Tags Posts tagged with "Check Point"

Check Point

0 509

I ricercatori Check Point hanno scoperto oltre 400 vulnerabilità nel chip Qualcomm integrato in oltre il 40% dei telefoni del mondo, compresi i telefoni di fascia alta di Google, LG, Samsung, Xiaomi, OnePlus e altri. Attraverso queste vulnerabilità, i malintenzionati possono controllare un telefono Android per spiare, renderlo inaccessibile e nascondere attività malevole.

  • Centinaia di sezioni di codice vulnerabile sono state trovate nel Digital Signal Processor (DSP) di Qualcomm;
  • Quasi tutti i telefoni Android esistenti sono esposti a potenziali attacchi;
  • Sebbene Qualcomm abbia sviluppato delle patch, i brand di telefonia devono ancora implementare delle correzioni, rendendo la minaccia ancora attuabile.

I ricercatori di Check Point hanno individuato centinaia di sezioni di codice vulnerabile all’interno di un chip che si trova in oltre il 40% dei telefoni del mondo. Il chip, noto come Digital Signal Processor (DSP), è prodotto da Qualcomm, e si trova in quasi tutti i telefoni Android del pianeta, compresi i telefoni di fascia alta di Google, Samsung, LG, Xiaomi, OnePlus e altri. In un report intitolato “DSP-Gate” che verrà presentato durante DEF CON 2020, i ricercatori di Check Point hanno evidenziato gli importanti rischi per la sicurezza di oltre 400 vulnerabilità riscontrate nel DSP di Qualcomm:

  1. Il vostro smartphone ti spia. I malintenzionati possono trasformare il vostro telefono in un perfetto strumento di spionaggio, senza che sia necessaria alcuna interazione con l’utente. Le informazioni che possono essere sottratte dallo smartphone includono foto, video, registrazione delle chiamate, dati del microfono in tempo reale, GPS e dati sulla posizione e altro ancora.
  2. Il vostro smartphone diventa inaccessibile. Gli aggressori possono sfruttare le vulnerabilità per rendere il vostro smartphone costantemente inaccessibile, facendo diventare tutte le informazioni memorizzate all’interno permanentemente non disponibili – comprese foto, video, contatti, ecc.
  3. Il vostro smartphone nasconde attività malevole. Malware e altri codici malevoli possono nascondere completamente le attività di un hacker e diventare impossibili da rimuovere.

Per sfruttare queste vulnerabilità, un hacker dovrebbe semplicemente persuadere l’obiettivo a installare una banale applicazione benigna, che non richiede alcuna autorizzazione.

Cos’è un DSP

DSP sta per processore di segnale digitale. Un DSP è un processore dedicato e ottimizzato per eseguire in maniera estremamente efficiente sequenze di istruzioni ricorrenti nell’elaborazione di segnali digitali. I DSP sono progettati per eseguire funzioni matematiche come addizione e sottrazione ad alta velocità con il minimo consumo di energia. La tecnologia si trova all’interno di cuffie, smartphone, altoparlanti intelligenti, attrezzatura audio da studio, sistemi di intrattenimento per veicoli e altro ancora. Per esempio, c’è un DSP all’interno del vostro smartphone per decodificare file MP3, potenziare i bassi della vostra musica, eseguire la matematica per la cancellazione attiva del rumore e riconoscere la vostra voce quando dite “Ehi, Google!”. In parole povere, probabilmente potete guardare un DSP come un computer completo su un singolo chip – e quasi tutti i telefoni moderni includono almeno uno di questi chip.

DSP, un nuovo vettore di attacco

Dopo aver condotto le proprie analisi sul DSP di Qualcomm, i ricercatori del Check Point affermano che i DSP rappresentano una importante frontiera di attacco per gli hacker. Questi chip introducono nuove superfici di attacco e punti deboli nei dispositivi mobile. I chip DSP sono molto più vulnerabili ai rischi in quanto vengono gestiti come “Scatole Nere”, poiché può essere molto complesso per chiunque altro che non sia il loro produttore rivedere il loro design, le funzionalità o il codice.

Comunicazione responsabile

I ricercatori del Check Point hanno comunicato in modo responsabile le loro scoperte a Qualcomm. Il produttore del chip ha riconosciuto le vulnerabilità di sicurezza e ha notificato i relativi fornitori, rilasciando CVE-2020-11201, CVE-2020-11202, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 e CVE-2020-11209.

Avviso importante

Check Point Research ha deciso di non pubblicare tutti i dettagli tecnici di queste vulnerabilità fino a quando i produttori di telefonia mobile non avranno una soluzione completa ai possibili rischi descritti. Tuttavia, abbiamo deciso di annunciare questa scoperta per sensibilizzare l’opinione pubblica su questi problemi. Inoltre, abbiamo aggiornato i funzionari governativi competenti e i produttori di dispositivi mobili interessati, e abbiamo collaborato a questo proposito per aiutare a rendere i loro telefoni cellulari più sicuri, con tutti i dettagli della ricerca. Check Point Research si impegna a rendere la tecnologia e i prodotti in tutto il mondo più sicuri e collaborerà con qualsiasi fornitore di sicurezza che richieda tale collaborazione. In uno sforzo proattivo, abbiamo anche offerto alle organizzazioni che potrebbero essere interessate da questi rischi 20 licenze SandBlast Mobile gratuite per la loro gestione dei dispositivi mobili per proteggere e prevenire qualsiasi potenziale danno nei prossimi 6 mesi da questa pubblicazione. iPhone non è interessato dalle vulnerabilità descritte nella in questa ricerca.

Yaniv Balmas, Head of Cyber Research di Check Point, dichiara:

“Anche se Qualcomm ha risolto il problema, purtroppo non è la fine della storia. Centinaia di milioni di telefoni sono esposti a questo rischio di sicurezza. Si può essere spiati. Si possono perdere tutti i dati. La nostra ricerca mostra il complesso ecosistema del mondo mobile. Con una lunga supply chain integrata in ogni singolo smartphone, non è banale trovare problemi profondamente nascosti in questi dispositivi, ma non è nemmeno banale risolverli. Per fortuna questa volta siamo riusciti a individuare questi problemi. Ma, supponiamo che ci vorranno mesi o addirittura anni per risolverli completamente. Se tali vulnerabilità saranno trovate e utilizzate da malintenzionati, troveranno milioni di utenti di smartphone che non avranno modo di proteggersi per molto tempo.

Spetta ora ai vendor, come Google, Samsung e Xiaomi, integrare queste patch in tutte le proprie linee di smartphone, sia in produzione che già disponibili sul mercato. Secondo le nostre stime, ci vorrà un po’ di tempo prima che tutti i vendor integrino le patch in tutti i loro telefoni. Quindi, non ci sembra che pubblicare tutti i dettagli tecnici sia la cosa più responsabile da fare, dato l’alto rischio che questi finiscano nelle mani sbagliate. Per ora, i consumatori devono aspettare che anche i produttori interessati implementino le correzioni. Check Point offre protezione per queste vulnerabilità con la propria soluzione di protezione mobile.”

0 189

I ricercatori hanno identificato una falla di sicurezza in Windows, nei servizi DNS forniti da Microsoft per ogni sistema operativo Windows. Gli hacker potrebbero sfruttare la vulnerabilità per ottenere i privilegi admin di dominio sui server per assumere il controllo completo dell’IT di una società.

I ricercatori di Check Point Software Technologies hanno individuato una falla di sicurezza nel domain name system (DNS) di Windows, l’implementazione dei servizi DNS forniti da Microsoft nei sistemi operativi Windows.

Questa falla consentirebbe a un hacker di effettuare query DNS dannose al server DNS di Windows e di ottenere un’esecuzione arbitraria del codice che potrebbe portare alla violazione dell’intera infrastruttura. La vulnerabilità critica, denominata SigRed dai ricercatori di Check Point, riguarda le versioni dei server Windows del periodo 2003-2019. Microsoft ha identificato la falla di sicurezza e ha pubblicato una patch (CVE-2020-1350) a cui è stato assegnato il punteggio di rischio più alto possibile (CVSS:10.0).

Il DNS, spesso indicato come la “rubrica telefonica di internet”, fa parte dell’infrastruttura globale di internet che traduce i nomi più comuni dei siti web, nelle stringhe di numeri di cui i computer hanno bisogno per trovare un determinato sito web, o per inviare una e-mail.

Quando si dispone di un nome di dominio – per esempio www.checkpoint.com – si controlla a quale numero quel nome si collega, tramite un record DNS. Questi server sono presenti in ogni organizzazione e, se sfruttati, darebbero a un hacker i privilegi admin di dominio sul server, consentendogli di intercettare e manipolare le e-mail degli utenti e il traffico di rete, rendere i servizi non disponibili, raccogliere le credenziali degli utenti e altro ancora. In questo modo, l’hacker potrebbe acquisire il controllo completo di un’azienda IT.

Comunicazione responsabile

Il 19 maggio 2020, Check Point Research, la divisione Threat Intelligence di Check Point, ha comunicato in modo responsabile i risultati della ricerca a Microsoft. L’azienda ha identificato la falla di sicurezza e ha appena pubblicato una patch (CVE-2020-1350) nel suo “Patch Tuesday” – ieri, 14 luglio 2020. Microsoft ha assegnato alla vulnerabilità il punteggio di rischio più alto possibile (CVSS:10.0).

Una falla contagiosa

Microsoft descrive una vulnerabilità di questo tipo come “wormable”, il che significa che un singolo exploit può avviare una reazione a catena che permette agli attacchi di diffondersi da un dispositivo vulnerabile all’altro, senza richiedere alcuna interazione umana. Ciò significa che una singola macchina compromessa potrebbe essere un “super distributore”, consentendo all’attacco di diffondersi in tutta la rete di un’organizzazione entro pochi minuti dal primo exploit.

Scaricate la patch, ora

La patch per la vulnerabilità è già disponibile da ieri, 14 luglio 2020. Check Point esorta vivamente gli utenti Windows a patchare i loro server DNS al fine di prevenire lo sfruttamento di questa vulnerabilità. La probabilità che questa vulnerabilità venga sfruttata è alta, in quanto i ricercatori hanno trovato internamente tutti gli elementi necessari per sfruttare questo bug. Ciò significa che anche un hacker determinato potrebbe attingere alle stesse risorse.

Una violazione del server DNS è una cosa molto seria. La maggior parte delle volte, proietta l’aggressore a un passo dal violare l’intera aziendaSono pochissimi i tipi di vulnerabilità di questo tipo. Ogni impresa, grande o piccola, che utilizzi un’infrastruttura Microsoft, è esposta a grandi rischi a livello di sicurezza, se lasciata senza patch. Il rischio maggiore sarebbe una completa violazione dell’intera rete aziendale. Questa tipologia di vulnerabilità è presente nel codice Microsoft da più di 17 anni; quindi, se l’abbiamo trovata noi, non è impossibile supporre che qualcun altro l’abbia già trovata”, ha dichiarato David Gubiani, Regional Director SE EMEA Southern di Check Point.

Inoltre, le nostre scoperte dimostrano che non importa quanto crediamo di essere in sicurezza; ci sono, infatti, un’infinità di problemi in questo ambito che aspettano solo di essere scoperti. Chiamiamo questa vulnerabilità SigRed e crediamo che dovrebbe essere priorità assoluta porvi rimedio. Questa non è solo un’altra delle tante vulnerabilità: è necessario applicare la patch ora per fermare un’altra eventuale pandemia, ma di tipo informatico.”

Come rimanere protetti: 

  1. Applicare la patch Microsoft disponibile – Patch Tuesday (14 luglio 2020)
  2. Utilizzare un fornitore di terze parti per proteggere l’infrastruttura IT aziendale
  3. Utilizzare il seguente workaround per bloccare l’attacco. Digitare in “CMD”:
    reg add

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS

0 333

Il ben noto malware si nasconde nel file “informazioni essenziali” che ogni app Android deve avere, facendo abbonare le vittime ignare a servizi premium.

I ricercatori di Check Point Software Technologies hanno segnalato che il famigerato malware, Joker, continua ad eludere le protezioni di Google Play Store, e a commettere frodi a insaputa delle proprie vittime. Rintracciato per la prima volta nel 2017, Joker è uno spyware e un dialer che può accedere alle notifiche, leggere e inviare SMS in modo autonomo. Queste capacità vengono utilizzate per far attivare abbonamenti a dei servizi premium all’insaputa delle vittime. Google ha descritto questa operazione del malware come una delle minacce più persistenti che abbia dovuto affronare nel corso degli ultimi anni, affermando che il malware “utilizza praticamente ogni tecnica di cloaking nota, per nascondersi nel tentativo di passare inosservato.

Recentemente, Joker stava sfruttando un nuovo metodo

Questa volta, il malware Joker nascondeva codice dannoso all’interno di quello che viene chiamato il file “Android Manifest” di un’app regolare. Ogni app deve avere un file “Android Manifest” nella sua directory principale. Questo file fornisce al sistema Android informazioni essenziali su un’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo, il malware non aveva bisogno di accedere a un server C&C – computer controllato da un cybercriminale utilizzato per inviare comandi a sistemi compromessi dal malware – per scaricare il payload, la parte di malware che esegue l’azione dannosa.

I ricercatori hanno delineato il nuovo metodo Joker in tre fasi:

  1. Creare prima il payload. Joker costruisce il suo payload in anticipo, inserendolo nel file “Android Manifest”.
  2. Saltare il caricamento del payload. Durante il tempo di valutazione, Joker non tenta nemmeno di caricare il payload dannoso, il che rende molto più facile bypassare le protezioni di Google Play Store.
  3. Diffondere il malware. Dopo il periodo di valutazione, dopo l’approvazione, la campagna inizia a funzionare, il payload dannoso viene deciso e caricato.

Pierluigi Torriani, Security Engineering Manager, Italy afferma:

Joker si è adattato. Lo abbiamo trovato nascosto nel file ‘informazioni essenziali’ che ogni applicazione Android deve avere. Le nostre ultime scoperte indicano che le protezioni di Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di upload di Joker su Google Play su base settimanale, tutti scaricati da utenti ignari. Il malware Joker è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’è Joker e come può colpire la gente comune.

Comunicazione responsabile

I ricercatori hanno divulgato le scoperte in modo responsabile a Google. Tutte le applicazioni segnalate (11 app) sono state rimosse dal Play Store entro il 30 aprile 2020. Check Point è certa che Joker tornerà, quindi è importante proteggersi con una soluzione mobile.

Come rimanere protetti

Se sospettate di avere una di queste app infette sul dispositivo, ecco cosa dovreste fare:

  • Disinstallare l’app presumibilmente infetta.
  • Controllare le fatture di smartphone e carta di credito per vedere se siete stati registrati a eventuali abbonamenti e, se possibile, cancellateli.
  • Installare una soluzione di sicurezza per prevenire future infezioni.

0 227

Da oggi Immuni, l’app italiana per il contact tracing per l’emergenza Covid-19 è attiva per tutte le regioni.

Ma è sicura? Quali rischi si corrono?

Ecco il commento di di Check Point® Software Technologies Ltd. il principale fornitore di soluzioni di cybersecurity a livello globale.

David Gubiani, Regional Director SE EMEA Southern, spiega:

Il giudizio sulle app di contact tracing non è ancora definitivo, le preoccupazioni ci sono perché è importante che queste app per il tracciamento Covid-19 mantengano un delicato equilibrio tra privacy e sicurezza, in quanto una scarsa implementazione degli standard di sicurezza potrebbe mettere a rischio i dati degli utenti. Bisogna leggere con attenzione le informazioni che dichiarano di raccogliere ma, sebbene il ragionamento sulla privacy sia importante quando si tratta di app legate ai governi, dobbiamo pensare in modo olistico anche alla nostra vita “digitale” e chiederci quali dati, anche ben più personali e sensibili, stiamo già fornendo e quali autorizzazioni abbiamo concesso, in modo più o meno consapevole, alle altre app che abbiamo scaricato sul nostro smartphone e che utilizziamo quotidianamente.

Da una prima analisi sull’app Immuni sembra che i dati raccolti siano effettivamente quelli dichiarati e che quindi la nostra privacy sia garantita. Il server Sogei per la raccolta e stoccaggio (temporaneo) dei dati è protetto in modo solido e quindi dubito che si possano temere manipolazioni o furti di dati da li, anche perché si tratterebbe di informazioni di poco valore per degli hacker. Il rischio maggiore che vedo nell’app italiana è che venga scaricata un’app fake che ovviamente non si limiterebbe a fare quello che dovrebbe fare Immuni ma potrebbe compromettere il nostro smartphone.”

Come rimanere protetti:

  • Scaricare app solo dagli store ufficiali. Installare le applicazioni di tracciamento solo dagli app store ufficiali, in quanto risultano i soli ad essere autorizzati dalle agenzie governative a pubblicare tali applicazioni. Attenzione anche ai link per scaricare l’app che ci arrivano da altri canali, come messaggi o email.
  • Utilizzare soluzioni per la sicurezza mobile. Scaricare e installare una soluzione di sicurezza mobile per la scansione delle applicazioni, al fine di proteggere i dispositivi contro malware e verificare che non siano stati compromessi.

Check Point continuerà ad analizzare le applicazioni per il tracciamento Covid-19 e la loro struttura.

0 282

Gli attacchi di Business Email Compromise (BEC) sono un tipo sofisticato di truffa che prende di mira sia le imprese che i privati con l’obiettivo di trasferire fondi dai conti bancari delle vittime ai criminali. Secondo l’Internet Crime Report 2019 dell’FBI, il totale delle perdite annuali generate dalle truffe BEC nei soli Stati Uniti ha raggiunto 1,7 miliardi di dollari. Le truffe BEC hanno anche rappresentato la metà di tutte le perdite derivanti dalle attività della criminalità informatica negli Stati Uniti nel 2019, facendo di questo tipo di attacchi la prima minaccia informatica, in termini di danni economici. Il gigante delle assicurazioni AIG lo ha confermato, segnalando le truffe BEC come la principale ragione alla base delle richieste di risarcimento assicurativo per crimini informatici nel 2018, seguita da ransomware e violazioni di dati.

Inizialmente, le BEC utilizzavano l’hacking o lo spoofing degli account e-mail dei CEO o dei CFO delle aziende al fine di richiedere il trasferimento di fondi su conti correnti controllati dai criminali. Nel corso degli anni, questi attacchi sono diventati sempre più sofisticati, soprattutto sotto il profilo del social engineering. Invece di prendere di mira direttamente le aziende, gli attacchi si rivolgono ora a clienti, dipartimenti HR, fornitori, commercialisti e studi legali, e persino alle autorità fiscali. Oltre a generare o a deviare direttamente le transazioni in valuta, le truffe BEC sono state utilizzate per acquistare in modo fraudolento gift card, deviare le dichiarazioni dei redditi e persino trasferire hardware e attrezzature per milioni di dollari sotto il controllo dei criminali informatici.

COVID-19: l’argomento perfetto per le truffe Business Email Compromise

Per sostenere i propri tentativi di social engineering, i criminali informatici sfruttano l’interesse per i grandi eventi di attualità e con la pandemia da Covid-19 hanno per le mani la leva perfetta per le truffe. Le nuove condizioni di lavoro imposte dall’epidemia globale hanno innescato un picco nelle truffe BEC, perché la diffusione dello smart working offre maggiori opportunità di cogliere gli utenti alla sprovvista. Check Point Research ha recentemente mostrato un aumento del 30% degli attacchi informatici legati alla Covid-19 nelle prime due settimane di maggio, molti dei quali sono avvenuti via e-mail. In media, sono stati documentati 192.000 attacchi informatici legati al Coronavirus a settimana.

Inoltre, sono stati segnalati diversi episodi da parte di agenzie governative e servizi sanitari nei quali, mentre cercavano di procurarsi attrezzature mediche, hanno trasferito fondi a intermediari disonesti prima di ricevere gli articoli, solo per scoprire che le attrezzature non esistevano e che i soldi erano irrecuperabili.

Cosa c’è dietro un attacco della BEC?

Vediamo i componenti di un attacco BEC. Tipicamente, un criminale crea un account e-mail che impersona un dirigente di alto livello di un’azienda – sia hackerando il sistema di e-mail dell’organizzazione, sia creando un falso account dall’aspetto legittimo – e invia una mail a un dipendente, richiedendo un trasferimento di denaro su un conto bancario sotto il controllo dei criminali. Questo viene spesso fatto con la scusa dell’urgenza o di problemi di comunicazione che impediscono al manager di comunicare in modi alternativi.

I tre principali modi di impersonare qualcuno sono:

  • Il criminale falsifica l’indirizzo e-mail di origine – poiché il protocollo SMTP di base non prevede un meccanismo di convalida del mittente, i criminali possono utilizzare server SMTP dedicati o esposti pubblicamente per inviare e-mail con un indirizzo falsificato.
  • Il criminale invia e-mail dal vero account della vittima impersonata di cui ha ottenuto il controllo tramite phishing, furto di credenziali o altri mezzi.
  • Il criminale invia e-mail utilizzando un dominio simile. In questo caso, il dominio si differenzia dall’indirizzo autentico per un dettaglio minore, come ad esempio “example.co” piuttosto che “example.com”.

Le truffe BEC colpiscono tutti i settori da quello immobiliare a quello dell’arte, a quello governativo, a quello degli enti locali e persino all’esercito. In una di queste frodi, resa nota nel 2019, un appaltatore della difesa statunitense ha inviato apparecchiature per un ordine falso del valore di oltre 10 milioni di dollari, inclusi 3,2 milioni di dollari di apparecchiature di intercettazione delle comunicazioni altamente sensibili. Il criminale ha inviato un falso ordine di acquisto utilizzando un falso indirizzo e-mail Yahoo! che terminava con “navy-mil.us”. L’attrezzatura è stata spedita e ricevuta in un ufficio che, dopo ulteriori indagini, ha rivelato l’identità della persona che l’ha contrattata, portando al suo arresto. Il successo delle truffe BEC richiede, oltre al falso account e-mail, la conoscenza dettagliata dell’identità dei funzionari da contattare, il tono e il fraseggio dell’ordine di acquisto e del gergo di comunicazione, e la conoscenza dell’attrezzatura giusta da ordinare.

La criminalità organizzata dietro alle truffe BEC

Spesso questi attacchi sofisticati non sono condotti da un singolo individuo, ma da una struttura tipica della criminalità organizzata. Queste operazioni richiedono infatti l’apertura di conti bancari, il che richiede spesso l’impiego di identità rubate ottenute in mercati clandestini o rubate in operazioni separate. I fondi rubati devono essere prelevati da più individui e attraverso molteplici transazioni, il che comporta una complessa logistica dei money mules, spesso in operazioni internazionali.

In un sofisticato attacco BEC recentemente denunciato da Check Point Research, i criminali si sono infiltrati nell’account Office 365 di tre società finanziarie e hanno monitorato tutta la corrispondenza per diverse settimane. In seguito, hanno creato domini sosia per le imprese attaccate, nonché per i partner, i contabili e le rispettive banche, e hanno poi deviato la relativa comunicazione verso i domini falsi. In questo modo è stato creato uno schema “man-in-the-middle” (fig. 1) che ha permesso loro di deviare e di avviare trasferimenti di denaro fraudolenti per oltre 1,3 milioni di dollari. Simili attacchi sono molto complicati da bloccare anche dopo la loro denuncia, poiché un numero sconosciuto di clienti e fornitori può ancora intrattenere inconsapevolmente una corrispondenza direttamente con i criminali.

Figura 1: Domini sosia utilizzati in una sofisticata intercettazione di e-mail Man-in-the-Middle

Intervenire in simili operazioni richiede la cooperazione internazionale delle forze dell’ordine in reti sparse attraverso diversi continenti. Una di queste operazioni, denunciata nel settembre 2019, ha portato all’arresto di 281 sospetti residenti in 10 Paesi, nonché al recupero di 120 milioni di dollari in bonifici bancari confiscati e recuperati.

Dalle gift card alle attrezzature militari

I trasferimenti di denaro non sono l’unico modo per rubare soldi attraverso gli attacchi BEC. In molti casi è più facile persuadere i funzionari dell’azienda ad acquistare gift card piuttosto che effettuare un trasferimento diretto di fondi. In questo modo, i criminali non sono tenuti a creare conti bancari fraudolenti e i dati delle gift card possono essere venduti online nei forum per circa il 70% del loro valore effettivo. Le truffe BEC con le gift card sono particolarmente diffuse durante le festività natalizie e il recupero dei soldi è quasi impossibile. I fornitori di gift card più popolari utilizzati nelle frodi BEC sono Google Play, eBay, Target e Walmart e, secondo i ricercatori, le gift card sono utilizzate in oltre il 60% delle truffe BEC.

Come possono le organizzazioni migliorare la propria sicurezza per far fronte alle truffe BEC? Ecco i consigli di Check Point:

  • Proteggere il traffico e-mail con almeno una soluzione avanzata di sicurezza e-mail di un fornitore conosciuto. I vendor di nicchia e le soluzioni open-source potrebbero causare più danni che benefici.
  • Proteggere la navigazione mobile ed endpoint con soluzioni avanzate di sicurezza informatica, che impediscono la navigazione verso siti web di phishing, conosciuti o sconosciuti.
  • Utilizzare l’autenticazione a due fattori per verificare qualsiasi modifica delle informazioni dell’account o delle istruzioni per i bonifici.
  • Educare continuamente i propri utenti finali: ogni volta che vengono effettuate azioni irreversibili come il trasferimento di denaro, i dettagli della transazione devono essere verificati con mezzi aggiuntivi come la comunicazione verbale e non devono basarsi esclusivamente sulle informazioni provenienti dalla corrispondenza via e-mail.
  • Controllare l’indirizzo e-mail completo di ogni messaggio e prestare attenzione ai collegamenti ipertestuali che possono contenere errori di ortografia del nome del dominio.
  • Non fornire credenziali di accesso o informazioni personali in risposta a un testo o a una e-mail.
  • Seguire le best practice di sicurezza.
  • Monitorare regolarmente i conti bancari.
  • Aggiornare costantemente i software e i sistemi.
  • Assicurarsi di utilizzare una soluzione avanzata di sicurezza e-mail che blocchi gli attacchi di phishing sofisticati come quelli BEC, per evitare che raggiungano le caselle e-mail dei dipendenti.

0 159

A seguito del grave data breach di EasyJet che ha esposto 9 milioni di indirizzi e-mail e dettagli di viaggio e 2.208 dati di carte di credito dei clientiDavid Gubiani, Regional Director SE EMEA Southern di Check Point, ha dichiarato che le informazioni personali dettagliate rubate dalla compagnia aerea saranno probabilmente scambiate tra hacker e utilizzate come esca per attacchi di phishing mirati contro i clienti, soprattutto attraverso e-mail che affermano di provenire da EasyJet o da società affiliate.

Ci sono sufficienti informazioni personali nei registri rubati per far sì che queste persone diventino bersaglio per furto di identità e frode.  È probabile che gli hacker scambino i dati rubati e che cerchino di indurre i clienti a rivelare ulteriori dati personali utilizzando e-mail phishing mirate.

Gli hacker puntano ai grandi numeri potendo facilmente inviare decine di migliaia di e-mail nella speranza di ingannare anche solo una manciata di clienti. I clienti interessati dovrebbero prestare attenzione ed essere sospettosi di qualsiasi e-mail o persino di telefonate relative alla violazione, per quanto plausibili, e non dovrebbero rivelare ulteriori informazioni personali.  Dovrebbero inoltre essere attenti alle transazioni sospette con carte di credito.  Nelle ultime settimane abbiamo assistito a un forte aumento dei tentativi di phishing e dei cyber-attacchi informatici, molti dei quali legati alla pandemia di Covid-19.  Non sarei sorpreso di vedere altri attacchi lanciati utilizzando questi dati rubati“, conclude Gubiani.

0 156

La sicurezza mobile non è più una possibilità – è una necessità. Nell’ultimo decennio si è assistito a un’esplosione del numero di persone che hanno adottato un approccio BYOD (Bring Your Own Device) grazie al quale utilizzano i propri dispositivi personali per il lavoro. E, con le attuali esigenze di smart working innescate dalla diffusione globale di COVID-19, altri milioni di persone sono state costrette ad adottare questa modalità e continueranno a farlo ancora per qualche tempo.

Secondo il Cyber Security Report 2020 di Check Point, quasi un terzo delle organizzazioni in tutto il mondo soffre di attacchi diretti ai dispositivi mobile, e il 60% dei professionisti della sicurezza IT dubita che le proprie aziende sarebbero in grado di evitare una violazione della sicurezza mobile. E possiamo anticipare che queste percentuali sono destinate ad aumentare, data la situazione attuale.

La protezione dei dispositivi mobile, quindi, deve essere ora obbligatoria. Di quali minacce informatiche stiamo parlando? Qui, abbiamo indicato le cinque principali minacce che mettono a rischio la sicurezza dei dispositivi mobile, con consigli su come ottimizzare la loro protezione.

  1. Applicazioni dannose: l’installazione di applicazioni può comportare una moltitudine di rischi per la sicurezza, come la fuga di dati, tra gli altri.
  2. Vulnerabilità dei dispositivi: come evidenziato nel rapporto, il 27% delle aziende a livello globale è stato vittima di attacchi informatici a causa di un dispositivo mobile la cui sicurezza è stata compromessa.
  3. Phishing: il phishing rimane una delle minacce con il più alto tasso di successo. Non sorprende quindi che i cyber-criminali tendano a sfruttare le numerose applicazioni di messaggistica disponibili sui dispositivi mobile per indirizzare l’utente verso un sito web fasullo.
  4. Attacchi Man in the Middle (MitM): i dispositivi mobile permettono alle persone di connettersi e comunicare da qualsiasi parte del mondo.
  5. Attacchi basati sulla rete: è fondamentale analizzare le comunicazioni che i dispositivi ricevono ed emettono. In questo modo si possono evitare molti tipi di attacchi.

Infine, è importante che le organizzazioni riconoscano che la gestione e la protezione dei dispositivi mobile non sono sinonimi. Alcuni credono erroneamente che, a seconda del sistema operativo installato, la sicurezza di un dispositivo mobile possa essere migliore.

Dunque, per avere i più alti standard di sicurezza, è essenziale rispettare alcune policy come la crittografia dei dispositivi e implementare soluzioni come la cancellazione remota dei dati. Alcune soluzioni di difesa dalle minacce mobile possono anche aiutare le organizzazioni a proteggere i dispositivi aziendali da attacchi mobile avanzati.

0 146

Nell’ultimo decennio abbiamo visto il mondo convertirsi alla tecnologia mobile. La trasformazione digitale è diventata una realtà e la quarta rivoluzione industriale diventerà presto un capitolo nei libri di storia. Ora tutto è collegato: dispositivi IoT, wearable, computer portatili e dispositivi mobile. Ma i dispositivi mobile non sono solo collegati a Internet. Sono anche collegati a noi, in alcuni casi quasi in modo letterale – per molti di noi, i nostri cellulari sono diventati praticamente un’estensione del nostro corpo.

Per le imprese, questa non è stata altro che una vittoria. In teoria, afferma Check Point Software Technologies.

Fornendo ai dipendenti gli strumenti necessari per lavorare comodamente da remoto con i propri dispositivi mobile, le aziende beneficiano di una maggiore efficienza. I dipendenti sono essenzialmente disponibili sempre e ovunque. Ma la possibilità di accedere senza sforzo alle informazioni aziendali sensibili dai dispositivi mobile apre una nuova backdoor alle reti aziendali e, a sua volta, alle violazioni dei dati.

Mentre un caso WannaCry o NotPetya per Mobile non ha ancora avuto luogo, si stanno già verificando attacchi verso i dispositivi mobile. In realtà, stanno aumentando a un ritmo allarmante.

Nel 2018 gli attacchi verso i dispositivi mobile sono quasi raddoppiati rispetto all’anno precedente, raggiungendo i 116,5 milioni, con un’impennata di utenti unici, secondo GartnerLa maggior parte delle aziende soffre di una carenza di strumenti in grado di dare visibilità sui rischi per i dispostivi mobile, nonostante siano concreti i rischi che coinvolgono i dipendenti in lavoro da remoto e mobileLe soluzioni di gestione degli endpoint non sono sufficienti a proteggere le organizzazioni dal panorama delle minacce mobile in continua evoluzione. Gli attacchi di phishing, Man-in-the-Middle e bot si verificano sempre più spesso e stanno crescendo in portata e prestazioni, con gravi conseguenze in termini di tempi di inattività, violazioni dei dati e, di conseguenza, danni alla reputazione.

Nonostante ciò, molte aziende non affrontano seriamente il malware mobile. Ma che dire della regolamentazione e della compliance?

Gli ultimi due anni dell’ultimo decennio sono stati un importante punto di svolta per la gestione dei dati, con il 25 maggio del 2018 che è stato il “D-day”, ovvero quando siamo entrati nell’era del GDPR. Il regolamento generale sulla protezione dei dati considera le aziende responsabili di qualsiasi violazione delle informazioni personali dei cittadini dell’Unione Europea. Le organizzazioni devono disporre di un meccanismo adeguato per garantire la sicurezza dei dati in tutti i dispositivi da qualsiasi luogo in cui si accede ai dati. Non dimentichiamo che i dati sono dati, non importa dove sono ospitati o dove vengono trasmessi.

Ma la regolamentazione non si ferma al GDPR.

Nel tentativo di standardizzare le misure di prevenzione delle frodi e delle violazioni, diversi settori hanno creato i propri standard. Le organizzazioni sanitarie di diversi Paesi, ad esempio, devono conformarsi all’HIPAA per proteggere la privacy, la sicurezza e l’integrità delle informazioni sanitarie sensibili. Gli standard del settore delle carte di pagamento (PCI) chiedono la sicurezza dei dati dei titolari di carta in tutto il mondo; e poi c’è la Payment Services Directive 2 (PSD2), che richiede alle organizzazioni del settore dei servizi finanziari dell’Unione Europea e dello Spazio Economico Europeo di rendere più sicuri i servizi di pagamento. Questa direttiva comprende in particolare misure di sicurezza per le operazioni di pagamento mobile.

Per concludere, nella nuova era digitale e mobile, le organizzazioni saranno sottoposte a un maggiore controllo da parte dei loro stakeholder quando si tratta di proteggere i dati aziendali. Di conseguenza, l’aspettativa sarà che se si mettono i dati aziendali su un dispositivo, o se si permette il suo accesso attraverso di esso, quel dispositivo deve essere protetto con le misure di sicurezza appropriate. L’adozione di un approccio di sicurezza completo e Zero Trust per i dispositivi mobile non è più un’opzione.

0 230

Negli ultimi anni Google ha svolto un’intensa attività per migliorare la sicurezza del suo app store Google Play. Perché? Perché milioni di utenti hanno inavvertitamente scaricato migliaia di app dannose dallo store che hanno compromesso i loro dati, tra cui SMS, credenziali, foto, calendari, appuntamenti ed e-mail. Ad esempio, nel marzo 2019, l’adware “SimBad” è stato trovato in oltre 200 app sullo store, con un conteggio di download combinato di quasi 150 milioni.

Dalla costituzione formale dell’alleanza, sono state effettuate oltre 5,2 milioni di installazioni di app dannose, che hanno riguardato decine di campagne di quattro diversi tipi di malware. Queste famiglie di malware hanno una serie di capacità: dalla possibilità di rubare tutte le informazioni dal dispositivo, alla possibilità di prenderne il controllo facendo apparire pubblicità o sovrapposizione di finestre come una forma di attacco phishing. Queste applicazioni utilizzano anche una varietà di tecniche per evitare il rilevamento da parte dei team di sicurezza dell’alleanza, tra cui l’offuscamento del codice e il download ritardato di payload dannosi.

Una di queste campagne è stata scoperta dai ricercatori di Check Point Software. La famiglia di malware Haken è stata installata su oltre 50.000 dispositivi Android da otto diverse applicazioni dannose mascherate da utility per la fotocamera e giochi per bambini, tutti apparentemente innocui.

Il malware è classificato come “clicker” per la sua capacità di prendere il controllo del dispositivo dell’utente e di cliccare su qualsiasi cosa possa apparire sullo schermo. È importante notare che il malware può accedere a qualsiasi tipo di dati, quindi tutto ciò che è visibile sullo schermo è un potenziale bersaglio (ad esempio e-mail di lavoro), così come qualsiasi dato memorizzato localmente (come conversazioni di lavoro su un’applicazione di messaggistica).

L’impatto sugli utenti è duplice: il malware può attivare servizi in abbonamento premium senza che l’utente se ne renda conto, facendo guadagnare denaro illegalmente alle persone che stanno dietro l’app, e può estrarre dati sensibili direttamente dal dispositivo. La buona notizia è che queste app corrotte sono state tutte rimosse da Google Play.

Tuttavia, ciò evidenzia che, nonostante i continui sforzi per proteggere il Google Play Store dalle app dannose, eliminare completamente il rischio che gli utenti scarichino un’app pericolosa dallo store non avverrà in tempi brevi. Ci sono quasi 3 milioni di app disponibili in Play Store, con centinaia di nuove app caricate ogni giorno – il che rende difficile controllare che ognuan di esse sia sicura.

Alcuni sviluppatori di app hanno escogitato metodi ingegnosi per nascondere il vero intento delle loro app all’esame di Google. Insieme a un ecosistema Android frammentato, in cui un gran numero di produttori di dispositivi offre raramente aggiornamenti strategici del sistema operativo, gli utenti non possono contare solo sulle misure di sicurezza di Google Play per garantire la protezione dei loro dispositivi.

È necessario implementare un software di sicurezza per scongiurare malware e altre minacce e proteggere i dati aziendali e personali su questi dispositivi. La soluzione di sicurezza deve veramente comprendere i comportamenti dannosi, il che significa che deve utilizzare numerose tecniche avanzate che vanno oltre le semplici firme o l’apprendimento automatico basato su indicatori statici.

Se si sospetta che il proprio dispositivo sia stato infettato da una di queste app, ecco i passaggi da seguire:

  1. Disinstallare l’app infetta dal proprio dispositivo
  2. Controllare le fatture del cellulare e della carta di credito per verificare se si sia stati registrati per eventuali abbonamenti e, se possibile, cancellarli.
  3. Installare una soluzione di sicurezza per prevenire futuri attacchi

0 286

La notizia del giorno in tema di cybersecurity è l’hackeraggio dello smartphone di Bezos tramite Whatsapp.

Oded Vanunu, Head of Products Vulnerabilities di Check Point Software Technologies, azienda leader nella cybersecurity, commenta così.

“L‘uso delle più popolari app social per infettare le persone con malware è una tendenza che Check Point ha previsto oltre un anno fa. Come abbiamo dimostrato nella nostra ricerca su WhatsApp del dicembre 2019 e nella nostra ricerca sull’app dell’agosto 2018 – i link dannosi avrebbero potuto essere inviati attraverso alcune vulnerabilità che esistevano sulla piattaforma (fino a quando non sono state corrette in seguito alla nostra collaborazione con Facebook) e la manipolazione dei contenuti era possibile.

Riteniamo che questo modo di operare sia estremamente comune soprattutto con attacchi mirati contro specifiche persone che utilizzano queste app. 

I prezzi che i criminali sono disposti a pagare per sfruttare le vulnerabilità in tali piattaforme popolari (che contengono dati di miliardi di persone in tutto il mondo) sono in aumento, e gli exploit di questi bug possono servire come un’arma cibernetica molto efficace.

La sicurezza informatica globale richiede soluzioni designate per tutte le piattaforme digitali attuali e future, e quanto più comuni e diffuse diventano, tanto più sofisticato e impegnativo è questo compito”