IT security, report McAfee Labs: sanità e Facebook in mirino crimine

Il rapporto di McAfee, società indipendente di sicurezza IT, vede nel settore Healthcare il maggior numero di cyber attacchi nel 2016 e 2017. Faceliker manipola gli account Facebook per promuovere notizie, siti web e pubblicità. McAfee Inc. ha pubblicato il report McAfee Labs sulle minacce: settembre 2017, che prende in esame l’aumento del malware basato su script, suggerisce cinque comprovate best practice per il rilevamento delle minacce, fornisce un’analisi dei recenti attacchi di ransomware WannaCry e NotPetya, studia le tipologie di attacchi segnalati nei vari settori e rivela le tendenze di crescita di malware, ransomware, malware mobile e altre minacce nel Q2.

MyPageKeeper, app mantiene account Facebook pulito da scam e socware

Non è raro incontrare almeno un post su Facebook nel proprio News Feed che recita "OMG OMG guarda questo video... WOW!". Con un pò di buon senso e con un pizzico di consapevolezza (che a volte manca) è possibile capire che si tratta di contenuti malware. Adesso, i ricercatori della University of California e gli esperti di sicurezza di StopTheHacker.com hanno sviluppato un'applicazione gratuita per Facebook che individua i messaggi di spam e malware, all'interno di ogni feed sul social network.

I ricercatori hanno trovato l'applicazione MyPagekeeper abbastanza precisa, veloce ed efficiente. Science Daily riporta ora che l'applicazione MyPageKeeper è riuscita a rilevare con successo il 97 per cento del malware durante l'esperimento. I ricercatori hanno coniato un nuovo termine "Socware" (contrazione di "social-malware e pronuncia sock-ware) per indicare i fenomeni di social-networking malware.

Socware è una combinazione che include il "malware sociale" di tutti i comportamenti criminali e parassitari su reti sociali online. I ricercatori sostengono che nel 97 per cento dei casi l'applicazione è riuscita a rilevare del socware. Si è ritenuto non corretto in solo 0,005 percento dei casi di prova. I ricercatori hanno scoperto che l'approccio tradizionale del website crawling impiega 1,9 secondi per rilevare il malware, l'applicazione MyPageKeeper ha una media di 0,0046 secondi per segnalare un post.

"Questa è davvero la ricetta perfetta per il rilevamento di socware a larga scala, altamente precisio, veloce ed economico", ha dichiarato Harsha V Madhyastha, assistant professor di informatica e ingegneria presso l'UC Riverside Bourns College of Engineering (UCR). Madhyastha ha condotto la ricerca con Michalis Faloutsos, professore di informatica e ingegneria, Md Sazzadur Rahman e Ting-Kai Huang, entrambi studenti di dottorato. Rahman ha presentato i risultati del rapporto al recente USENIX Security Symposium 2012.

L'esperimento è stato condotto su un periodo di quattro mesi, da giugno a ottobre 2011. Nel corso dell'esperimento, i ricercatori hanno riferito di aver guardato attraverso oltre 40 milioni di messaggi da 12.000 persone che hanno installato MyPageKeeper. Alla fine, i ricercatori hanno trovato che il 49 percento degli utenti sono risultati vulnerabili ad almeno un post socware durante i quattro mesi.

Faloutsos, un veterano sul tema della sicurezza Web, che dichiara di aver studiato la sicurezza Web per più di 15 anni aggiunge: "Questa è davvero una corsa agli armamenti con gli hacker. In molti modi, Facebook ha sostituito e-mail e siti web. Gli hacker stanno seguendo lo stesso percorso e abbiamo bisogno di nuove applicazioni, come MyPageKeeper per fermarli". I ricercatori hanno scoperto che le parole come "libero", "presto", "guarire" e "scioccante" erano indicatori del post con contenuti di spam.

Hanno trovato che l'uso di sei delle prime 100 parole chiave è sufficiente per rilevare il socware. I ricercatori hanno evidenziato che è improbabile che gli utenti cliccano "Mi Piace" o commentano i post socware, per il fatto che aggiungono poco valore. Post con meno "Like", quindi, sono indicatori di socware. Inoltre, MyPageKeeper controlla gli URL con le liste di domini che sono stati identificati come responsabili di spam, phishing o malware.

Qualsiasi URL che corrisponde è classificato come socware. Qui ci sono alcuni risultati alla fine di quattro mese di esperimento: "un numero 'costantemente' elevato di notifiche socware vengono inviati ogni giorno, con picchi significativi di pochi giorni. Citando un esempio, nel report si legge che 4056 notifiche sono state inviate l'11 luglio 2011, che corrispondevano a una truffa virale che ingannava gli utenti per completare sondaggi con il pretesto di falsi prodotti gratuiti".

"Solo il 54 per cento dei collegamenti socware sono stati ridotti da shorteners URL come bit.ly e tinyurl.com. I ricercatori presumono che questo numero potrebbe essere più alto, dal momento che "URL shorteners consenteno di nascondere l'indirizzo del sito web". Hanno anche scoperto che molte truffe utilizzare un pò, ovviamente, di "falsi" nomi di dominio, come ad esempio http://iphonefree5.com e http://nfljerseyfree.com, ma gli utenti sembrano caderci , e fanno clic sul link.

Un modo semplice per individuare manualmente del socware è quello di verificare l'URL che viene visualizzato nella parte inferiore del browser, appena si passa il mouse sopra un link, per determinare se si tratta di una fonte affidabile o Facebook stesso. È interessante notare che alcune parole che si possono riscontrare sia su Facebook che in e-mail di spam sono socware. Ad esempio, "omg" ha 332 volte maggior probabilità di comparire su Facebook come socware.

Nel frattempo,"banca" ha 56 volte maggior probabilità di apparire in e-mail di spam. E' stato rilevato, inoltre, che il 20% dei collegamenti socware sono ospitati all'interno di Facebook. L'applicazione ancora in beta e configurabile, è disponibile all'indirizzo https://apps.facebook.com/mypagekeeper/. L'ingresso alla comunità di MyPageKeeper può aiutare i ricercatori a migliorare il servizio. E' possibile, infatti, segnalare anche gli URL sospetti che si incontrano su Facebook.

Facebook presenta il nuovo Centro Assistenza e la Dahsboard di supporto

Facebook ha rinnovato il suo Help Center, nel tentativo di fornire risposte più rapidamente agli utenti che ne hanno bisogno. Attraverso il Centro Assistenza, gli utenti possono ottenere risposte rapide a domande in materia di privacy, Timeline, pagine, e diversi altri argomenti. Il Centro Assistenza di Facebook è stato lanciato nel 2007 e ha dato agli utenti un modo per porre domande o cercare risposte a questioni spesso d'interesse generale. Il sito ha voluto chiarire la progettazione che lo rend un pò più facile da navigare.

"In Facebook, lavoriamo duramente per costruire prodotti innovativi che consentono di collegare e condividere. Mentre ci sforziamo di rendere l'esperienza di Facebook intuitiva e facile da usare, sappiamo che a volte la gente ha ancora bisogno di aiuto. Oggi stiamo lanciando un riprogettato Centro assistenza per rendere ancora più facile per voi trovare le informazioni necessarie in modo da poter tornare alla connessione e la condivisione su Facebook", annuncia Facebook Safety.

Il nuovo Centro Assistenza di Facebook è progettato per ottenere le informazioni di cui avete bisogno in pochi clic. La home page offre ora sei temi principali, tra cui cose del tipo "Guarda cosa c'è di nuovo su Facebook" - che è un collegamento a una panoramica delle nuove funzionalità e prodotti. "Nozioni di base sulla privacy" - che porta a informazioni sul funzionamento delle condivisioni e come controllarle su Facebook. E' possibile anche personalizzare questi argomenti in base a come si sta utilizzando Facebook.

Ad esempio, se non si è effettuato l'accesso a Facebook, è possibile visualizzare informazioni su come creare un account o suggerimenti su come reimpostare la password di Facebook. I tecnici del social network hanno messo in evidenza una serie di domande popolari così come le Top pagine di Facebook per essere aggiornati sugli ultimi suggerimenti e annunci di nuove caratteristiche. La nuova navigazione a sinistra è progettata per rendere più facile cercare le informazioni che si stanno cercando.

Questo nuovo design vi permetterà di trovare le informazioni che si stanno cercando in maniera più rapida. Facebook sottolinea che continuerà a migliorare questa esperienza nei prossimi mesi. Scegliete le impostazioni sulla privacy che vi fanno sentire più a vostro agio e controllatele di frequente. Non condividete la vostra password con nessuno, usate il buon senso quando pubblicate o condividete informazioni personali, specialmente quelle che potrebbero permettere ad altri di identificarvi offline, come indirizzo o numero di telefono.

Segnalate gli utenti e i contenuti che violano la Dichiarazione dei diritti e delle responsabilità di Facebook. Bloccate e segnalate gli utenti che vi inviano messaggi indesiderati o inappropriati. L'approvazione degli accessi è una funzione di sicurezza attivabile simile alle notifiche di accesso, ma con un passaggio di sicurezza aggiuntivo. Con l'approvazione degli accessi, vi verrà chiesto di digitare un codice di accesso speciale ogni volta che cercate di accedere al vostro account Facebook da un nuovo computer o telefono cellulare.

Una volta effettuato l'accesso, potrete attribuire un nome al dispositivo usato e salvarlo nel vostro account Facebook. Non dovrete inserire un codice quando accedete usando uno di questi dispositivi riconosciuti. Inoltre, sul Centro Assistenza vengono spiegati chiaramente anche i sistemi noti attraverso i quali il computer può venire infettato da malware, mentre si è loggati sul social network. Ad esempio, quando si tenta di guardare un "video scioccante" dall'aggiornamento di stato di un amico o quando si visita un sito Web che dichiara di offrire funzioni speciali su Facebook.

Esistono siti che dichiarano di potervi mostrare chi sta visualizzando il vostro Diario o cambiare il colore della Timeline o ancora di poter rimuovere il diario completamente: queste funzioni non esistono. Facebook, inoltre ha annunciato un altro uno dei suoi strumenti, la Support Dashboard, che sarà ora disponibile al 100% agli utenti in tutto il mondo. Originariamente lanciato nel mese di aprile 2012, il Cruscotto di Assistenza è uno strumento progettato per aiutare a monitorare l'avanzamento delle segnalazioni.

Per esempio, tali report possono essere effettuati su foto e Timeline, che sono i tipi più comuni di contenuti. Una volta che si segnalano contenuti a Facebook utilizzando i collegamenti per i rapporti, sarete in grado di vedere la Dashboard di supporto da Impostazioni account. Dalla vostra Dashboard di supporto si può vedere quando il team di Faceboook esaminerà la segnalazione, quali azioni ha preso e perché ha intrapreso l'azione. Facebook invierà una notifica quando cambierà lo stato del report. Le segnalazioni consentono al team di rimuovere rapidamente ed efficacemente contenuti offensivi da Facebook.

Falso avviso Facebook informa cancellazione account e scarica malware

Una nuova pericolosa truffa si sta diffondendo su Facebook. Avete ricevuto una e-mail che chiede di confermare la richiesta di cancellazione del vostro account? State in guardia. Gli esperti di Sophos sono stati contattati da un loro lettore dopo aver ricevuto una mail proveniente apparentemente da Facebook e che ha suscitato i suoi sospetti. Nella lettera si legge:

"Hi [email address] We are sending you this email to inform you that we have received an account cancellation request from you. Please follow the link below to confirm or cancel this request

Thanks,
The Facebook Team

To confirm or cancel this request, follow the link below:
click here"

"Ciao [indirizzo email]

Ti invio questa email per informarti che abbiamo ricevuto una richiesta di cancellazione dell'account da te. Segui il link qui sotto per confermare o annullare questa richiesta

Grazie,
Il team di Facebook

Per confermare o annullare questa richiesta, seguire il link qui sotto:
clicca qui"

Il lettore di Naked Security ha fatto bene a essere sospettoso. Il link infatti non punta a una pagina ufficiale di Facebook, ma ad un'applicazione di terze parti in esecuzione sulla piattaforma del social network. Naturalmente, questo significa che il link accede a un indirizzo facebook.com, ciò potrebbe ingannare coloro che sono poco cauti.

La prima cosa che si può incontrare se si clicca sul link è un messaggio che chiede se si desidera consentire l'esecuzione sul computer di un'applet Java sconosciuta. E sembra che la richiesta sia piuttosto insistente. Infatti, se si preme il pulsante "No grazie" si verrà continuamente "tormentati " per dar il consenso all'esecuione dell'applet Java.

"Viene utilizzato del social engineering abbastanza astuto dai truffatori che stanno dietro questo attacco malware. Sanno che la gente tiene molto ai propri account Facebook, e molti sarebbero sconvolti dal perdere l'accesso e le connessioni digitali che hanno costruito con gli amici e la famiglia", scrive Joanne Garvey, ricercatore di sicurezza di Sophos Labs.

La speranza dei criminali informatici è che le vittime accettino ciecamente ciò che il computer dice loro di fare, in modo da "risolvere" la richiesta di cancellazione dell'account. Se si da il consenso all'esecuzione dell'applet Java, verrà visualizzato un messaggio che informa che Adobe Flash deve essere aggiornato. Naturalmente, il codice che viene scaricato non è affatto un aggiornamento di Flash originale.

Invece, il programma aggiunge dei file nella cartella /WIN32, che hanno l'intenzione di permettere agli hacker remoti di spiare le vostre attività e prendere il controllo del vostro computer. I prodotti di sicurezza Sophos prodotti rilevano i malware e bloccano l'accesso al sito che ospita il codice pericoloso. Si tratta dei malware Mal/SpyEye-B e Troj/Agent-WHZ, che aprono una backdoor nel computer della vittima.

Kaspersky Lab, malware a marzo 2012: nel mirino anche utenti Facebook

A marzo gli esperti di Kaspersky Lab hanno individuato un attacco nocivo che utilizzava malware in grado di operare senza creare file sui sistemi infetti. Un’indagine condotta da Kaspersky Lab ha dimostrato che i siti web dei media russi che utilizzavano il sistema teaser AdFox nelle proprie pagine, infettavano involontariamente i propri visitatori. Durante il download del teaser, il browser dell'utente veniva segretamente reindirizzato verso un sito web nocivo contenente un exploit Java.

Attacchi scam polimorfici hanno come destinazione gli utenti Facebook

Pubblicità dannosa su Facebook di solito porta gli utenti a indagini truffa, pezzi di malware, siti di phishing e altri tipi di programmi pericolosi da parte di criminali informatici. Tuttavia, gli esperti di Bitdefender si sono imbattuti in un attacco "polimorfico" che potrebbe finire in uno di questi scenari. Un complesso attacco promette video di sesso trapelato, offre payload morphed attraverso le estensioni del browser avvelenate (pluginjacking).

Trusteer: malware Ice IX ruba account tramite falso controllo Facebook

E' chiaro che il pezzo di malware noto come Ice IX, cugino stretto del famoso Trojan Zeus, risulta molto efficace quando si tratta di aiutare i truffatori informatici nel raccogliere dettagli bancari. All'inizio di quest'anno, una variante è stata vista rubare le informazioni relative agli account telefonici appartenenti alla vittima e con l'obiettivo di trasferire le chiamate dalla banca della vittima e indirizzarli ai telefoni controllati dall'utente malintenzionato.

Questa volta, i ricercatori Trusteer hanno scoperto una variante che cerca di ingannare gli utenti Facebook a rivelare i dati della carta di credito. Gli esperti Trusteer hanno individuato la nuova configurazione e hanno scoperto che gli sviluppatori del malware hanno fatto un video pubblicitario per promuovere il loro prodotto dannoso. Questo ultimo attacco utilizza una web injection che presenta una falsa pagina web nel browser della vittima.

La scheda richiede all'utente di fornire il proprio nome titolare della carta, numero della carta di credito o di debito, data di scadenza, CVV, indirizzo di fatturazione. Gli aggressori sostengono che le informazioni sono necessarie per verificare l'identità della vittima e poter continuare ad utilizzare il proprio profilo.

Inoltre tale verifica fornirebbe una protezione aggiuntiva all'account Facebook. Dopo che i dati sensibili vengono presentati, tutto viene inviato ad un'applicazione di messaggistica controllata dal truffatore, che gli consente di ottenere facilmente l'accesso all'account della vittima e, implicitamente, i suoi fondi.

Il video che spiega il sistema di attacco inizia con la pagina di accesso di Facebook ed il log-in del criminale nell'account Facebook. Successivamente, il video dimostra il pop up creato dal webinject che viene messo in vendita. Questo pop up presenta praticamente lo stesso messaggio utilizzato nella configurazione Ice IX che i ricercatori Trusteer hanno scoperto e analizzato.

L'unica differenza è la versione nelle richieste video di un numero di previdenza sociale e la data di nascita, in aggiunta alle informazioni menzionate in precedenza. Nel video, il criminale compila i campi. Infine, le informazioni immesse nel pop-up mostrano di essere consegnate all'applicazione di messaggistica del frodatore.  Di seguito un video della versione precedente del trojan Ice IX.

"Questo video illustra la raffinatezza senza soluzione di continuità che webinjects pre-costruiti sono prontamente disponibili per l'acquisto su Internet (vedere la truffa Facebook Rosa ndr). Viene inoltre illustrato come criminali commercializzano i loro prodotti malware. Soprattutto, questo attacco mette in evidenza come i truffatori stanno ramificando progetti fuori dal loro 'pane e burro' del settore online banking in applicazioni laterali con popolazioni di utenti molto più grandi", scrive Amit Klein di Trusteer.

"Attaccando Facebook e altri social network onnipresenti i truffatori possono attingere a un pool di vittime di massa. Essi possono anche utilizzare le informazioni raccolte dagli utenti di social network per perpetuare la frode su più fronti in cui l'online banking, retail, e anche di penetrare reti aziendali e governative", conclude Klein.

Trusteer ha contattato Facebook che ha fornito alcune informazioni sulle misure di sicurezza del proprio sito.  Per proteggersi contro tali operazioni ci sono alcune cose semplici che è necessario ricordare. Prima di tutto, non è mai Facebook a chiedere informazioni sulla carta di credito, numeri di previdenza sociale, o altri dati sensibili. Controllate sempre se vi trovate sulla pagina legittima verificando il nome del sito nella barra degli indirizzi del browser.

Infine, assicurarsi che il computer esegue l'aggiornamento della soluzione antivirus e segnalate eventuali contenuti sospetti su Facebook. Il social network rileva il malware attivo conosciuto sui dispositivi degli utenti per fornire agli stessi utenti un auto-risanamento dell'account, compresa la procedura di scansione e riparazione malware. Per auto-iscriversi a questo punto di controllo potete collegarvi alla pagina su Facebook on.fb.me/AVCheckpoint.

Malware Facebook: attenti agli amici accettati e ai messaggi ricevuti

Un nuova campagna malware e' in atto in queste ore su Facebook. Protezione Account ha individuato centinaia di profili falsi di ragazze, con immagine del profilo dai contorni sfuocati, che inviamo messaggi con link fraudolenti nella posta di Facebook a più persone. La truffa è ben congeniata: il fake richiede l'amicizia ad un profilo con un basso livello di privacy e poi accede alla lista amici dell'utente vittima. Da qui invia il messaggio ad un certo numero di amici del profilo caduto nella trappola.

Phishing su Facebook da falso video del Presidente Barack Obama

Una nuova truffa sta facendo il giro su Facebook e prende di mira il Presidente degli Stati Uniti Barak Obama. A segnalare il nuovo spam è il sito Facecrooks, specializzato nello scovare truffe su Facebook e che possiede un canale specifico per raccogliere le segnalazioni da parte degli utenti. Si tratta d'un tentativo di phishing che si diffonde attraverso un post spam condiviso dagli utenti che ne sono rimasti vittima. 

Nelle scorse ore, il Presidente degli Stati Uniti ha lanciato un appello alle parti in conflitto in Sudan a mettere fine alle ostilità che minacciano gli accordi di pace, a tre settimane dall'indipendenza programmata del Sud Sudan dal Nord. E, probabilmente, sfruttando questa notizia gli spammer non si sono fatti attendere. Un sospetto link di phishing molto simile era stato rilevato lo scorso mese bloccato da Facebook. Tuttavia, migliaia di utenti potrebbero essere colpiti da questa nuova truffa. Attenzione dunque quando si riceve un messaggio in bacheca del tipo: "Hi Lucky (user name), Check out this new video on the president! I can’t believe this is finally happening! Are you excited as well?? This post also contains a video thumbnail of USA president Barack Obama with heading The president is finally taking charge!!” with dummy [LINK]" ("Ciao Lucky (nome utente), guarda questo nuovo video sul presidente!Non posso credere che è accaduto finalmente questo!Sei molto eccitato??"). Questo post contiene anche una falsa miniatura del video del presidente Usa Barack Obama

Cliccando sul link del post in bacheca si innescano una serie di redirect. In primo luogo si viene rimandati ad una pagina ospitata presso il sito statistics.mit.edu, dunque si viene reindirizzati ad una pagina denominata reddit.com e infine si viene reindirizzati alla pagina mostrata sotto, nella quale è abbastanza evidente il tentativo di phishing. Come se non bastasse, il sistema viene anche attaccato da malware nell'ultimo reindirizzamento.

Se osserviamo con attenzione l'URL sulla barra degli indirizzi, ci accorgeremo che il nome del dominio su cui è ospitata la pagina di phishing è molto simile a Facebook ma in realtà non è Facebook. Generalmente l'utente riceve il post da un amico che è già stato colpito da il link di phishing. L'utente riceve questo link, anche se il proprio amico non è online. Domain Whos rivela che questo dominio di phishing proviene dalla Cina con CAP 100176 di Pechino.

Il Phishing si verifica quando si inseriscono i propri dati di accesso in una pagina falsa di Facebook o quando si scaricano software dannosi sul computer. Questo può causare l'invio automatico di messaggi o link a un ampio numero di amici. Questi messaggi o link spesso costituiscono annunci pubblicitari che incoraggiano a consultare video o prodotti. E' possibile che i vostri amici vi inviino involontariamente spam, virus o malware attraverso Facebook se i loro account sono infetti. Non cliccare su questi materiali e non eseguire file con estensione ".exe" sul vostro computer senza sapere di cosa si tratti. Assicuraevii inoltre di usare sempre la versione più recente del vostro browser, dal momento che contiene avvisi e funzioni di protezione importanti. Le attuali versioni di Firefox, Internet Explorer eChrome vi avvisano se staete navigando su un sito sospettato di phishing, perciò vi raccomandiamo di aggiornare il vostro browser alla versione più recente. Se siete caduti vittima del phishing ed avete inserito le credenziali di login di Facebook nella pagina mostrata sopra, allora avete bisogno di cercare di recuperare il vostro account. Per far ciò cliccate su http://www.facebook.com/roadblock/roadblock_me.php?r=5

Immagine 1: http://missourisportsblog.com/

Malware da false email Facebook che invitano a cambiare password

Gli utenti di Facebook stanno ricevendo messaggi di posta elettronica che sostengono che il social network ha automaticamente modificato la loro password per proteggere il proprio account. Imparare la lezione può essere uno dei trucchi che si possono utilizzare per proteggersi da una campagna di spam malware-out, che cerca di ingannare l'utente facendogli credere che il supporto di Facebook ha cambiato la propria password. 

Come segnala Graham Cluley, senior technology consultant della società di sicurezza Sophos, migliaia di utenti stanno scoprendo del codice maligno inviato alle loro caselle di posta elettronica, fingendo di essere una notifica da Facebook, dove si dice che il loro account di social network è stato usato per inviare spam. E' probabile che una comunicazione del genere mandi in palpitazione gli utenti di Facebook che possono aprire l'allegato infetto senza riflettere. 

Oltre alle notifiche, non vengono mai inviati messaggi di posta elettronica per tentativi di accesso al proprio profilo, variazioni della password o qualsiasi altro motivo. Ecco un tipico messaggio proveniente da message@facebook.com:

Caro utente di Facebook.

La password non è sicura!

Per proteggere l'account la password è stata cambiata automaticamente. 

Il documento allegato contiene una nuova password per l'account e informazioni dettagliate sulle nuove misure di sicurezza.

Grazie per l'attenzione,

L'amministrazione di Facebook.

Un'altro messaggio delle ultime ore che ha come mittente official@facebook.com:

Caro cliente

Lo spam viene inviato dal proprio account Facebook.

La password è stata cambiata per la sicurezza. Le informazioni del tuo conto e una nuova password sono allegati alla lettera. Leggere attentamente queste informazioni e cambiare la password non è complicato.

Si prega di non rispondere a questa email, è una notifica dio posta automatica!

Grazie.

FaceBook Service.

Una tipica notifica mail AUTENTICA di Facebook si presenta come segue:

Il vostro campanello d'allarme dovrebbe suonare immediatamente quando si ricevono dei messaggi falsi per un certo numero di motivi, tra questi il fatto che Facebook non invia allegati email ed il fatto che viene usata una forma impersonale e non il vostro nome. Le stesse email sono accompagnate da un file zip allegato, che finge di contenere la nuova password. 

Tuttavia, il carico utile reale del file è quello di infettare il computer col malware Windows Mal / Zbot-AV. Gli utenti di Sophos sono protetti contro le minacce in maniera proattiva, e Sophos ha anche rilevato lo stesso file ZIP come Mal / BredoZp-B. Se dovreste decidere di aprire l’allegato ed effettuare l’eventuale login, offrireste ai cybercriminali l’accesso diretto al profilo e a tutte le vostre informazioni personali. 

Pertanto, cancellate immediatamente questo messaggio e, se temete possa essere cambiata veramente, provate ad effettuare il login con le vostre credenziali, collegandovi al sito digitando l’indirizzo corretto www.facebook.com nella barra degli indirizzi del browser. Abbiamo visto attacchi simili prima, ovviamente e immaginiamo che i cybercriminali continueranno a usare stratagemmi come questi, per diffondere il loro malware.

Facebook spam: evoluzione dell'attacco chat con messaggi in posta

C'era d'aspettarselo, ma speravamo non accadesse. Protezione Account ha individuato un nuovo attacco spam agli utenti di Facebook che sfrutta, oltre la chat della piattaforma (sistema descritto precedentemente in questo post), anche la posta di Facebook. L'attacco compie dunque un notevole salto di "qualità". Lo stile è nel più classico degli attacchi spam su Facebook (ricordate Koobface?). Infatti potreste ricevere da un vostro amico che ha installato l'applicazione, un messaggio in posta che vi invita a cliccare su uno short URL (link accorciato), che camuffa l'indirizzo Web dell'applicazione spam. Il messaggio che potreste ricevere è un semplice: "Mira esto! [LINK] ("Guarda! [LINK]"). Se clicchiamo sul link ricevuto in posta verremo rimandati alla pagina di autorizzazione dell'applicazione, che chiederà il consenso per accedere alle nostre informazioni di base, che includono Id utente, lista degli amici e qualsiasi altra informazione per la quale la privacy è impostata su "Tutti". Inoltre l'applicazione potrà accedere, come di consueto per queste applicazioni, alla chat di Facebook.

Se diamo il consenso saremo rimandati su un sito o blog dove, ci verrà proposto del software malevolo o di giocare online attraverso Javascript. Inoltre saremo invitati a cliccare "Mi piace" su altre pagini riconducibili allo spammer di turno. Un sito web malevolo potrebbe cercare di installare dei software in grado di sottrarre le informazioni personali degli utenti, sfruttare il computer per attaccare altre macchine o semplicemente danneggiare il sistema. Alcuni di questi siti distribuiscono intenzionalmente software dannoso, ma alcuni dei siti possono essere compromessi senza che il proprietario ne sia a conoscenza o ne sia responsabile.

Nel frattempo và in onda la "consueta" sceneggiatura, cioè dalla vostra chat partiranno i messaggi automaticamente verso tutti i vostri amici, anche se off-line, contenenti gli URL fraudolenti. Non è la prima volta che Facebook si trova ad affrontare questo problema (come potete leggere in questo post). Seppur relativamente recenti, i siti di short URL sono tra i più apprezzati del web, complici anche le limitazioni al numero di caratteri imposte da social network come Twitter (140 caratteri per messaggio) che rendono indispensabile risparmiare quanto più possibile sulla lunghezza delle stringhe.

Il rischio, successivamente, è quello di spedire in maniera del tutto inconsapevole e casuale ai vsotri amici, dei messaggi di posta contenenti il medesimo short URL (rischiate dunque di essere segnalati per spam o bloccati dallo stesso sistema automatico di sicurezza di Facebook). La scelta non è casuale, infatti, ancor meglio della condivisione, attraverso la chat e adesso anche i messaggi di posta, è possibile raggiungere il maggior numero di utenti. Inoltre, dato che il "contagio" avviene attraverso messaggi di amici, la truffa sarà più credibile perchè fornirà un certo senso di sicurezza da parte dell'utente destinatario.

Spesso lo short URL è solo un pretesto per stimolare la vostra curiosità ed invitarvi ad accedere a pagine di cattivo gusto o peggio a trappole preparate da cybercriminali, che potrebbero infettare il vostro sistema con virus o trojan. I siti che offrono il servizio di short URL (google, tinyurl, bitly, ecc.) stanno attivamente collaborando con Facebook per la rimozione delle pagine contraffatte o pericolose per la presenza di malware o virus. Prestate dunque attenzione a tutti i messaggi che vi arrivano da amici e che contengono URL accorciati.

Si tratta di messaggi inviati all'insaputa dell'utente che ha installato l'applicazione sul proprio profilo e che ha visitato successivamente il sito malevolo. Facebook continua a disattivare le applicazioni rogue, ma di nuove sono pronte a nascere, perchè si tratta di un attacco in grande scala con pacchetti di applicazioni pre-confezionati disponibili in Rete. Prestate dunque attenzione e nel caso un vostro amico ne sia rimasto vittima, avvertitelo invitandolo a rimuovere immediatamente l'applicazione dal proprio profilo e a fare una scansione antivirus. Per conoscere cosa si nasconde dietro un servizio di short URL vi sono a disposizione vari servizi online, noi abbiamo scelto il servizio gratuito disponibile all'indirizzo www.unshorten.com, col quale è possibile sapere in anticipo (senza cioè visitare la pagina proposta dal link) a cosa si sta andando incontro. Questa pagina risulta particolarmente utile a chi vuole, specialmente nel social network, tutelarsi da false pagine che, contraffatte nell'aspetto ripropongono, per esempio, il sito di Facebook.

Una di queste applicazioni (che conta oramai milioni di utilizzatori, purtroppo) potete bloccarla cliccando direttamente su questo link. Ovviamente vi invitiamo a condividere il nostro post e per restare informati su ulteriori sviluppi visitate il nostro blog o iscrivetevi al nostro Feed.

CeBIT 2011: cybercrime e terrorismo alleati, malware Facebook in aumento

"Ogni due secondi in Germania c’è un qualche tipo di attacco via Internet”, ha dichiarato il Ministro Federale degli Interni Thomas de Maizière all’annuale conferenza sulla sicurezza di Monaco. “I confini tra crimine, spionaggio e terrorismo sono sempre più labili”. 

Anche BITKOM sta lanciando l’allarme: 22 milioni vittime di virus, sei milioni di persona frodate mentre fanno acquisti online e danni stimati per 15 milioni di euro nel 2010 sono i numeri evidenziati da una ricerca condotta dall’associazione delle industrie tedesche dell’hi-tech (BITKOM) in collaborazione con la Polizia Criminale Federale (Bundeskriminalamt - BKA). Per favorire una mobilitazione contro le crescenti minacce in Internet, la celebre fiera tedesca dell’industria digitale ha attuato una sinergia con G Data e la Polizia Criminale Federale (Bundeskriminalamt - BKA) per lanciare l’iniziativa "Il CeBIT contro il Cybercrime".

Lo scopo di questa iniziativa è quello di aumentare il grado di cognizione ed offrire un’informazione esaustiva sui crimini perpetrati in Internet. Oltre a varie attività, al CeBIT è stata creata una nuova piattaforma Internet. Su www.cebit.de/en/about-the-trade-show/programme/cebit-pro/it-security esponenti del mondo politico, economico e scientifico evidenzieranno quali sono i rischi di Internet e consiglieranno quali passi compiere per proteggersi contro gli attacchi di hacker. 

L’iniziativa “Il CeBIT contro il Cybercrime” partirà con uno show live intitolato "Google Hacking - Posso trovare qualcosa che tu non vuoi che io trovi" che si svolgerà il 1 Marzo sul palco della Hall 19. Dalle 13.30 alle 15.30 i visitatori della fiera potranno vedere come i criminali causano problemi in rete. Il dibattito successivo intitolato “Internet crime - rischi, minacce e come proteggersi” promette di essere altrettanto affascinante. I seguenti esperti proporranno le loro teorie e i rispettivi punti di vista sull’argomento:

• Klaus Jansen, Presidente federale di BdK: "Ogni cosa che è fuori legge nel mondo reale può essere perseguibile anche sulla Rete”
• Ralf Benzmüller, Head of Security Labs G Data Software AG: "Il Cybercrime è un grande business strutturalmente organizzato. Le quotidiane ondate di nuovo malware ne sono un chiaro sintomo”
• Christoph Fischer, Head of BFK ed esperto in diritto informatico: "Gli imbroglioni su Internet sono molto bravi nello sfruttare le tecnologie più complesse. Tutto quello che sembra sicuro sarà hackerato in modo subdolo prima o poi”
• Axel E. Fischer, CDU membro del Parlamente tedesco e Presidente della commissione d’inchiesta 'Internet e Digital Business': "Abbiamo bisogno di un divieto sulla segretezza dell’identità in Internet”

Anche il 2011 sarà l’anno dei malware ’social’: i pericoli in Rete evolvono e mirano ai social network, ma anche a tutte le attività Web 2.0. Ogni volta che la comunità Internet adotta un nuovo modo di comunicare, questo canale diventa un potenziale strumento sfruttabile per azioni di pirateria informatica. Le transazioni non sicure crescono ad un ritmo del 20% annuo e i Trojan bancari minacciano di rubare dati sensibili e svuotare i conti. 

Nuovi malware e phishing, inoltre, stanno prendendo di mira Facebook. Ma proteggersi è possibile: basta non abbassare mai la guardia contro le trappole e i malware in Rete. E seguire i consigli degli esperti di sicurezza. Invece, di fronte a messaggi con allegati, il suggerimento è: non aprire gli allegati (soprattutto se di mittenti non fidati), nel dubbio è meglio cancellare, conoscere i siti che si visitano, sapere cosa cercare, leggere sempre le voci dei contratti prima di accettarli.

Clickjacking e malware: "prof sporcacciona si spoglia nei banchi scuola"

Una nuova truffa clickjacking è apparsa su Facebook e prende di mira gli utenti italiani, avvertono da Sophos. L’attacco avviene sotto forma di un pagina che contiene un falso video con il titolo: “Professoressa SP0RCACCIONA si SP0GLIA nei banchi scuola per scommessa , VIDEO DA NON PERDERE”. Nel tentativo di guardare questo video e l’insegnante che si spoglia, gli utenti rischiano di infettare il proprio computer con il malware che Sophos rileva come Mal / FBJack-A.

Come al solito, per poter accedere al presunto video, ci viene richiesta per prima cosa  la condivisione sulla bacheca del profilo Facebook

Al momento, la truffa è già diffusa su Facebook e i link appartenenti alla pagina dell’attacco, sulla ricerca di Google, sono oltre 3000.

Per proteggersi dalle minacce, tra le quali il clickjacking, Sophos consiglia di avere un buon antivirus, sempre aggiornato e tanta cautela quando si clicca sui link e video sospettosi. I ladri di identità prendono di mira Facebook e altri siti di social network per raccogliere i dati degli utenti. Gli utenti si possono proteggere utilizzando i plugin del browser come NoScript.

Il Clickjacking, nato nel settembre 2008, è un metodo e una maniera per “dirottare” le vostre scelte positive di Facebook in siti con all’interno codici malevoli per sniffare la vostra navigazione e il vostro computer. Durante una normale navigazione web, l’utente clicca con il puntatore del mouse su di un oggetto (ad esempio un link), ma in realtà il suo clic viene reindirizzato, a sua insaputa, su di un altro oggetto. Tipicamente la vulnerabilità sfrutta JavaScript o Iframe.

Virus Photo su Facebook: ultimi aggiornamenti e guida alla rimozione

Non c'è tregua per gli utenti di Facebook. Continua l'infezione del "virus photo" attraverso i link inviati da amici in chat. Si tratta di uno tra i più massicci attacchi spam ai danni degli iscritti al social network in blu, degli ultimi tempi dopo l'infezione di koobface, che infetta attivamente il PC. Come abbiamo ripetuto in altre occasioni, il virus si propaga attraverso dei link che fanno riferimento a pagine esterne al social network ma che ripropongono il sito di Facebook, per dar l'impressione di essere ancora all'interno del sito. Altri modi di trasmissione sono delle applicazioni appositamente create da centinaia di profili falsi sparsi sul social network. Qualsiasi sistema di attacco venga utilizzato, se il sistema antivirus installato sul proprio PC non è in grado di rilevare tempestivamente la minaccia - cioè il file eseguibile il cui nome ricorda una foto - il file viene eseguito ed il trojan in esso contenuto da il via all'infezione. I sintomi caratteristici d'un PC infettato nello specifico dal Worm Palevo (che può comunque assumere nomi diversi a seconda del rilevamento) sono i seguenti:

• blocco dell'accesso al proprio account di Facebook
• falso messaggio di errore che avvisa che l'account è stato sospeso
• messaggio di avviso che bisogna rispondere a certi sondaggi

In sostanza il proprio account e l'intero PC viene preso letteralmente in ostaggio dal Worm. Non possiamo naturalmente elencare tutti i link o le applicazioni fraudolente che permettono di scaricare il malware, ma possiamo indicarvi la strada per difendervi e soprattutto rimuovere l'infezione, nel caso l'aveste contratta. A tal proposito vi proponiamo innanzitutto gli screenshot degli ultimi link che ci sono pervenuti in chat.

Chat tipo 1

Chat tipo 2

Chat tipo 3

Chat tipo 4

Chat tipo 5

L'utente, pensando che si tratta d'un messaggio inviato da un amico, cliccherà su link inviatogli e visualizzerà una falsa pagina di Facebook come questa

maldestramente non controllerà l'URL della pagina (se lo facesse capirebbe che si tratta d'una pagina appositamente predisposta) e scaricherà il malware

o si ritroverà su Facebook sulla pagina di una delle tante false applicazioni appositamente realizzate da falsi profili come quello illustrato di seguito

Ci siamo voluti fare una "passeggiata" all'interno del codice HTML della pagina e ispezionando gli elementi abbiamo individuato l'hosting che ospita (a sua insaputa) le pagine fake di Facebook

Se avete contratto l'infezione, non prendetevi di panico (in quanto il vostro account è ancora attivo) ed effettuate una scansione con l'efficace programma di rimozione Malwarebyes in versione freeware, la cui ultima versione potete scaricare dalla pagina ufficiale.

Malwarebytes 'Anti-Malware è in grado di rilevare e rimuovere il malware che noti antivirus non riescono ad individuare. Una volta scaricato e installato il programma avviate l'aggiornamento delle firme del database

Sottolineamo il fatto che bisogna scaricare Malwarebytes 'Anti-Malware versione free, perchè a differenza di quella a pagamento non possiede la scansione il Real Time, che potrebbe andar in conflitto con la soluzione antimalware già presente sul vostro PC

Riavviate il vostro PC possibilmente in modalità provvisoria e senza rete. In modalità provvisoria, Windows viene avviato con un gruppo limitato di file e di driver. I programmi a esecuzione automatica non vengono avviati in modalità provvisoria e vengono installati solo i driver di base necessari per l'avvio di Windows. La modalità provvisoria è utile per risolvere i problemi relativi ai programmi e ai driver che non vengono avviati correttamente o che potrebbero impedire il corretto avvio di Windows, ma in questo caso a non far avviare il virus. Per far ciò rimuovete tutti i dischi floppy, i CD e i DVD dal computer, quindi riavviare il sistema ed eseguite una delle operazioni seguenti:

1. se nel computer è installato un solo sistema operativo, tenere premuto F8 al riavvio del computer. È necessario premere F8 prima che venga visualizzato il logo Windows. Se il logo di Windows è già visualizzato, sarà necessario riprovare dopo aver atteso la visualizzazione della schermata di accesso di Windows e aver arrestato e riavviato il computer.
2. se nel computer sono installati più sistemi operativi, utilizzare i tasti di direzione per evidenziare il sistema operativo da avviare in modalità provvisoria e quindi premere F8.

Nella schermata Opzioni di avvio avanzate utilizzare i tasti di direzione per evidenziare l'opzione relativa alla modalità provvisoria desiderata e quindi premere INVIO. Per ulteriori informazioni sulle opzioni disponibili, vedere Opzioni di avvio avanzate (inclusa la modalità provvisoria).

• Accedete al computer utilizzando un account utente che dispone dei diritti di amministratore. 
• Quando il computer è in modalità provvisoria, negli angoli dello schermo vengono visualizzate le parole Modalità provvisoria 

Quindi lanciate la scansione del vostro PC e al termine procedete alla rimozione dei file che il programma individuerà come minacce. Per uscire dalla modalità provvisoria, riavviate il computer lasciando che Windows venga avviato in modo normale. Se vi ritrovate su Facebook un vostro contatto che continua, insistentemente ad inviarvi messaggi in chat "pregandovi" di scaricare alcune sue foto che, guarda caso, puntano ad un indirizzo web esterno, o peggio ancora che vi chiedono di installare un'applicazione du Facebook, non cliccate e avvertite il vostro contatto di farsi una buona scansione antimalware. Il problema più grave è che la maggior parte degli antivirus sembrano non riconoscere questo tipo di minaccia, se non soltanto dopo aver scaricato il file .exe.