Commtouch ha appena pubblicato una approfondita analisi degli attacchi nel 2011 all'interno di Facebook nel suo Internet Threats Trend Report, una sinossi a fine anno delle minacce provenienti da Internet. La relazione e l'infografica presenta un'analisi globale di decine di attività malevole su Facebook durante l'anno trascorso, come identificate dai laboratori Commtouch. Siti di marketing di affiliazione sono la destinazione finale in tre quarti di tutti gli inganni di Facebook, secondo il rapporto.
Città piena di verde ai piedi dei Carpazi, nel centro della Romania, Ramnicu Valcea è lontano dall'essere il luogo di pace che immaginiamo con i suoi grandi viali verdi. La capitale del crimine informatico, si chiama "Hackerville". "Non c'è nulla da essere orgogliosi", dice Stelian Petrescu, un professore di geografia. "Ramnicu Valcea è probabilmente la città rumena più famosa negli Stati Uniti".
Il 29 dicembre 2011, alle 10:00 ora del Pacifico Microsoft rilascerà un aggiornamento out-of-band di protezione per risolvere una falla critica di sicurezza (CVE-2011-3414) che si trova in ASP.NET, che colpisce tutte le versioni supportate di .NET Framework, che potrebbe consentire un attacco denial-of-service (DDoS) su server che servono pagine ASP.NET. Questi attacchi che sfruttano le tabelle hash, conosciuti come hash collision attacks, non sono specifici di tecnologie Microsoft, ma altri fornitori software di web service potrebbero risentirne. In un advisory pubblicato Mercoledì , il produttore di software ha detto che era consapevole del fatto che informazioni dettagliate erano state pubblicate per descrire gli attacchi di collisione hash.
Ed ha osservato: "[La vulnerabilità] interessa tutte le versioni di Microsoft NET framework e può condurre ad un attacco tipo denial-of-service non autenticato sui server che servono le pagine ASP.NET. La vulnerabilità è dovuta al modo in cui ASP.NET processa i valori in un modulo post ASP.NET causando una collisione hash. E' possibile che un utente malintenzionato invii un piccolo numero di messaggi appositamente predisposto a un server ASP.NET, causando la degradazione in modo significativa delle prestazioni sufficienti a causare una condizione di negazione del servizio [DDos]". Anche se le informazioni sono già all'esterno e gli hacker potrebbero approfittarne, Microsoft è a conoscenza di attacchi attivi che si basano su questo difetto.
Fino a quando l'aggiornamento non verrà rilasciato, gli utenti dovrebbero sapere che per default IIS non è abilitato per le versioni attualmente supportate dal sistema operativo e i siti che non consentono application / x-www-form-urlencoded o multipart / form-data di contenuto types HTTP non sono suscettibili di un attacco. Fondamentalmente, i siti che servono solo contenuto statico o quelli che respingeono i tipi di contenuti dinamici di cui sopra non sono vulnerabili. Per aggirare il problema, Microsoft ha suggerito agli operatori Web configurare il limite della dimensione massima richiesta che ASP.NET accetta da un cliente, pena la diminuzione della suscettibilità di tali attacchi. Microsoft ha lavorato con i partner nel suo Active Protections Program (MAPP).
L'aggiornamento verrà reso disponibile per tutte le versioni di Windows, incluso Windows XP Service Pack 3, Windows Server 2008 e Windows 7 per sistemi a 64 bit. A tutti gli utenti del sistema operativo Windows si consiglia di installare l'aggiornamento al più presto appena verrà rilasciato per evitare spiacevoli incidenti. Per ora non ci sono ulteriori dettagli sul problema che riguarda Windows 7 64-bit, ma a giudicare da quello che Microsoft ha rivelato sul suo blog tedesco la scorsa settimana, è improbabile che qualcosa verrà rilasciata molto presto. Michael Kranawetter non ha fornito altri dettagli ed ha detto che "le indagini sono ancora in corso, perchè i passi necessari da intraprendere non sono ancora stati definiti". Il gigante del software pubblicherà una patch, una volta completa la sua indagine.
Informazioni su ASP.NET
ASP.NET è una tecnologia Microsoft che lavora con file compilato interpretato dal server e restituito come HTML. ASP.NET è molto produttivo per quanto riguarda lo sviluppo di Web applicazioni. La migliore programmazione enviroment per la maggior parte delle applicazioni web è ASP.NET. Per applicazioni Web, ASP.NET consente l'utilizzo di Visual Studio, che offre molti vantaggi e aiuta il programmatore a creare applicazioni in modo rapido. Lo sviluppo di applicazioni Web, ad esempio con Java, richiede più tempo per la sua maggiore difficoltà, e questo si traduce in minor produttività. Inoltre, le innumerevoli componenti ASP.NET sono già disponibili per l'uso, e questa disponibiltà diminuisce anche il tempo necessario per lo sviluppo di una nuova applicazione.
Adobe Systems ha rilasciato un aggiornamento di sicurezza per Adobe Reader e Acrobat 9.x per Windows il 16 dicembre 2011, al fine di fissare un vulnerabilità zero-day. Come Vikram Thakur ha riportato recentemente, ci sono stati attacchi zero-day cha hanno sfruttato la vulnerabilità PDF, attraverso il cavallo di troia Backdoor.Sykipot scaricato sul computer compromesso. Gli esperti di Symantec hanno trovato un'altra variante del malware nel PDF cattivo che utilizza la stessa vulnerabilità. Questa versione di malware in formato PDF utilizza un metodo di crittografia che si trova nativamente nelle specifiche PDF. Come ha scritto Kazumasa Itabashi nel suo PDF Malware Whitepaper, il metodo di crittografia utilizzato dai malware in formato PDF è cambiato da RC4 ad AES.
La chiave di crittografia AES specifica è a 128 bit di lunghezza. Tuttavia, questa variante adotta AES-256 come metodo di crittografia, con una lunghezza della chiave di 256 bit. La specifica per il metodo di crittografia AES-256 utilizzata in un PDF è descritta come una estensione della versione PDF specifica di ISO32000. E' possibile scaricare il file PDF del documento esteso dal sito Web di Adobe. L'algoritmo utilizzato per creare una chiave di cifratura in un documento PDF è stato alterato da quelli di RC4 e AES. Inoltre, sono disponibili nuove parole chiave attraverso l'estensione. L'immagine sottostante mostra l'oggetto che ha memorizzato i parametri per decifrare il documento. "/ AESV3" specifica che il contenuto delle stringhe e le stringhe sono cifrate con l'algoritmo AES-256 nel documento PDF.
Questo malware ha utilizzato la vulnerabilità in Adobe Acrobat e Reader di corruzione della memoria U3D (BID 50922). Questa vulnerabilità riguarda dati tipo U3D e il flusso dati dei documenti in formato PDF, come mostrato nell'immagine seguente.
Questo oggetto U3D è un'altra opzione: "/ Filter / FlateDecode", che specifica che il flusso di dati che vengono compressi utilizzano il formato di dati compresso Deflate. Quindi bisogna decifrare i dati AES-256 criptati, e poi decomprimerli, al fine di indagare i dati U3D. I prodotti Symantec rilevano questi campioni come Bloodhound.Exploit.439. I PDF malware che sfruttano le vecchie vulnerabilità, ma con crittografia AES-256, vengono rilevati. Symantec raccomanda di restare al sicuro mantenendo le definizioni dei virus aggiornate. Gli utenti di Adobe Reader e Acrobat versione 9.x per Windows dovrebbero anche aggiornare alla nuova versione il più presto possibile.
Inoltre, Adobe Reader X in modalità protetta e Adobe Acrobat X visualizzazione protetta impediscono un exploit del tipo che ha attualmente come target l'esecuzione di questa vulnerabilità. Adobe consiglia agli utenti di Adobe Reader 9.4.6 e versioni precedenti 9.x per Windows l'aggiornamento ad Adobe Reader 9.4.7. Adobe consiglia agli utenti di Adobe Acrobat 9.4.6 e versioni precedenti 9.x per Windows l'aggiornamento ad Adobe Acrobat 9.4.7. E' possibile utilizzare il meccanismo di aggiornamento del prodotto. Gli utenti possono anche trovare l'aggiornamento appropriato qui. Il Symantec Security Response incoraggia tutti gli utenti di osservare le seguenti norme fondamentali di sicurezza (buone pratiche):
Utilizzare un firewall per bloccare tutte le connessioni in ingresso da Internet ai servizi che non dovrebbero essere disponibili al pubblico. Per impostazione predefinita, si dovrebbe negare tutte le connessioni in entrata e permetterle solo servizi che esplicitamente si vogliono offrire al mondo esterno.
Applicare una politica di password. Le password complesse rendono più difficoltoso l'accesso a file protetti su computer compromessi. Questo aiuta a prevenire o limitare i danni quando un computer è compromesso.
Assicurarsi che i programmi e gli utenti del computer utilizzano il più basso livello di privilegi necessari per completare un compito. Quando viene richiesta una password di root o UAC, assicurarsi che il programma che chiede l'amministrazione a livello di accesso sia un'applicazione legittima.
Disabilitare l'AutoPlay per evitare il lancio automatico dei file eseguibili in rete e le unità rimovibili, e scollegare le unità quando non è necessario. Se l'accesso in scrittura non è necessario, attivare la modalità di sola lettura se l'opzione è disponibile.
Disattivare la condivisione di file, se non necessaria. Se la condivisione file è necessaria, utilizzare le ACL e la protezione tramite password per limitare l'accesso. Disabilitare l'accesso anonimo alle cartelle condivise. Concedere l'accesso solo agli account utente con password di cartelle che devono essere condivise.
Spegnere e rimuovere i servizi non necessari. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono critici. Questi servizi sono viali dell'attacco. Se vengono rimossi, le minacce hanno meno viali dell'attacco.
Se una minaccia sfrutta uno o più servizi di rete, disattivare o bloccare l'accesso a tali servizi, fino a quando viene applicata una patch.
Tenere sempre i livelli di patch up-to-date, in particolare sui computer che ospitano servizi pubblici e sono accessibili attraverso il firewall, come HTTP, FTP, posta elettronica e servizi DNS.
Configurare il server di posta elettronica per bloccare o rimuovere e-mail che contengono i file allegati che vengono comunemente utilizzati per diffondere minacce come .Vbs, .Bat, .Exe, .Pif e .Scr.
Non aprire gli allegati sconosciuti a meno che non si stiano aspettando e non eseguire software scaricati da Internet se non sono stati sottoposti a scansione antivirus. Inoltre, non accettare le applicazioni che non sono firmate o inviate da fonti sconosciute.
Facebook sta proseguendo nella distribuzione del profilo Timeline agli utenti di Facebook. Sono però in molti a non trovarsi a proprio agio col nuovo Diario. Alcuni lo trovano confusionario, ad altri non piace. Come riporta Helsingin Sanomat, molti finlandesi hanno addirittura disattivato il loro account temendo che si trattasse d'una violazione di sicurezza. Inoltre molti non accettano il sistema opt-out adottato da Facebook.
Anche per questo, se effettuiamo una ricerca su Internet, troviamo molti articoli su come disabilitare la Timeline di Facebook, ma gran parte di questi si riferiscono alla Timeline Beta, cioè quando era nella versione per solo sviluppatori. Infatti era sufficiente andare alla pagina developers.facebook.com/apps, cliccare su Edit App e rimuovere l'applicazione. Alcuni, tra i metodi proposti, hanno indicato come via possibile la disattivazione del proprio account Facebook, ma anche questo non funziona.
Anche se sono in tanti ad apprezzare il nuovo Diario, ci aspettiamo che gli scammer sfrutteranno l'esigenza di coloro che al contrario non sono soddisfatti. Questo per diffondere le loro truffe attraverso presunti metodi o fantomatiche procedure (come per la vecchia chat Facebook) appena il social network completerà l'aggiornamento per tutti i profili. Abbiamo deciso dunque di indicare le uniche vie attualmente possibili per coloro che volessero ritornare al vecchio profilo.
A quanto pare Facebook Timeline ha problemi di compatibilità con vecchi Web browser, più specificatamente con Internet Explorer 7, che fornisce la possibilità di tornare al vecchio classico profilo di Facebook a cui siamo tutti abituati. Quindi ciò significa che se possiamo trovare un modo per dire a Facebook che stiamo usando IE7, in modo automatico senza modificare nulla nel nostro profilo, potremo accedere di nuovo al nostro profilo classico.
Ma come si può fare? Nessuno vuole utilizzare un software obsoleto con falle di sicurezza, per cui ci rivolgiamo a qualcosa che si chiama User Agent Switcher. Questa è una estensione plugin che ci viene in aiuto o anche come "impostazione software", a seconda del Web browser che si utilizza, attraverso le quali è possibile configurare il browser per far finta (simulare) che si tratta di qualche altro software browser, in questo caso Internet Explorer 7.
Prima di continuare, specifichiamo che questa è solo una soluzione e non sappiamo per quanto tempo continuerà a funzionare. In realtà non si và a disattivare la Timeline, ma stiamo solo "dicendo" a Facebook che il nostro browser è una versione precedente e dunque non supporta la funzione Timeline, e così Facebook risponde con una versione compatibile del sito. Il vecchio profilo sarà inoltre visualizzabile solo a coloro che avranno effettuato la procedura.
PureInfotech ha trovato tre modi per far ciò, quindi ha scelto i più facili. La nostra raccomandazione è quella di utilizzare Safari, perché è facilissimo, ma è possibile ottenere lo stesso risultato con Firefox e Chrome, anche se in questo caso ci vorranno un maggior numero di passaggi.
Come disattivare Facebook Timeline su Firefox
1. Scaricate l'estensione User Agent Switcher che permette di cambiare in tempo reale l'identificatore del browser
2. Installatela e quindi riavviate Firefox per completare l'installazione.
3. Se non vedete l'icona del plugin nella barra di navigazione, fate clic col pulsante destro del mouse sulla barra di navigazione e selezionate Personalizza... (in alternativa pulsante Firefox arancione, Opzioni, Personalizza barra degli strumenti)
4. Cercare il pulsante plugin e drag & drop lo trascinate sulla barra di navigazione.
5. Ora, è sufficiente fare clic sul pulsante User Agent Switcher e navigare tramite Internet Explorer, selezionare Internet Explorer 7.
6. Infine andare a Facebook.com e log-in al profilo e dovreste vedere il vostro vecchio profilo.
Se si hanno ancora problemi qui di seguito un video per la guida all'installazione del plug-in:
Importante: Non dimenticare di tornare alle vecchie impostazioni una volta che si è fatto uso di Facebook con un clic sul pulsante User Agent Switcher e scegliete User Agent di default per evitare che altri siti Web vengano visualizzati in modo errato.
Come disattivare Facebook Timeline su Safari
1. Se non avete Safari installato nel vostro sistema andate a questa pagina - apple.com/safari/download , scaricare l'ultima versione del browser Web Safari e installatelo.
2. Lanciate Safari, cliccate il tasto Alt per visualizzare tutti i menu.
3. Andate su Sviluppo (se non lo visualizzate aggiungetelo nel menù da Impostazioni, Preferenze, Avanzate), cliccate su User Agent e selezionate Internet Explorer 7.0.
4. Visitate il vostro profilo di Facebook e il profilo classico dovrebbe ora essere lì.
Importante: Per tornare alle impostazioni di default, è sufficiente riavviare il browser Web.
Come disattivare Facebook Timeline su Chrome
L'utilizzo di Google Chrome può essere un pò difficile per alcuni utenti, ma non è impossibile. Se non siete disposti ad andare manualmente avanti e indietro con questo metodo, vi consigliamo prima di creare un profilo Google Chrome manualmente e utilizzarlo solo per accedere a Facebook.
1. Andate su Start, fate una ricerca per Chrome e dai risultati cliccate col tasto destro del mouse su Google Chrome e selezionate Proprietà.
2. Nel campo Destinazione, aggiungere il seguente alla fine del percorso che è già presente (aggiungere uno spazio tra chrome.exe e la riga seguente):
Windows Vista e Windows 7
--user-agent="Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"
Utenti di Windows XP
--user-agent="Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
Dopo aver aggiunto la linea al di sopra del campo Destinazione dovrebbe essere simile a questa:
C:\Users\your-username\AppData\Local\Google\Chrome\Application\chrome.exe --user-agent="Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"
3. Al termine, fare clic su Applica e poi OK.
4. Riavviare Google Chrome e fate log-in al vostro account Facebook e il vecchio profilo dovrebbe essere lì.
Se si hanno problemi, un video su come aggiungere una riga di comando a Google Chrome:
Come disattivare Facebook Timeline su Internet Explorer 7
Ovviamente nessun trucco qui, se si sta ancora utilizzando il Web browser IE7, fare log-in al proprio account Facebook e il vostro classico profilo dovrebbe essere lì.
Attenzione: C'è la possibilità che il vostro profilo di Facebook potrebbe non essere visualizzato correttamente al 100%, ma funziona ancora e per chi è interessato vale la pena di provare.
Ultimamente, abbiamo notato una nuova tendenza riguardo il metodo di diffusione delle truffe su Facebook. Se prima i truffatori sfruttavano come metodi di attacco likejacking, clickjacking, tagjacking, applicazioni rogue, l'abuso dei messaggi e chat di Facebook, le ultime che sono state individuate utilizzano le estensioni canaglia del browser (spesso chiamate addon o plug-in) per propagarsi su Facebook. Ciò si verifica in genere quando il truffatore induce gli utenti a scaricare ed installare quello che sembra essere una applicazione tema o il plugin necessario per guardare un video imperdibile. E dopo la truffa che darebbe la possibilità di cambiare l'aspetto del profilo Facebook, una nuova truffa ancora tema "natalizio" sta facendo il giro tra gli utenti del social network.
La truffa dal titolo "Free Christmas Theme for Facebook” ("Libero Tema Natale per Facebook") ha un messaggio che dice – “Get Christmas Theme for FB on [link] <<—Free Christmas Theme for all FB users”. La truffa si sta diffondendo in diverse versioni. Un'altra versione simile della truffa ha il seguente titolo - "Prendi tutti i nuovi temi di Santa Claus per Natale", seguita dalla descrizione stessa.
Il link porterà ad una pagina fan facebook dove verrà mostrato un URL abbreviato (bit.ly) e immediatamente si verrà reindirizzati ad una pagina esterna su blogspot con il titolo "Free Tema Natale". Allora verrà chiesto di installare un plugin per caricare il tema. La trappola del plugin del browser serve per diffondere i messaggi di spam e messaggi simili ai nostri amici.
Il pugin può anche monitorare la nostra attività su Internet e raccogliere tutte le nostre username e password e di inviarle all'autore del plugin. Come possiamo leggere nel centro assistenza di Facebook, sono in molti a lamentare il problema.
Come abbiamo detto più volte, installare solo applicazioni di Facebook da fonti attendibili e ben note. Lo stesso vale per le estensioni del browser. Prestare dunque particolare attenzione alle valutazioni degli utenti e le recensioni, il numero di download e fate una piccola ricerca prima di installare l'addon, che potrebbe risparmiare molti problemi. Nella maggior parte dei casi, la riuscita di questo nuovo attacco (che abbiamo chiamato "pluginjacking"), dipende dall'utente che dovrà dare il consenso all'installazione del plug-in malware. In buona misura, sarebbe opportuno cambiare la password di Facebook ed eseguire, possibilmente, una scansione completa del sistema con un software antivirus. Per la rimozione dell'estensione potete seguire le indicazioni illustrate in questo precedente post.
Facebook starebbe testando una nuova funzione sul proprio sito, che porterà la messaggistica privata per le sue pagine una volta lanciata. La notizia arriva direttamente da WeAreSocial.sg - Una agenzia di comunicazione, che ha parlato di un test per la messaggistica privata di alcune pagine di Facebook in Asia. Il social network ha poi confermato al sito Inside Facebook. Un’opzione simile a quanto è già possibile fare su Twitter. Sul sito di microblogging, infatti, le aziende possono semplicemente comunicare con i propri follower attraverso i messaggi privati (precedentementi noti come DM o Messaggio Diretti).
A prima vista la nuova funzionalità appare come un ripristino di qualcosa di simile non più disponibile, cioè la possibilità di scambiare messaggi privati con i membri della rete sociale attraverso l'invio degli aggiornamenti dalle pagine. Attualmente per poter contattare l'amministratore di una fanpage Faebook, l'unico modo per farlo è quello di inviare il proprio messaggio sulla bacheca della pagina. La messaggistica privata è assente quando si tratta di fanpage, quindi per trasmettere la propria domanda bisogna renderla pubblica o cercare altri modi per contattare l'amministratore della pagina.
Anche se questo può apparire una piccola aggiunta, le implicazioni sono in effetti molto significative: queste dei messaggi privati renderà molto più facile per i marchi di interagire con i fan e - criticamente - denunciare, in maniera più diretta e individuale. Quando un visitatore clicca sul pulsante Messaggio in una pagina, si aprirà una semplice finestra di dialogo che permetterà loro di inserire un messaggio:
Si tratta di un aggiornamento relativamente semplice, ma molto potente. In primo luogo, dà al marketing un modo per collegarsi con i clienti e viceversa. Tuttavia, va notato che gli amministratori delle pagine non potranno utilizzare questa funzione per avviare il contatto. Come tale, i marchi non potranno usare la loro fanpage per inviare messaggi di spam.
Vale la pena sottolineare qui che il visitatore non ha bisogno di fare 'Like' sulla pagina per mandare un messaggio privato; la funzionalità sembra essere aperta a tutti. Una volta che un visitatore ha inviato un messaggio alla pagina, viene aggiunto all'area Messaggi del visitatore, proprio come un messaggio che si è inviato al profilo personale di un amico
Cliccando sulla freccia Messaggi, gli amministratori della pagina potranno vedere una breve panoramica dei messaggi che hanno ricevuto prima di decidere se rispondere subito o meno.
Inoltre, se si sta utilizzando Facebook come una pagina, si riceveranno le notifiche nella barra delle notifiche globale anche per i messaggi.
Facendo clic su un messaggio di un visitatore da una pagina Admin sarà possibile rispondere nuovamente. L'interfaccia di risposta della pagina è pressoché identica a quello cui si è abituati con i messaggi privati tra utenti.
Una volta che la pagina ha risposto, il visitatore originale riceva la notifica di messaggio della pagina esattamente nello stesso modo in cui si è ricevuto un messaggio dal profilo personale di un amico.
Come spiega Facecrooks, "la vera forza della funzione sta nella sua capacità di dare agli utenti di Facebook la possibilità di porre domande privatamente e non pubblicamente come accadeva in precedenza. Per esempio, se si sta andando in vacanza e si vuole chiedere alla propria agenzia di viaggi alcune domande attraverso la loro fanpage". Attualmente, l'unico modo per farlo è quello di inviare il messaggio sulla bacheca della pagina. Questo problema è particolarmente aggravato dal fatto che il motore di ricerca Google esegue la scansione dei contenuti da commenti come quelli sulle fanpage.
In primo luogo, col nuovo sistema di messaggistica è più sicuro. E' inutile e porbabilmente dannoso, per perfetti sconosciuti di sapere che si sta progettando un viaggio e la pubblicazione sulle bacheche delle fanpage fà esattamente questo. L'unico aspetto negativo è che gli amministratori delle pagine potrebbero dover affrontare un bel po' di problemi riguardanti alcuni utenti indisciplinati. Eppure, i vantaggi di avere una bella funzionalità superano di gran lunga gli svantaggi. L'unica cosa che davvero sorprende è quanto tempo Facebook si sia preso per applicare concretamente questa funzione.
Con la distribuzione del nuovo profilo Timeline, i truffatori non hanno perso tempo ed una nuova truffa individuata da Protezione Account sta facendo il giro tra gli utenti di Facebook. La truffa dal titolo: "Change Your Fb Theme To Christmas Theme" ("Cambia il tema Fb con il Tema di Natale") , fornirebbe la possibilità di installare e cambiare il tema di fondo del proprio profilo con uno sfondo a "tema natalizio". I post che vengono condivisi sulla bacheca riportano lo stesso titolo della pagina:
Se clicchiamo sul link veniamo rimandati alla tab della pagina dove ci viene chiesto per prima cosa di cliccare "Mi piace" per poter installare il tema. Dopo verremo invitati esprimere il nostro "Like" su altre 40 pagine.
Il successivo passo sarà quello di condividere ed invitare i propri amici online
Dunque scegliere il nostro colore e cliccare sul pulsante gigante di color rosso
Se clicchiamo verremo rimandati ad una pagina esterna a Facebook, dove ci verrà presentato uno dei "soliti" sondaggi truffa
Per continuare dovremo verificare che siamo "umani" e non dei bot. Se procediamo verremo rimandati ad una pagina di abbonamento a suonerie per cellulari, dove ci verrà chiesto di completare un quiz per partecipare all'estrazione del "nuovissimo" ??!! iPhone 3GS
In realtà non installeremo nessun tema natalizio ma avremo contribuito a diffondere la truffa, espresso il nostro "like" a pagine sconosciute e sottoscritto un abbonamento di 5 euro a settimana sul nostro telefonino. Per coloro che sono caduti nella truffa, andate sul post in bacheca e, dopo aver cliccato sul link, rimuovete il vostro "Mi piace" cliccando sulla "x" per ciascuno dei 40 pulsanti (se necessario aggiornate la pagina premendo F5)
Ritornate sulla vostra bacheca ed eliminate il post cliccando sulla matita in alto a destra del post (per i nuovi profili)
Se avete sottoscritto l'abbonamento potete inviare un SMS con scritto [NOME SERVIZIO] + [STOP] al numero indicato sulla pagina del Quiz o contattare il vostro operatore telefonico per chiedere la sospensione del servizio. Ovviamente non è possibile cambiare il tema al proprio profilo Facebook. In passato vi erano dei plug-in per browser, ma alcuni sono stati eliminati ed altri non sono compatibili col nuovo Diaro. Per tenervi aggiornati sulle truffe potete seguite Protezione Account su Facebook.
Kasperky Lab ha pubblicato il rapporto mensile dei malware in circolazione e attacchi in rete a novembre 2011. Nel corso del mese nei computer degli utenti dei prodotti Kaspersky Lab:
sono stati respinti 204.595.286 attacchi della rete;
sono stati bloccati 89.001.505 tentativi di infezione via Internet;
sono stati individuati e neutralizzati 238.045.358 programmi malware (tentativi di infezione locale);
sono state registrate 98.047.245 attivazioni di analisi euristiche.
Per quanto riguarda le minacce più classiche, novembre si è rivelato un mese relativamente tranquillo. Gli autori di programmi dannosi hanno continuato a sviluppare le tecnologie esistenti, mentre i programmatori di virus non hanno fatto registrare invenzioni di rilievo.
TOP 10 dei malware in Internet
L'argomento del mese: DUQU, indagini in corso
A novembre il trojan Duqu, individuato in settembre e reso noto al pubblico in ottobre, è restato saldamente al centro dell'attenzione degli esperti e dei mass media. La principale ragione di tanto interesse è stata l'individuazione del metodo di intrusione di questo programma dannoso nei sistemi attaccati. L'attacco veniva condotto attraverso la posta elettronica per mezzo di un documento MS Word contenente l'exploit per una vulnerabilità in precedenza sconosciuta del sistema operativo Windows. L'errore nel componente di sistema win32k.sys consentiva di eseguire il codice dannoso dal file con i privilegi di amministratore.
Questa scoperta costituisce l'ennesimo parallelo tra Duqu e Stuxnet poiché anche quest’ultimo sfruttava vulnerabilità sino ad allora sconosciute. Già in ottobre abbiamo ipotizzato che l'individuazione del dropper Duqu potesse costituire la chiave principale per svelare il mistero dell'origine del trojan e che il dropper potesse contenere exploit per vulnerabilità simili. Gli esperti di Kaspersky Lab sono riusciti a individuare l'e-mail originaria con il dropper e l'exploit, inviata ad una vittima in Sudan. L'analisi dettagliata è stata pubblicata nel blogpost. Kaspersky Lab ha aggiunto tempestivamente ai suoi prodotti l'aggiornamento per individuare l'exploit.
È da notare che all'inizio di dicembre la Microsoft non aveva ancora rilasciato la patch per chiudere la vulnerabilità in questione e che quindi il rischio di subire attacchi che la sfruttassero è stato piuttosto elevato. Oltre alle indagini sulla vulnerabilità Kasperky Lab ha condotto alcune operazioni legate alla captazione di una serie di server di controllo di Duqu, situati in diversi Paesi del mondo. Purtroppo gli autori di Duqu hanno reagito tempestivamente alla notizia della scoperta della loro attività e il 20 ottobre hanno condotto un'azione globale di "cancellazione delle tracce" su tutti i server. Kasperky Lab tuttavia sono riusciti a ottenere dei dati e quindi le loro indagini proseguono nella direzione intrapresa.
Nuovi programmi e tecnologie dei cybercriminali
Negli ultimi tempi nei programmi dannosi va aumentando il numero di casi di utilizzo di metodi di steganografia. In settembre era stato individuato l'utilizzo di file grafici contenenti dei comandi nascosti per controllare la botnet SST. Ricordiamo che il bot SST è una variante del noto e diffuso bot TDSS/TDL. In novembre Kaspersky ha riscontrato una tecnica analoga nella famiglia dei programmi trojan che minacciano gli utenti delle banche brasiliane. Si tratta del primo caso di utilizzo della steganografia nelle immagini dei trojan latino-americani. I file, contenenti codici dannosi criptati e delle informazioni aggiuntive, presentavano l'estensione .jpeg, ma per la loro struttura erano in realtà dei file bmp.
Per crearli i cybercriminali hanno utilizzato il metodo della cifratura a blocchi. Utilizzando questa tecnica, i programmatori di virus ottengono in un solo colpo molteplici effetti. In primo luogo, essa consente di compromettere il corretto funzionamento dei sistemi automatici di analisi dell'antivirus: è possibile così che il file venga scaricato, controllato con i programmi antivirus e identificato come "pulito" e con l'andar del tempo il rinvio viene completamente escluso dal controllo. In secondo luogo, gli amministratori dei siti che ospitano questi file dannosi criptati non riescono a riconoscerli come dannosi e, di conseguenza, non intraprendono alcuna contromisura. In terzo e ultimo luogo, alcuni esperti antivirus non hanno il tempo o l'esperienza necessaria per trattare questi file, il tutto a vantaggio ovviamente del cybercriminale.
Minacce per i dispositivi mobili: i trojan SMS si diffondono in tutto il mondo
A metà luglio Kasperky si era dedicato all'argomento dei "mittenti di SMS pornografici" che sfruttavano costosi messaggi SMS per abbonare gli utenti ai più svariati servizi. Queste applicazioni erano rivolte agli utenti di USA, Malesia, Paesi Bassi, Gran Bretagna, Kenia e Sudafrica. In novembre Kaspersky ha individuato dei trojan SMS che prendevano di mira gli utenti di alcuni Paesi europei e del Canada. I programmi dannosi inviano dal dispositivo infettato quattro SMS a un numero breve a pagamento. Questa famiglia di trojan viene individuata da Kaspersky come Trojan-SMS.AndroidOS.Foncy.
Finestra principale di app hot
Secondo i messaggi che Kaspersky ha reperito nei forum, i primi casi di infezione si sono verificati all'inizio di settembre. Pare che qualcuno abbia scaricato un'applicazione per monitorare i propri messaggi SMS/MMS, le telefonate e il traffico delle chiamate. Dopo averlo lanciato, il programma visualizzava sullo schermo del dispositivo un messaggio che informava dell'incompatibilità con la versione del sistema operativo Android utilizzato dall'utente. Dopodiché il credito dell'utente veniva depauperato. Ricordiamo che prima che apparissero i malware della famiglia Trojan-SMS.AndroidOS.Foncy, i trojan SMS avevano attaccato principalmente gli utenti russi e cinesi. Oggi i trojan SMS rappresentano una delle fonti di guadagno più facili per i cybercriminali.
Minacce MacOS
Al giorno d'oggi è difficile sorprendere gli utenti di Windows mettendo trojan e worm nei siti che diffondono versioni pirata di popolari programmi, mentre al contrario per gli utenti di MacOS un attacco del genere è ancora una novità. Così alla fine di ottobre sui torrent tracker che diffondono versioni pirata di programmi per il Мас, è stato individuato un nuovo programma, battezzato Backdoor.OSX.Miner, che possiede contemporaneamente diverse funzioni dannose:
apertura di un accesso remoto al computer infetto;
raccolta di informazioni sulla cronologia dei siti visitati utilizzando il browser Safari;
Questo malware si sta diffondendo in parallelo mediante diversi torrent tracker, quali publicbt.com, openbittorrent.com e thepiratebay.org. Secondo le stime di Kaspersky alla fine di novembre il malware Backdoor.OSX.Miner ha infettato decine di sistemi Mac.
Esempio di torrent tracker che diffonde il Backdoor.OSX.Miner
Manomissione della banca dati Steam
La storia degli attacchi e delle violazioni dei servizi di Sony Playstation Network all'inizio dell'anno è tornata a fare notizia dopo che in novembre è stato individuato un caso simile con un'altra azienda produttrice di videogiochi: il servizio Steam della Valve. Agendo nell'anonimato, gli hacker sono riusciti a crackare il forum del servizio e a inviare una gran quantità di messaggi contenenti link di collegamento a filmati che illustravano come crackare i videogiochi. La Valve ha disattivato il server per risolvere il problema e nel corso delle indagini è stata appurata la manomissione del database Steam. La direzione di Valve si è raccomandata di controllare le transazioni effettuate con le carte di credito e di leggere con attenzione gli estratti conti delle carte.
La banca dati compromessa conteneva informazioni quali i nomi degli utenti, le password hashed e salted, i dati relativi all'acquisto di giochi, gli indirizzi di posta elettronica degli utenti, gli indirizzi di fatturazione e i dati crittati delle carte di credito. L'incidente ha costretto la direzione di Valve a rivolgersi con una lettera a tutti gli utenti del servizio, informandoli del problema individuato. Nella lettera è stato comunicato che l'azienda non ha scoperto prove che dimostrino che gli hacker siano riusciti a mettere le mani su numeri criptati delle carte di credito e dati personali degli utenti, ma "le indagini proseguono". Fino ad ora non ci sono state comunicazioni relative all'utilizzo da parte dei cybercriminali delle carte di credito degli utenti del servizio Steam.
TOP 10 degli hosting dannosi
Ancora problemi con i certificati
Questo è stato un anno ricco di incidenti per i centri di certificazione, a cominciare da quello accaduto alla Comodo per proseguire poi con quanto è successo di recente alla olandese DigiNotar. Certificati trafugati sono stati inoltre individuati in programmi dannosi, tra cui anche il trojan Duqu. Il problema della perdita di credibilità dei certificati digitali in circolazione è attualmente un problema gravissimo per il quale non sono ancora stati trovate soluzioni. In novembre è stata la volta di un altro centro di certificazione olandese, la KPN, che, dopo aver comunicato di esser rimasta vittima di un attacco da parte degli hacker, ha interrotto l'emissione di certificati. La violazione è imputabile a una breccia individuata nel server web della KPN, che serve l'infrastruttura a chiave pubblica (PKI). L'attacco è stato condotto non meno di 4 anni fa.
Un incidente ancora più grave ha interessato il centro malese di certificazione Digicert (CA Digicert Malaysia). Il centro è stato infatti cancellato da tutti i produttori di browser e dalla Microsoft dall'elenco dei centri convenzionati. Questa misura, che colpisce per la sua severità, si è resa necessaria dopo la scoperta dell'emissione da parte della Digicert di 22 certificati con chiavi deboli a 512 bit e di certificati privi delle necessarie estensioni che definiscono le restrizioni per l'utilizzo dei certificati e delle informazioni sulla scadenza della validità. Jerry Bryant, rappresentante della Microsoft, ha fatto sapere che sebbene non si abbiano indizi che confermino che i cybercriminali siano riusciti a rubare anche solo uno di questi certificati, le chiavi deboli hanno permesso di crackarne alcuni. Rapporto completo di Kaspersky: http://newsroom.kaspersky.eu/fileadmin/user_upload/en/Downloads/PDFs/Kaspersky_Lab_press_release_Malware_November.pdf Fonte: Kaspersky Lab Via: Securlist
In chiusura d’anno, Joona Airamo, Chief Information Security Officer di Stonesoft, azienda di soluzioni per la sicurezza di rete, delinea alcune delle probabili tendenze che il 2012 ha in serbo sul fronte della sicurezza informatica e delle minacce che le aziende si devono aspettare.
In queste ore è attiva su Facebook una truffa relativa alla presunta visualizzazione di un video nel quale si vedrebbe Marika Fruscio con un seno scoperto e che viene poi inviata sulla bakeka a tutti i contatti dell'utente che è caduto nello scam. Qualche utente lamenta il problema nonostante abbia eliminato tutte le applicazioni dal proprio profilo. Fino ad ora gli scammer per questa tipologia di truffe hanno sfruttato il noto metodo del clickjacking, adesso invece hanno sviluppato un nuovo approccio per loro la diffusione su Facebook. Invece di usare, per esempio, gli aggiornamenti di stato come un richiamo, l'ultima generazione di truffa Facebook tenta di ingannare l'utente con l'installazione di estensioni maligne sul browser. I plug-in sono presumibilmente necessari per visualizzare inesistente video clip apparentemente inviato da una vittima in precedenza.
Infatti, Websense ® ThreatSeeker ® Network ha recentemente individuato alcune truffe su Facebook che ora utilizzano la potenza delle estensioni del browser per diffondersi sui profili di altri utenti. Le truffe tipicamente utilizzano pagine di trucchi di social engineering - come la diffusione di video seducenti o le offerte per un buono gratuito. "Ora per di più, abbiamo scoperto che alle vittime viene anche chiesto di installare un plugin per il browser. Il plugin è una parte integrante di come la truffa viene diffusa. Una volta installato, il plugin si collega a uno script che utilizza le API di Facebook e poi i messaggi della truffa alle pagine di amici della vittima", scrive Websense nel suo rapporto.
Uno dei vantaggi di usare un plugin è la capacità di persistenza nel browser della vittima e la propagazione ad altri profili - che è simile alle app scam viste in precedenza su Facebook. Gli esperti di Websense hanno rilevato che vengono utilizzati plugin malevoli solo su Chrome e Firefox. Ecco come una pagina esempio di scam appare con Chrome e Firefox, rispettivamente:
Plug-in su Chrome
Plug-in su Firefox
Il codice verifica quale browser è installato e serve il plugin dannoso compatibile. I file del plugin Chrome terminano con un'estensione del file CRX e i plugin per Firefox dei file terminano con l'estensione del file XPI. I file dei plugin di Chrome e di Firefox sono in forma compressa. Guardando all'interno di questi plugin viene rivelato un codice maligno che carica uno script da altri siti. Questo codice è in definitiva caricato dal browser che si connette a Facebook. Il codice dei post a nome della vittima viene diffuso sulle pagine degli amici della vittima, che si traduce in una ulteriormente diffusione della truffa, spam, e possibilmente malware.
Per vedere il codice dietro il plug-in della truffa mostrata sopra, Websense ha diffuso delle immagini dopo aver decompresso il file zip che contiene le estensioni maligne:
Per risolvere il problema bisogna dunque rimuovere i plug-in malevoli installati nel browser. Per far ciò su Chrome andate sulla chiave inglese nell'angolo in alto a destra del browser. Cliccate su Opzioni e in corrispondenza dell'estensione sconosciuta cliccate su Rimuovi.
Se utilizzate Firefox cliccate su Firefox in alto a sinistra del browser e dal menu a discesa che si aprirà scegliete Componenti aggiuntivi e da Estensioni cliccate su Rimuovi per eliminare l'estensione malevola. Completate l'operazione riavviando Firefox.
Prestate sempre la massima attenzione ai post che vi vengono condivisi dagli amici e alle operazioni che vi vengono proposte per la visualizzazione di presunti "filmati imperdibili". Per quanto queste offerte appaiono allettanti se, come in questo caso, vi viene chiesto di installare plug-in al fine di ottenere offerte o guardare un video, ricordare che potrebbe trattarsi di un trucco per diffondere truffe, spam e malware.
Gli account di Lady Gaga su Twitter e Facebook sono stati compromessi lunedì scorso, quando alcuni truffatori esperti sono riusciti a inviare messaggi, apparentemente dalla stessa cantante, per pubblicizzare l'omaggio di Macbook e iPad gratuiti per i fan che cliccavano su determinati short Url. Gli speciali "Macbook Free per le vancanze" e i "Lady Gaga iPad edition" sono stati, infatti, dei trucchi per indurre le persone a fornire i propri dati personali su pagine ospitate su Blogspot. Il buco di sicurezza sarebbe stato patchato, ma l'intrusione riporta l'attenzione sulla pericolosità degli indirizzi Twitter e Facebook di personaggi che hanno milioni di seguaci (i follower di Lady Gaga sono 17.164.230 su Twitter, mentre i fan su Facebook sono 45.802.141). Non è la prima volta che Lady Gaga viene presa di mira per diffondere delle truffe, ma questa volta si è trattata di una vera e propria violazione delle sue Pagine.
Tutto è inziato con la pubblicazione di una coppia di falsi tweet scritti seguendo lo spirito della cantante che si definisce amichevolmente "Mother of monster", madre dei mostriciattoli, spiega Theverge. "Monsters, I'm giving away FREE Macbook's to eache one of you in the spirit of the holidays :-) Go to [LINK] to receive one!", questo il messaggio sulla pagina di Lady Gaga su Twitter.
Mentre "Lady Gaga's new iPad comes out in 3 days! So for the next 72 hours we will be hosting a massive giveaway to all the Mother Monster fans. Sign up and receive your special Lady Gaga edition iPad in time for the Holidays! For contest rules and registration visit the link below. [LINK] Lady Gaga Edition iPad: Lady Gaga's Official iPad Giveaway!", il messaggio pubblicato sulla pagina di Lady Gaga su Facebook. I link mostravano in entrambi i casi un falso sondaggio della Apple che complessivamente è stato cliccato da oltre 100mila utenti, i quali hanno consegnato i propri dati personali agli scammer.
Nel giro di un'ora i post incriminati sono stati rimossi, come ha spiegato la stessa catante con un post sulla sua pagina Facebook: "Phew. The hacking is over! And just in time, I'm on my way to Japan! So excited to spend Xmastime with my TokyoMonsters! I also want to thank Little Monsters for making tomorrow the 20th Marry The Night Download Day. You are so sweet + generous, I love u. Xx Ready for redwine and 12 hrs of napping. Is it weird I like flying because I can sleep and my t-t-telephone has no service? #stopcallin wee!". "Naturalmente, colpendo una delle figure più popolari su Twitter e Facebook ha i suoi vantaggi per i truffatori", sottolinea Graham Cluney di Sophos.
Nonostante ciò, Protezione Account ha individuato dei link nella zona destinata agli iscritti della Pagina di Lady Gaga su Facebook con false anteprime video (ben camuffate) che non riportano a filmati, bensì ad applicazioni su Facebook e a siti di esterni che ricalcano alla grafica del social network per renderli più credibili. Ovviamente i link fraudolenti possono trovarsi su altre Pagine che contano milioni di fan. Prestate dunque attenzione prima di cliccare su qualsiasi post che vi viene proposto e controllate il link in esso contenuto.
I servizi di Url accorciati permettono di creare un link capace di effettuare un reindirizzamento verso un qualunque indirizzo specificato dall'utente. I gestori dei principali servizi per l'abbreviamento degli Url hanno implementato dei meccanismi per verificare la pagina di destinazione informando l'utente se si tratta di siti fraudolenti. Nel caso di bit.ly, è sufficiente aggiungere il segno + alla fine dell'Url per stabilire l'indirizzo di arrivo. Ad esempio, cliccando su http://bit.ly/vVfgal si verrà reindirizzati alla home page di Protezione Account. Copiando lo stesso Url nella barra degli indirizzi ed aggiungendo il segno "+" (https://bitly.com/vVfgal+) si potrà subito scoprire la destinazione senza visitare la pagina Web a cui fà riferimento.
