Il phishing è una truffa effettuata online con la quale vengono sottratte, ogni anno, milioni di credenziali. Saperlo riconoscere è fondamentale. Con questo articolo puoi valutare le tue competenze in materia e scoprire come individuare le truffe.

Il phishing è una truffa effettuata online, solitamente via mail, con cui i cybercriminali cercano di ingannare la vittima convincendola a fornire loro informazioni personali, dati di accesso a conti online o carte di credito.

Come funziona un attacco phishing

Un tipico attacco phishing inizia con un messaggio via posta (ma anche via Whatsapp o Facebook) in cui un mittente più o meno noto o attendibile, come una banca o una grossa società, invita l’utente a cliccare su un link che lo riporta a un sito web molto simile a quello ufficiale. In questa interfaccia viene richiesto l’inserimento di credenziali di accesso, informazioni personali o anche di effettuare un pagamento.

In questo modo i malintenzionati riescono a impadronirsi di questi dati in chiaro e possono quindi rubare l’identità (o il conto in banca!) al malcapitato.

Esistono diversi livelli di attacchi phishing, i più banali vengono tranquillamente filtrati dai sistemi antivirus, altri sono contenuti in email chiaramente fasulle ma, ultimamente, i cybercriminali stanno diventando sempre più attenti e utilizzano tattiche di ingegneria sociale verosimili, a cui è facilissimo abboccare.

Come si riconosce un tentativo di phishing

Le mail di phishing si presentano, come detto, inviate da grandi società, da banche o comunque da un mittente attendibile (un cliente, un fornitore o un amico, ad esempio) e, con una scusa, richiedono all’utente di cliccare su un link, che lo riporterà a una pagina web in cui dovrà inserire i suoi dati.

Il testo della mail, nonostante sia oggi piuttosto preciso (i cybercriminali, anche dall’estero, hanno iniziato a tradurre con Google Translate, servizio che sta diventando sempre più attendibile), presenta spesso dei piccoli errori e questo dovrebbe iniziare a insospettirci.

È poi molto importante verificare chi sia il mittente ma attenzione, a volte l’indirizzo mail da cui arriva la comunicazione può differire da quello originale solo per una lettera o per l’ordine delle parole.

Infine, prima di cliccare su un qualsiasi link, passandoci sopra il mouse, potrete vedere in basso a sinistra quale sarà la pagina di destinazione del clic: la stringa può essere composta da più parole, le prime anche con riferimenti a quello che crediamo sia il mittente originale, l’indirizzo reale di destinazione è però l’ultimo, preceduto dal classico punto com/it/net ecc.

Un altro consiglio che possiamo dare è quello di non aprire mai gli allegati, soprattutto se non si è certi al 100% del contenuto. Può essere infatti che alcuni file siano degli eseguibili e che, una volta lanciati, installino in autonomia qualche virus sulla macchina.

Ricordiamo poi che è buona prassi evitare di inserire i propri dati o quelli aziendali prima di essersi accertati dell’autenticità del mittente, attraverso una comunicazione ufficiale.

Pensi di aver capito come riconoscere ed evitare un attacco phishing? Mettiti alla prova con il test di Google!

Per fare il test sarà sufficiente cliccare sul link (non è un attacco phishing, fidatevi), inserire un nickname, una mail fasulla e rispondere alle domande!

Hai bisogno di formazione o consulenza sulla sicurezza informatica per te o per i tuoi dipendenti? Contattaci!

È partito un grande attacco di phishing a nome della società di servizi online Aruba, ai danni dei loro clienti del settore della Pubblica Amministrazione

È partito un grande attacco rivolto ai clienti di Aruba del settore della Pubblica Amministrazione.

Aruba è un’importante azienda provider di servizi online come mail PEC, hosting, fatturazione elettronica ecc e pare che questa volta, dopo le banche, i cybercriminali abbiano scelto questa società per inviare, a suo nome, delle richieste di pagamento, con riferimento a una fattura che ovviamente è fasulla.

Essendo Aruba una società privata non è così improbabile che mandi questo genere di comunicazioni, tuttavia quello che dovrebbe insospettire il ricevente è il testo della mail:

“Abbiamo incontrato un problema di fatturazione. Questo tipo di errori di solito indica che la vostra carta di credito è scaduta o il vostro indirizzo di fatturazione non è valido. Clicca sul seguente HTML aggiornare le tue informazioni. Ti verrà richiesto di aprire (visualizzare) il file o di salvarlo (scaricarlo) sul tuo computer. Per il miglior risultato, salvare prima il file, quindi aprirlo su un browser web. Il tuo account sarà disabilitato se non avremo ricevuto alcuna risposta da te in più di ventiquattro ore”.

Nel corpo mail infatti si invita l’utente a compilare un form HTML allegato, suggerendo di scaricarlo sul proprio computer.

L’allegato altro non è che una falsa pagina web brandizzata Aruba e richiede all’utente di inserire tutti i suoi dati personali e quelli della sua carta, per procedere con il pagamento.

Una volta effettuato il versamento, per rendere più verosimile la transazione e ingannare in meglio l’utente, si viene rindirizzati alla homepage originale di Aruba.

Provando però ad analizzare la pagina HTML allegata, possiamo vedere quale sia la vera destinazione del nostro link:

La campagna, scoperta da Cert-PA, è solo l’ultima di una serie di attacchi rivolti alla Pubblica Amministrazione per cui i cybercriminali, sperando nell’errore umano di qualche dipendente, provano a rubare denaro pubblico e credenziali ai malcapitati.

Ancora una volta il nostro consiglio rimane quello di prestare particolare attenzione alle mail che richiedono un pagamento e, nel dubbio, di rivolgersi sempre al provider prima di inserire un qualunque dato personale o un dato di una carta.

È stata scoperta una massiccia campagna malspam che, attraverso allegati malevoli con riferimento alla fatturazione elettronica, attacca i pc delle aziende e quelli delle pubbliche amministrazioni

La notizia è di questi giorni e viene direttamente dai ricercatori di Yoroi: è stata individuata una massiccia campagna di malspam che sta colpendo aziende e pubbliche amministrazioni, utilizzando contenuti di tipo amministrativo con riferimenti alla fatturazione elettronica.

La mail malevola contiene un allegato Excel che, una volta aperto, è in grado di infettare il pc del malcapitato con una pericolosa variante del malware Ursnif.

Ursnif è un cosiddetto “banking trojan” e cioè un virus che si installa dopo l’apertura di un file che contiene una stringa di codice particolare e che ha il fine di rubare le credenziali dell’home banking degli utenti infettati. Questo virus aveva iniziato a diffondersi qualche mese fa, creando non poche vittime.

La particolarità del caso specifico è che il file Excel infettato è stato realizzato per colpire espressamente gli utenti italiani, il codice malevolo infatti è stato realizzato per attivarsi solo se il pacchetto Office sul computer del ricevente è configurato per utilizzare la lingua italiana.

Il malware della fattura elettronica, per infettare i pc dei malcapitati, utilizza una particolare tecnica chiamata “tecnica steganografica”. Questo metodo era usato in passato per mascherare le comunicazioni in campo militare, nascondendo delle informazioni in un documento.

Ursnif fa proprio questo: analizzando il codice della mail infetta infatti è possibile individuare un’immagine di Super Mario, il famoso idraulico del Nintendo, che in realtà nasconde una stringa malevola per avviare l’installazione del virus, una volta aperto l’allegato Excel. A quel punto l’hacker può entrare, attraverso una backdoor, all’interno del pc infetto, rubando tutte le informazioni personali che contiene.

Fortunatamente il virus, nonostante utilizzi tecniche abbastanza comprovate di ingegneria sociale, è facilmente riconoscibile, basta fare attenzione alle mail che si ricevono.

Ecco come riconoscere il messaggio pericolo, attraverso delle semplici indicazioni fornite da CyberSecurity360:

L’oggetto:

“I: Fattura corretta”
“I: Obbligo fatturazione dal 1° Gennaio 2019”
“R: SCADUTO”
“Avv. scad.”
“fattura in scadenza”
“I: AVVISO DI PAGAMENTO”
“I: bonifico ricevuto in data odierna”
“NS.ORDINE NR.0030961 DEL 30/01/19”

Gli allegati:

“DOC_S.P.A._N_2332_DEL_01_19.XLS” (o varianti)
“DEL_2019_01_S.R.L._N__183382.XLS”
“F.DOC.2019 A 113 SPA.xls”

I dropurl:

hxxps:// images2.imgbox[.com/55/c4/rBzwpAzi_o.png
hxxps:// i.postimg[.cc/PH6QvFvF/mario.png?dl=1
hxxps:// fillialopago[.info////////~DF2F63
command& control server C2 (Ursnif):

hxxp:// felipllet[.info/images/

Le chiavi hash:

dc429c58a3c043574bc584047c614f08bb51ff6378cb43eaf809e6e97a6cb1cd xls
0c8c27f06a0acb976b8f12ff6749497d4ce1f7a98c2a161b0a9eb956e6955362 png
f30454bcc7f1bc1f328b9b546f5906887fd0278c40d90ab75b8631ef18ed3b7f exe

Ricordiamo però che la prima difesa contro un attacco informatico via mail rimane il buon senso:

• non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
• trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
• non eseguire mai file eseguibili allegati alle email, a meno di non essere assolutamente certi della provenienza;
• se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
• in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
• eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.

Scoperto un grave bug su FaceTime che permette agli utenti di ascoltare l’interlocutore tramite l’app, prima che questo risponda. Apple è già al lavoro per risolvere il problema

Non è un bell’inizio dell’anno per Apple. La società “della mela” infatti, dopo una chiusura amara del 2018, ha un altro grosso problema che questa volta riguarda direttamente la privacy degli utenti.

È stato scoperto un bug all’interno dell’app FaceTime, già confermato ufficialmente da Tim Cook che ha dichiarato “Siamo consapevoli del problema e abbiamo identificato una soluzione che sarà diffusa con un upgrade del software più avanti nel corso della settimana".

Ma vediamo cosa succede esattamente: FaceTime è la nota applicazione per iPhone e MacBook che permette di chiamare o videochiamare tramite internet attraverso la videocamera frontale del dispositivo, selezionando il contatto, parte la video-telefonata che si attiva una volta che la persona dall’altro capo accetta la chiamata. È inoltre possibile, scorrendo lo schermo verso l’alto, inserire altri partecipanti alla call, iniziando così una chiamata di gruppo.

E proprio qui nasce il problema. Il bug scoperto permetterebbe alle persone di ascoltare e vedere ciò che accade alla prima persona chiamata, una volta che si è iniziata una chiamata di gruppo e inserito “se stessi” come terzo partecipante, prima che questa possa rispondere.

La falla riguarda gli utenti che utilizzano dalla versione 12.1 del sistema operativo mobile di Apple iOS a una più recente, ma anche chi viene chiamato su un Mac da un iPhone.

Lo sfruttamento di questo bug per spiare una persona sembra essere remoto, in quanto la potenziale vittima riceve comunque l’avviso di chiamata in arrivo ma il problema potrebbe verificarsi se, ad esempio, questa persona avesse impostata la modalità silenziosa sull’iPhone. Immaginiamo uno scenario in cui siamo in ufficio col telefono senza suoneria, quello che potrebbe accadere è che vengano ascoltate conversazioni di lavoro, anche molto riservate.

Ad ulteriore riprova di questo il Guardian ha affermato che se invece di rispondere il destinatario della chiamata sceglie il pulsante di spegnimento, azione tipica di chi vuole “zittire” la telefonata invece di rispondere, parte automaticamente uno streaming video di quanto ripreso dalla fotocamera frontale.

Il pericolo non è quindi così remoto e infatti è la stessa Apple a consigliare agli utenti di disattivare l’applicazione, almeno fino al prossimo aggiornamento.

Per disattivare Facetime basta andare sulle impostazioni > Facetime > Flaggare OFF

Nel frattempo è già stata disattivata la possibilità di fare chiamate di gruppo, fino a quanto non verrà rilasciata la patch.

Per l’azienda di Cupertino, che ha sempre fatto della protezione della privacy uno dei suoi punti di forza, pare non essere un buon momento, anche se è apprezzabile la prontezza con cui sono intervenuti nel comunicare il problema, cercando di risolverlo.

Per chi una dimostrazione video del bug di FaceTime, cliccare qui.

Il diffondersi dello smart working sta mettendo a repentaglio alcuni dati sensibili e “sensibilissimi” dei lavoratori. Vediamo quali sono i rischi di questa pratica innovativa

Lo smart working è, secondo la definizione dell’Osservatorio del Politecnico di Milano, “una nuova filosofia manageriale fondata sulla restituzione alle persone di flessibilità e autonomia nella scelta degli spazi, degli orari e degli strumenti da utilizzare a fronte di una maggiore responsabilizzazione sui risultati”.

Si tratta quindi di un modello organizzativo aziendale che agisce tra il dipendente e l’organizzazione e propone autonomia nel lavoro, regalando maggiore flessibilità alle persone e contemporaneamente responsabilizzandole, facendole lavorare per obiettivi.

Si parla quindi di “lavoro agile”, senza vincoli di orari, che permetta al lavoratore di ritagliarsi i suoi spazi e conciliare meglio vita privata e lavorativa.

Si tratta di una nuova concezione del lavoro che sta iniziando a diffondersi in Italia (sempre un po’ fanalino di coda rispetto all’Europa), che piace molto ai lavoratori ma che prevede un completo cambiamento della mentalità manageriale italiana, che vuole il dipendente seduto alla scrivania più ore al giorno e controllabile in ogni momento.

Non è però una prerogativa delle aziende, anche la PA comincia timidamente ad abbracciare un modello “smart”: sono oggi più di 4000 i dipendenti pubblici che operano da remoto.

Per quanto possa essere vantaggioso gestire da casa il proprio lavoro, questo presuppone l’utilizzo di determinati strumenti informatici che permettano ai lavoratori di interagire con i dati aziendali (senza esporli a rischi) e senza però esibire i loro dati sensibili alla mercé del datore di lavoro.

La legislazione attuale non comprende tutele vere e proprie per il lavoro agile e, a sorpresa, anche il GDPR non ha un vero e proprio capitolo che vada a normare la sicurezza de dati sensibili degli smart workers.

Sono gli articoli 4 e 8 dello Statuto dei lavoratori ad avere la finalità di proteggere i lavoratori dai controlli troppo invasivi, per garantirne la sfera di riservatezza.

L’articolo 4 in particolare vuole “limitare” il potere del controllo a distanza, mentre l’8 vieta al datore di lavoro di indagare opinioni politiche, religiose ecc del lavoratore: i cosiddetti dati sensibili.

Cosa succede però con gli strumenti per lo smart working?

Esistono diversi strumenti tecnologici che vanno dalla webcam a tecnologie wearable che possono misurare livello di attenzione o di stanchezza della persona e che vanno a intaccare pesantemente la privacy dei dipendenti. Infatti se inquadrando il dipendente con la webcam in casa sua è possibile inquadrare anche, ad esempio, un crocefisso appeso al muro o un qualche simbolo di partito, esponendo quindi l’informazione al datore di lavoro, misurare le sue prestazioni con dispositivi digitali, andrebbe ad esporre quelli che vengono chiamati “dati sensibilissimi”.

Diventa quindi pressochè impossibile che queste tecnologie vengano progettate rispettando i principi di privacy by design e dafault, in quanto sono studiate per andare a raccogliere proprio questi dati.

Starebbe quindi al datore di lavoro informare adeguatamente il dipendente sulla raccolta e l’utilizzo di quei dati, dandogli anche la facoltà di opporsi.

Un’opzione suggerita dall’Agenda Digitale è quella di imporre la figura del DPO a tutte le compagnie che utilizzano il lavoro agile, in modo che siano guidati nella scelta degli strumenti e nelle modalità di applicazione della normativa.
Per contro questa imposizione potrebbe essere troppo gravosa per le PMI che quindi si troverebbero obbligate a rinunciare a questo benefit verso i dipendenti.

Un’altra opzione potrebbe essere, nel segno del principio di privacy by design, imporre ai costruttori delle tecnologie in grado di leggere i dati “sensibilissimi” del lavoratore di adottare algoritmi intelligenti, anche attraverso il machine learning, in grado di interpretare tali dati e di trasmetterli solo ove necessario.

Lo smart working diventa quindi una pratica che necessita di ulteriori regolamentazioni così da renderne più trasparente e semplice l’utilizzo, in ottica di una sua maggiore diffusione e di tutti i benefici che sembra portare sulla qualità di vita dei dipendenti.

Alcune falle di sistema del famoso gioco Fortnite avrebbero consentito a malintenzionati di rubare account e dati personali dei giocatori. Il bug per fortuna è già stato risolto

Fortnite è un gioco online uscito nel 2017 e prodotto da Epic Games. Da quel momento il gioco ha iniziato un’ascesa senza precedenti diventando un vero e proprio fenomeno, registrando quasi 50 milioni di giocatori attivi.

Il gioco è disponibile per PC, Xbox One, PlayStation 4 e dispositivi iOS e necessita una connessione internet per permettere ai player di giocare interagendo tra loro.

Proprio perché “viaggia” online il videogame è sensibile, come tutti i software che gestiscono dati, a possibili attacchi informatici e, proprio in questi giorni, è stata individuata una falla che ha messo in pericolo non solo i dati personali degli utenti ma anche quelli legati alla loro carta di credito, riuscendo ad invadere notevolmente la privacy dei gamer, entrando nelle loro chat private e ascoltando tramite il microfono i rumori circostanti.

Il bug è stato segnalato da Check Point Software Technologies, che ha riportato sul suo blog i dettagli di una falla presente nel gioco: sono state rilevate infatti tre vulnerabilità dell’infrastruttura web di Epic Games, tutte e tre relative alla fase di login.

Il processo di autenticazione basato su token combinato con sistemi SSO (Single Sign-In) era stato preso di mira per rubare le credenziali dell’utente e assumere il controllo dell’account.

Per cadere vittima di questo attacco era sufficiente cliccare su un link di phishing che sembrava provenire da Epic Games ma che in realtà era stato pubblicato dall’hacker. Una volta cliccato, il token di autenticazione Fortnite dell’utente poteva essere rubato dall’hacker senza che l’utente avesse inserito alcuna credenziale di accesso.

Secondo i ricercatori di Check Point la vulnerabilità era il risultato di alcuni difetti riscontrati in due sottodomini di Epic Games che erano esposti a un reindirizzamento malevolo, consentendo ai token di autenticazione legittimi degli utenti di essere intercettati da un hacker dal sottodominio compromesso.

Nonostante le falle siano state prontamente rimosse, Check Point ed Epic Games consigliano a tutti gli utenti di prestare la massima attenzione allo scambio di dati online e di non fidarsi di tutti i link pubblicati sui vari siti web e forum dedicati a Fortnite.