MarkMonitor, nuovi gTLD per le banche: una svolta per la sicurezza?

Le banche e i clienti sono ossessionati giustamente dalla sicurezza. L'introduzione dei domini .bank contribuirà a migliorare questo aspetto. Dopo il lancio di varie estensioni di primo livello, sono disponibili circa una decina relative al mondo della finanza  come .bank, .credit, .credicard, tra le altre, e questo cambierà alcune cose sia per le imprese che per i consumatori. L’idea che c’è dietro le nuove estensioni, che non riguardano solamente il mondo finanziario, è una logica di settorializzazione di internet. Le banche hanno avuto l’opportunità di lanciare il proprio nome come estensione, ma pochi hanno colto questa occasione poiché avrebbe richiesto grandi investimenti.

Messaggi da falso Facebook Security minacciano la disattivazione account

Un nuovo tentativo di phishing sta facendo il giro di Facebook. In queste ore alcuni utenti hanno segnalato la ricezione di messaggi che sembrerebbero inviati dal team di sicurezza del social network e nei quali viene minacciata la disattivazione del loro account per una presunta violazione dei termini di servizio di Facebook. Come in altre truffe descritte recentemente, l'utente potrebbe ricevere un messaggio sul social network proveniente da un falso profilo che recita testualmente:

Attenti alle e-mail provenienti da falso mittente Microsoft con virus incluso

Se avete ricevuto una e-mail, apparentemente proveniente da Microsoft, che afferma di spiegare "importanti modifiche al Contratto di servizi Microsoft", prestate attenzione. In effetti, il contratto che regola molti servizi online, inclusi l'account Microsoft e molti prodotti, è stato recentemente aggiornato e Microsoft sta inviando delle e-mail informative a tutti i suoi clienti. Ma gli esperti di Sophos hanno individuato delle e-mail fraudolente apparentemente identiche a quelle spedite dall'azienda di Redmond. Nel testo della mail si legge:

Attacco scam su pagine Lady Gaga, attenti a false anteprime video

Gli account di Lady Gaga su Twitter e Facebook sono stati compromessi lunedì scorso, quando alcuni truffatori esperti sono riusciti a inviare messaggi, apparentemente dalla stessa cantante, per pubblicizzare l'omaggio di Macbook e iPad gratuiti per i fan che cliccavano su determinati short Url. Gli speciali "Macbook Free per le vancanze" e i "Lady Gaga iPad edition" sono stati, infatti, dei trucchi per indurre le persone a fornire i propri dati personali su pagine ospitate su Blogspot. Il buco di sicurezza sarebbe stato patchato, ma l'intrusione riporta l'attenzione sulla pericolosità degli indirizzi Twitter e Facebook di personaggi che hanno milioni di seguaci (i follower di Lady Gaga sono 17.164.230 su Twitter, mentre i fan su Facebook sono 45.802.141). Non è la prima volta che Lady Gaga viene presa di mira per diffondere delle truffe, ma questa volta si è trattata di una vera e propria violazione delle sue Pagine.

Tutto è inziato con la pubblicazione di una coppia di falsi tweet scritti seguendo lo spirito della cantante che si definisce amichevolmente "Mother of monster", madre dei mostriciattoli, spiega Theverge. "Monsters, I'm giving away FREE Macbook's to eache one of you in the spirit of the holidays :-) Go to [LINK] to receive one!", questo il messaggio sulla pagina di Lady Gaga su Twitter.

Mentre "Lady Gaga's new iPad comes out in 3 days! So for the next 72 hours we will be hosting a massive giveaway to all the Mother Monster fans. Sign up and receive your special Lady Gaga edition iPad in time for the Holidays! For contest rules and registration visit the link below. [LINK] Lady Gaga Edition iPad: Lady Gaga's Official iPad Giveaway!", il messaggio pubblicato sulla pagina di Lady Gaga su Facebook. I link mostravano in entrambi i casi un falso sondaggio della Apple che complessivamente è stato cliccato da oltre 100mila utenti, i quali hanno consegnato i propri dati personali agli scammer.

Nel giro di un'ora i post incriminati sono stati rimossi, come ha spiegato la stessa catante con un post sulla sua pagina Facebook: "Phew. The hacking is over! And just in time, I'm on my way to Japan! So excited to spend Xmastime with my TokyoMonsters! I also want to thank Little Monsters for making tomorrow the 20th Marry The Night Download Day. You are so sweet + generous, I love u. Xx Ready for redwine and 12 hrs of napping. Is it weird I like flying because I can sleep and my t-t-telephone has no service? #stopcallin wee!". "Naturalmente, colpendo una delle figure più popolari su Twitter e Facebook ha i suoi vantaggi per i truffatori", sottolinea Graham Cluney di Sophos.

Nonostante ciò, Protezione Account ha individuato dei link nella zona destinata agli iscritti della Pagina di Lady Gaga su Facebook con false anteprime video (ben camuffate) che non riportano a filmati, bensì ad applicazioni su Facebook e a siti di esterni che ricalcano alla grafica del social network per renderli più credibili. Ovviamente i link fraudolenti possono trovarsi su altre Pagine che contano milioni di fan. Prestate dunque attenzione prima di cliccare su qualsiasi post che vi viene proposto e controllate il link in esso contenuto.

I servizi di  Url accorciati permettono di creare un link capace di effettuare un reindirizzamento verso un qualunque indirizzo specificato dall'utente. I gestori dei principali servizi per l'abbreviamento degli Url hanno implementato dei meccanismi per verificare la pagina di destinazione informando l'utente se si tratta di siti fraudolenti. Nel caso di bit.ly, è sufficiente aggiungere il segno + alla fine dell'Url per stabilire l'indirizzo di arrivo. Ad esempio, cliccando su http://bit.ly/vVfgal si verrà reindirizzati alla home page di Protezione Account. Copiando lo stesso Url nella barra degli indirizzi ed aggiungendo il segno "+" (https://bitly.com/vVfgal+) si potrà subito scoprire la destinazione senza visitare la pagina Web a cui fà riferimento.

Lizamoon: attenzione al nuovo attacco malware, milioni di siti infettati

LizaMoon è il nome di un attacco scareware, il cui funzionamento è fondato sul timore di attacchi informatici. Websense Security Labs e il Websense ThreatSeeker Network hanno identificato una nuova campagna dannosa che sfrutta la tecnica SQL injection che gli esperti chiamiamo LizaMoon attack. Ricordiamo che si chiama SQL injection una particolare pratica di attacco che mira a colpire applicazioni web che si appoggiano a DBMS per la memorizzazione e la gestione di dati. L'attacco si concretizza quando l'aggressore riesce ad inviare alla web application, semplicemente usando il browser, una query SQL arbitraria.

Attenzione ai falsi eventi truffa su Facebook, colpiti milioni di utenti

Un nuovo metodo di spamming è stato escogitato dai cybercriminali per distribuire i propri link fraudolenti su Facebook. L'ultimo in ordine di tempo è stato scoperto dal vendor di sicurezza Sophos e riguarda per l'appunto il social network in blu. Secondo quanto rilevato da Graham Cluley, ricercatore di Sophos, gli spammer hanno invitato milioni di utenti di Facebook ad eventi falsi sul social network, nel loro ultimo tentativo di generare reddito da truffe attraverso sondaggi online. Approfittando della tendenza secondo cui moltissimi degli iscritti al popolare sito mostrano poca attenzione a cliccare sui contenuti che vengono loro proposti, gli spammer hanno creato falsi eventi sul social network, promuovendo delle truffe che hanno portato molto denaro nelle loro tasche, raggiungendo - in alcuni casi - oltre 10 milioni di utenti di Facebook in tutto il mondo.

Per esempio, un evento chiamato "Who blocked you from his friend list?" ("Chi ti ha bloccato dal suo elenco amico?") ha già ingannato più di 183.000 persone che hanno già confermato la loro partecipazione, con ben 10 milioni di utenti ancora in attesa di risposta.

I truffatori hanno inserito le istruzioni della sintesi dell'evento in "Maggiori informazioni" che conduce l'ignaro utente di Facebook a visitare le pagine web progettate per guadagnare soldi, attraverso siti in cui si viene invitati a compilare dei sondaggi online.

Il cui guadagno entra però tutto nelle tasche degli spammer. Altra prassi è poi legata alla richiesta di inserire il numero di cellulare, il quale sarebbe poi utilizzato per attivare servizi non richiesti ovviamente a pagamento, con il risultato di causare un danno economico non proprio indifferente agli utenti ingannati, i quali si ritrovano spesso buone quantità di credito telefonico decurtato a loro insaputa. Da notare che noi abbiamo effettuato la procedura e i testi presenti nella truffa vengono automaticamente tradotti nella propria lingua, secondo il nuovo sistema delle truffe localizzate già descritto in un recente post. Ecco un altro esempio di un evento di truffa su Facebook, utilizzando l'esca fin troppo familiare di un video scioccante per ingannare l'utente ad accettare l'invito:

In questo caso, se clicchiamo su uno dei short url incorporati nell'evento, veniamo riportati ad un sito esterno dove ci viene richiesta la consueta procedura di verifica dell'account. Questi inviti ad eventi spam-out e collegamenti ad indagini truffe sono uno dei problemi attualmente più gravi su Facebook, con un impatto giornaliero di milioni di utenti.

Non passa giorno in cui non arrivi un più o meno evidente report di attacchi o altri pericoli che circolano sui social network e, nonostante le nostre avvertenze e quelle dei ricercatori di sicurezza, sembra che a cadere in queste trappole siano ancora oggi numerosissimi iscritti, pare per abitudini dovute ad una certa superficialità nell’accettare inviti e cliccare su link esterni messe in atto da un numero molto elevato di persone. Se siete un utente di Facebook, ricordate di non accettare mai inviti da eventi sospetti che arrivano sul social network, e pensateci sempre due volte prima di cliccare su un link che trovate sulle bacheche di eventi, pagine o dei vostri amici di Facebook. Tali minacce stanno invadendo tutto il mondo dei social network, incluso Twitter. Mossa facilmente intuibile, visto che ormai queste sono le pagine internet più visitate dagli utenti, quindi i pirati informatici hanno ben pensato di sfruttarle per i loro scopi.

Nuovo allarme per i browser web: il Clickjacking sui siti web

Una nuova vulnerabilità tormenta i browser Web: il clickjacking. In cosa consiste? Noi clicchiamo su un link "sicuro", ma la nostra azione viene reidiretta su un oggetto diverso e potenzialmente dannoso. Tipicamente la vulnerabilità sfrutta JavaScript o Iframe. La tecnica è stata rilevata per la prima volta nel dicembre 2008 da Robert Hansen e Jeremiah Grossman. Per esempio: l'utente fa click su un link per accedere ad una pagina web e questa azione viene rediretta a sua insaputa su un pulsante per attivare una certa azione. 

In questo modo è possibile costringere l'utente a fare quasi qualunque cosa all'interno di una pagina web. Come si può capire, si tratta di una vulnerabilità potenzialmente molto pericolosa. Questo meccanismo di redirezione può essere implementato in almeno due modi diversi: via Javascript oppure usando un Iframe nascosto. Hansen e Grossman stanno attualmente lavorando con Microsoft, Mozilla e Apple per trovare rapidamente una soluzione al problema; purtroppo, poiché si tratta di una debolezza insita nella progettazione di alcuni standard del World Wide Web, non è ancora chiaro quale tipologia di soluzione verrà adottata. 

I dettagli di questa tecnica non sono ancora del tutto noti perché Adobe (la software house che produce "Flash" e "Reader") ha chiesto che vengano tenuti nascosti ancora un pò per darle il tempo di eliminare una vulnerabilità, collegata a questa, che interessa uno dei suoi prodotti. Tuttavia, è già evidente che non basta disabilitare l'interprete Javascript all'interno del browser per rendersi immuni dall'attacco, dunque si renderebbe necessario disabilitare anche le funzionalità relative a IFRAME. L'iframe, dall'inglese inline frame, è un elemento HTML. 

Si tratta infatti di un frame (un pacchetto di bit che costituisce un'unità strutturata di informazioni) "ancorato" all'interno della pagina, equivale cioè ad un normale frame, ma con la differenza di essere un elemento inline, cioè una "cornice interna" della pagina. L'iframe viene generalmente utilizzato per mostrare il contenuto di una pagina web, o di una qualsivoglia risorsa, all'interno di un riquadro in una seconda pagina principale. Il clickjacking basato sulla tecnica del tag IFRAME, consiste nel nascondere un inner frame all'interno della pagina web e fare in modo che i click effettuati sulla pagina finiscano, in realtà per "colpire" gli elementi di questo inner frame. 

In pratica è come mettere un foglio di carta trasparente sopra alla pagina e fare in modo che l'utente scriva su di esso invece che sulla pagina visibile. Il problema riguarda tutti i browser web, perchè questa vulnerabilità deriva dal modo in cui è strutturato e gestito il tag IFRAME e dal modo in cui è stata progettata una parte degli standard del World Wide Web (HTML, Javascript, etc.). Solo i browser molto, molto vecchi come Internet Explorer fino alla Release 4.0 esclusa, Netscape Navigator fino alla Release 4.0 esclusa, etc. ed i browser "solo testo", come Lynx e Links, ne sono immuni. La loro immunità è dovuta al fatto che non supportano le funzionalità necessarie per sfruttare questa vulnerabilità. 

Dato che si tratta di un "bug" nella progettazione stessa di alcuni standard del World Wide Web non c'è una soluzione semplice e definitiva. Nel frattempo, si possono limitare i rischi disabilitando l'interprete Javascript del browser e disabilitando la gestione del tag IFRAME (ma non tutti i browser permettono tale possibilità). Se utilizzate Mozilla Firefox, potete installare il plug-in NoScript. Dalla pagina delle "preferenze" di questo plug-in, impostate a true l'opzione "forbid IFRAME" ("proibisci IFRAME"). In generale è opportuno non insistere in attività "interattive" su siti sconosciuti. Ad esempio, è meglio evitare i giochi online realizzati con Adobe Flash, che generano una grande quantità di click.