documento prodotto con Microsoft Excel e condiviso online. Il file si presenta in effetti come una tabella, ma in realtà è solo un’immagine (order.png) non un documento lavorabile. Con tecniche di social engineering i criminali puntano alla curiosità dell’utente, segnalando ad esempio in rosso che le informazioni contenute nel file siano riservate. L’immagine viene caricata da un server situato ad Hong Kong. Per poter scaricare il documento, il destinatario deve inserire le proprie credenziali di accesso ai servizi della piattaforma live.com di Microsoft. In effetti però, la maschera per l’inserimento di tali dati non ha il formato giusto. Evidentemente i cybercriminali partono dal presupposto che gli utenti dei servizi online legati al pacchetto Office siano facilmente raggirabili. Peraltro, il diretto riferimento visivo, ma non esplicitamente citato, a tale piattaforma, suggerisce che i dati di accesso ai servizi Windows Live siano l’obiettivo di questa campagna. In effetti sono di valore, poiché ottenendoli, i cybercriminali si assicurano accesso illecito ad una serie di servizi, tra cui archivi di documenti online, posta elettronica per trafugare informazioni e inviare ulteriori messaggi di spam e molto altro.

Tutti dati ottimamente sfruttabili, specie se provenienti da un contesto aziendale.

excel_phish_login_error_anonym

I dati inseriti, ossia l’indirizzo mail e la password, vengono inviati subito dopo il click su “scarica” allo stesso server a Hong Kong, da cui sono state caricate le immagini, tuttavia ad un altro dominio. I G DATA Security Labs ritengono che l’intero server sia controllato dai cybercriminali. Dopo l’invio dei dati, una pagina web presenta – ovviamente – una notifica di errore.

Come proteggersi quando si ricevono mail di questo genere

Partendo dal presupposto che tutti siano dotati di una soluzione di sicurezza che integri una protezione antispam aggiornata:

  • Verificate la plausibilità del messaggio chiedendovi:Siate sospettosi quando ricevete mail da mittenti sconosciuti. Se la mail risulta “strana” ignoratela, cancellatela ma non aprite allegati e non cliccate su link. Soprattutto non rispondete alle mail di spam, mai, perché farlo corrisponde a confermare che il vostro indirizzo mail esiste, quindi assume un valore ancora maggiore per i criminali!
    • La mia azienda ha motivo di ricevere un ordine dall’estero?
    • Il destinatario della mail sono io o sono indicati altri indirizzi?
    • Che impressione generale mi fa il messaggio? Ci sono errori evidenti?
  • L’apertura di allegati é un fattore di rischio, occorre scansirli con una soluzione di sicurezza e poi cancellarli senza aprirli. In caso di dubbio girate il filesenza aprirlo direttamente ai G DATA SecurityLabs per un’analisi.
  • I link nelle mail non vanno cliccati senza pensarci bene. L’indirizzo web andrebbe verificato. Molti client di posta elettronica consentono di verificare l’esatto rimando del link senza cliccarci sopra, bensì passandoci sopra il mouse. In caso di incertezze inviate l’indirizzo (senza cliccarci sopra) ai G DATA Security Labs per l’analisi.
  • Le e-Mail con allegati in formato HTM(L) dovrebbero essere valutate con grande scetticismo. Il formato è usato di norma per siti web, difficilmente per lo scambio di informazioni tra persone. Lo stesso dicasi per file in formato .JS (JavaScript).
  • Non comunicate dati personali, né per email, né tramite formulari di dubbia natura o su siti sospetti.
  • In un contesto aziendale: fate riferimento al vostro amministratore di sistema o al CISO, qualora un dato processo risulti sospetto.
Pubblicato in News
Copyright © Xion Informatica S.n.c. - P. IVA 06455280963
Powered by Rubedo Marketing & Web Solution
Security by Ermeteus