ESET, frodi sui Mondiali di calcio in Russia: come evitare un autogol

Uno dei metodi più comuni è quello di diffondere su larga scala delle presunte promozioni che coinvolgono “beni” legati alla manifestazione come biglietti economici, pacchetti di ospitalità comprensivi di biglietti, alloggi, lotterie, voli per le città che ospitano le partite. Il Mondiale di calcio 2018 si disputerà in Russia da giovedì 14 giugno a domenica 15 luglio. Le migliori 32 Nazionali del Pianeta si affronteranno per la conquista del titolo iridato. Si tratta dell’edizione numero 21 dei Campionati Mondiali di calcio, l’undicesima che si tiene in Europa, organizzata dalla FIFA che l’ha assegnata per la prima volta alla Russia nel 2010.  Ecco i consigli degli esperti di ESET per evitare tranelli.

Aruba, come rendere Internet più affidabile: certificati SSL e HTTPS

I certificati SSL sono usati su milioni di siti web per garantire sicurezza e riservatezza delle transazioni online. Tuttavia, ci sono alcuni problemi che possono verificarsi con la loro distribuzione che causano la visualizzazione di messaggi di errore. Gli errori di connessione SSL si verificano quando si tenta la connessione a un sito web e il browser (client) non è in grado di stabilire una connessione sicura al server del sito. Sarà capitato a molti di notare, a partire da gennaio, un messaggio di avvertimento, che i browser Chrome e Firefox hanno iniziato a mostrare nella barra dell’indirizzo proprio accanto al dominio, che identifica i siti che non utilizzano il protocollo HTTPS (HyperText Transfer Protocol over Secure Socket Layer): “connessione non sicura”.

Cybercriminali potrebbero adottare nuovo metodo phishing utilizzando URI

In un documento [PDF] recentemente rilasciato da Henning Klevjer, uno studente di information security presso l'Università di Oslo in Norvegia, dimostra che i criminali informatici possono migliorare gli attacchi di phishing basandosi sullo standard delle comunicazioni noto come l'Uniform Resource Identifier (URI). L'esperto spiega che l'attaccante potrebbe sviluppare pagine di phishing autonome, il cui contenuto può essere codificato in Base64 per mascherare le sue reali intenzioni. Questa pagina può essere codificata e quindi inserito all'interno di un URI.

In sostanza, gli URI sono URL che non puntano a postazioni remote, piuttosto, essi includono tutti i dati che sono visualizzati all'utente. Il termine comprende il più noto Uniform Resource Locator (URL) e Uniform Resource Name (URN). Tuttavia, mentre gli URL indicano la posizione di una risorsa di rete specifica e come deve essere letta (cioè con HTTP, HyperText Transfer Protocol), gli URI sono più flessibili e possono anche essere utilizzati per ospitare i dati dei "link to".

Secondo Paul Roberts, ingegnere di Sophos, Klevjer ha dimostrato le sue scoperte con la creazione di una falsa di pagina di Wikipedia utilizzando questa tecnica. A quanto pare, è stato in grado di ridurre l'URI abbastanza grande (24.682 caratteri) in soli 26 caratteri utilizzando i servizi di abbreviazione degli URL, che a quanto pare giocano un ruolo chiave in questi attacchi. L'intenzione è di indurre le vittime che ricevono il link a cliccare su di esso, lanciando il loro browser web.

Ogni moderno browser supporta lo schema URI e renderà l'URI codificato come una pagina nel browser della vittima. Il metodo di attacco URI non è nuovo. Nel 2007, i ricercatori Billy "BK" Rios e McFeters Nathan hanno esplorato attacchi simili [PDF] contro i browser IE6 e IE7 di Microsoft che sfruttavano la funzionalità senza documenti per la gestione degli URI. L'uso di URI dà la possibilità ai pirati informatici sofisticati di poter iniziare la circolazione di pagine phishing individuali mirate ad un certo numero di vittime.

Il metodo vince anche le difese contro gli attacchi di phishing tradizionali, come ad esempio il filtraggio web e gestione della reputazione, perché le vittime non avrebbero bisogno di comunicare con un server di attacco, sostiene Klevjer. E il metodo non è limitato agli attacchi phishing. Klevjer ha scritto una e-mail a Naked Security, nella quale spiega che il ricercatore di sicurezza norvegese Per Thorsheim ha sottolineato che un URI dati potrebbe contenere anche una applet Java (compromesso). A tal proposito vale la pena ricordare la pericolosa vulnerabilità Java zero-day scoperta questa settimana.

"Il problema è che ci sono poche difese contro questo tipo di phishing. Il Web Browser non si connette a qualsiasi risorsa esterna per visualizzare il phishing, a meno che le immagini sono incluse da siti remoti (che potrebbero anche essere incorporati). L'unico limite è la dimensione che il browser impone agli URL", ha spiegato Johannes Ullrich, ricercatore di SANS. Se vengono utilizzati short URL, per esempio, il contenuto dannoso si troverà all'interno di un collegamento. Ullrich fa notare, però, che gli aggressori avrebbero ancora bisogno di gestire una infrastruttura di backend per ricevere i dati rubati nell'attacco.

Tuttavia, egli dice che i pirati informatici sofisticati potrebbero anche sgattaiolare i dati rubati utilizzando un modulo per la richiesta DNS appositamente predisposto, che trasferirebbe le credenziali di accesso ad un sistema remoto. Prospettando un tentativo di phishing, sarà possibile inserire il modulo, ma ci sarà ancora bisogno di un server web per ricevere i dati. A meno che, naturalmente, sia  possibile exfiltrare questo DNS. Di seguito un piccolo proof of concept HTML / javascript per spiegare ciò.

"L'uso di URI per scopi dannosi non è una novità, ma è chiaro che la ricerca appena andrà avanti su questo argomento, i criminali informatici rivolgeranni la loro attenzione ad esso. Attualmente, alcuni browser web sono progettati per mitigare tali attacchi. Per esempio, Chrome reindirizza i blocchi per gli URL dei dati e versioni più recenti di Internet Explorer limitano la quantità di dati che possono essere confezionati. Tuttavia, Opera e Firefox  (recentemente aggiornato da Mozilla alla versione 15) li eseguono senza alcuna difficoltà.

Identità in pericolo sui social network

Molti siti di social networking lasciano scappare informazioni che permettono a inserzionisti di terze parti e società di tracciamento di associare le abitudini di navigazione web degli utenti con una persona specifica. E' questa la conclusione di uno studio sulla fuoriuscita di informazioni personali identificabili presenti sui social network condotto da ATeT Labs e Worcester Polytechnic Institute. La ricerca, i cui autori sono Craig Willis del Worcester Polytechnic e Balachander Krishnamurthy di ATeT, è stata realizzata su 12 dei maggiori social network, scoprendo che 11 lasciavano uscire informazioni sulle identità a terze parti, inclusi aggregatori di dati che tracciano e aggregano le abitudini degli utenti a scopi di pubblicità mirata. 

Lo studio dimostra che la maggior parte degli utenti dei siti di social networking è vulnerabile, avendo le proprie informazioni di identità sui rispettivi profili associate ai cookie. Le informazioni consentono agli aggregatori di raccogliere in modo relativamente semplice dati personali relativi alla pagina di un utente del social network e quindi di tracciarne gli spostamenti su più siti attraverso internet. Poiché gli aggregatori affermano tipicamente che lo spostamento di una persona è tracciato come IP (Internet Protocol) anonimo, le informazioni dei siti di social network consentono invece di accoppiare un'identità unica a ciascun profilo (come avviene su Facebook). 

Attualmente non si sa ancora se gli aggregatori di dati stiano realmente registrando ogni informazione personale "trasmessa" loro dai siti di social media. Trasmissione che avviene attraverso i cosiddetti HTTP referrer header e che, nel caso dei social network, sondano tutti gli URL che, legati a tale header, includono l'identificativo. Fonte: CWI