Il report odierno mette in evidenza il fatto che i cybercriminali abbiano intensificato gli attacchi di spam e le campagne di email malware, in particolare sfruttando nomi famosi e affidabili come Google, Skype, LinkedIn e perfino il videogioco di successo Mass Effect 3.

I criminali informatici hanno infatti utilizzato questi nomi come finti mittenti di messaggi e promozioni dietro i quali si celano in verità dei tentativi di attacchi verso i computer degli utenti. Tanto per fare un esempio, il nome di Google è stato sfruttato per un attacco SEO poisoning che aveva l’obiettivo di informare gli internauti del fatto che i “sistemi di Google” avevano rilevato un software dannoso sul loro PC, invitandoli di conseguenza a scaricare un falso antivirus con la promessa che questo avrebbe ripulito il sistema, ma che in realtà era esso stesso un virus.

Lo stratagemma si è aggiunto poi all’invio di email che recavano degli annunci della fantomatica “Google Pharmacy“, un servizio che nel testo veniva presentato come “l’interfaccia farmaceutica di Goole” e recante un link che, se attivato, reindirizzava gli utenti meno attenti verso Pharmacy Express, un sito noto ai ricercatori per la sicurezza per le tante ondate di spam lanciate da diversi anni.

Secondo l’analista senior per i rischi informatici di GFI Software, Chris Boyd:

La strategia di utilizzare la notorietà del brand, o i nomi di celebrità e di eventi importanti, per sferrare gli attacchi è ancora molto sfruttata, perché è una tattica che funziona. I criminali informatici sanno che gli utenti di Internet sono costantemente bombardati da innumerevoli email e fanno leva sulla loro curiosità e sulla tendenza a cliccare automaticamente i link e a aprire le email che provengono, all’apparenza, da mittenti affidabili e conosciuti.

Per quanto riguarda Skype, i criminali informatici hanno inviato diversi messaggi di spam nei quali si offriva del credito gratuito da usare con il popolare software VoIP, trucchetto tramite cui gli utenti venivano portati su un sito caratterizzato da alcuni exploit Java pericoloso.

Diversi iscritti a LinkedIn sono stati invece contattati da un fasullo promemoria di invito reindirizzante a un exploit BlackHole che infettava i computer, con tanto di installazione di Cridex, un trojan in grado di prendere di mira banche, social network e di superare i tipici test CAPTCHA che impediscono le registrazioni di bot su diversi siti.

Marzo è stato il mese del lancio di Mass Effect 3, uno dei giochi più attesi del 2012, e per i cybercriminali non c’è stata occasione migliore per sfruttare questa forte popolarità.

Secondo quanto spiegato da GFI Labs, infatti, numerosi utenti sono stati ingannati con la promessa del download del finale del gioco, prendendo spunto ovviamente dalla decisione del produttore, che aveva in precedenza reso nota l’intenzione di discutere del finale direttamente online, confrontandosi con gli appassionati di tutto il mondo. Ma i finti download portavano gli utenti su siti che presentavano dei sondaggi e dei moduli di affiliazione, ovviamente tutti puntualmente falsi.

Il team, composto da Alessandro Armando, coordinatore del laboratorio di intelligenza artificiale di Genova, Alessio Merlo in forza ad E-Campus, Mauro Migliardi dell’Università di Padova e l’ingegnere informatico Luca Verderame, ha già provveduto a mettersi in contatto con i programmatori al lavoro per la sicurezza di Android, comunicando loro tutti i dettagli del bug scoperto e le rispettive soluzioni.

Da Google hanno fatto sapere di aver provato la soluzione proposta e di essere intenzionati ad implementarla, distribuendola probabilmente in uno dei prossimi aggiornamenti riservati alla piattaforma mobile.

Da notare infine come ogni dettaglio sia stato volutamente e comprensibilmente rimasto segreto, con l’obiettivo di evitare che anche la minima fuga di informazioni riguardo al bug e alla soluzione proposta per la sua soluzione potessero essere sfruttati da eventuali cracker per portare un attacco verso i tanti dispositivi Android sul mercato.

Secondo le cifre diffuse, sono più di 200.000 le pagine Web gestite tramite WordPress che sono state compromesse negli ultimi tempi, per un totale di quasi 30.000 siti i cui contenuti sono stati violati da cybercriminali, i quali hanno messo in atto un attacco che reindirizza per ben tre volte gli utenti a siti che propongono una falsa scansione del sistema e una conseguente installazione di un falso antivirus.

Si tratta del tipico meccanismo che fa visualizzare all’utente una finestra di Windows con titolo “Windows Security Alert” nella quale vengono mostrati diversi malware fasulli che il rogue antivirus avrebbe rilevato sul computer della vittima. Il passaggio successivo è quindi quello di proporre l’installazione di una soluzione per la sicurezza che, invece, consiste nell’installazione di un trojan.

Nonostante la tecnica sia ormai abusata da tempo e tutti gli utenti più attenti sono in grado di non cadere nel tranello pare che un buon numero di navigatori del Web sia caduto nella trappola, soprattutto negli USA, dove si è registrato il maggior numero di siti basati su WordPress tra quelli finiti sotto attacco.

I dati forniti da Kaspersky indicano infatti come nel dicembre 2011 gli addetti alla sicurezza informatica dell’azienda abbiano rilevato 82.000 varianti di malware per Android, per passare a 360.000 varianti nelle sole prime due settimane del 2012.

Tra i software dannosi realizzati dai cybercriminali ci sono minacce di vario tipo, come backdoor con l’intento di rubare informazioni personali dell’utente, malware il cui obiettivo è quello di installarsi sul dispositivo per poi poter scaricare e installare dell’altro software non autorizzato e, infine, programmi realizzati in modo da inviare centinaia di messaggi di testo, ovviamente senza alcuna autorizzazione dell’utente, a numeri a pagamento a tariffa elevata, facendo esaurire il credito telefonico in poco tempo.

Per difendersi da questo tipo di pericoli i consigli dati agli utenti Android sono quelli di evitare l’installazione di software di cui non si conosce la provenienza, cercando di selezionare con attenzione le applicazioni proposte su Android Market in modo da difendersi da eventi come quelli accaduti in passato, quanto non sono stati pochi i casi in cui diverse app pericolose sono arrivate ad essere pubblicate nel negozio virtuale superando i filtri imposti da Google.

In alternativa, i possessori di tablet possono installare appositi software per la protezione come ad esempio Kaspersky Tablet Security.

Chrome sarà infatti in grado di rilevare quando si naviga su una pagina contenente un modulo di registrazione con l’immissione di user e password, facendo comparire accanto alle caselle un simbolo a forma di chiave che, una volta attivato tramite un clic dell’utente, invierà una richiesta ai server di Google, i quali forniranno una password complessa, quindi difficile da decifrare.

L’utente non dovrà nemmeno sforzarsi di memorizzare la password fornita da Chrome, perché sarà lo stesso browser a salvarla e a richiamarla in un secondo momento, cioè quando sarà ora di fare login sul sito. In questo modo, secondo Google si avrà un miglioramento della sicurezza ai vari account in uso senza richiedere all’internauta alcuno sforzo.

Insomma un passo avanti per la sicurezza che potrebbe richiedere però qualche polemica per quanto riguarda la privacy, perché delegare a Google il compito esclusivo di creare e gestire le password utilizzate potrebbe essere visto da alcuni utenti come un rischio, un pericolo dovuto alla scelta di mettere nelle mani di un privato come il gruppo di Mountain View dati che dovrebbero essere invece strettamente personali.

Tali dati vengono infatti memorizzati all’interno della stringa codificata SHA256, la quale può essere facilmente violata tramite un attacco cosiddetto “brute force“, cioè un tipo di attacco che provvede a simulare tutte le combinazioni numeriche possibili senza soluzione di continuità fino ad individuare il PIN di accesso corretto e avere via libera per mettere le mani sulle informazioni.

I ricercatori di Zvelo hanno precisato di aver impiegato per lo scopo uno strumento chiamato Google Wallet Cracker app, il quale sfrutta appieno la vulnerabilità anche in ragione del fatto che il PIN di Google Wallet è composto da sole quattro cifre, cosa che diminuisce in maniera sensibile il numero di combinazioni possibili rendendo la vita relativamente facile a chi utilizza un attacco a forza bruta.

Google, che è stata immediatamente informata della vulnerabilità, ha diramato un comunicato che tenta di evitare allarmismi nel quale si afferma che:

Lo studio di Zvelo è stato condotto su uno smartphone sul quale sono stati disattivati i meccanismi di sicurezza che proteggono Google Wallet dal rooting del device. Ad oggi, non vi è alcuna vulnerabilità che permette a qualcuno di prendere un telefono di un utente e ottenere un accesso root, conservando al contempo ogni informazioni di Wallet, come il PIN. Siete fortemente invitati a non installare Google Wallet su dispositivi rootati e di installare un blocco a schermo come ulteriore livello di sicurezza.

Allo stesso tempo, nell’attesa che da Mountain View pongano rimedio alla falla, Zvelo consiglia agli utenti di non eseguire il root sul proprio smartphone, di abilitare un sistema di blocco a schermo, di disattivare il debug USB, di aggiornare il sistema operativo e di attivare la crittografia completa del disco.

mentre il mercato delle applicazioni continua a crescere rapidamente, gli utenti dovrebbero essere più attenti a quello che installano. Per esempio, dovrebbero installare applicazioni solo da fonti attendibili e verificare che le autorizzazioni coincidano con le funzioni principali delle stesse applicazioni. Parallelamente, anche una protezione anti-virus può aiutare a garantire che il dispositivo mobile dell’utente abbia la protezione più aggiornata.

Per aiutare gli utenti a proteggersi da queste minacce, il produttore di software per la sicurezza McAfee ha diffuso una serie di consigli utili, semplici accorgimenti che possono essere d’aiuto per evitare che i dispositivi mobili diventino strumento per la diffusione di virus e altro software pericoloso.

Al momento, nonostante i virus per tablet e smartphone siano in crescita, il loro numero è comunque limitato. Questo non vuol dire abbassare la guardia; così gli esperti di McAfee consigliano innanzitutto di verificare con attenzione ogni app proposta, controllandone la classificazione e accertandosi della sua provenienza prima di installarla, anche chiedendo ad amici e conoscenti se per caso hanno provato quella determinata applicazione, in modo da andare a “colpo sicuro”.

Le app devono inoltre essere acquistate o scaricate da negozi sicuri, affidabile e conosciuto. McAfee fa l’esempio degli utenti Android, che possono evitare l’installazione di applicazioni al di fuori del mercato ufficiale di Android Market semplicemente de-selezionando l’opzione “Fonti sconosciute” dal menu Impostazione Applicazioni del proprio dispositivo.

Quando si installa un’applicazione, poi, è bene guardare con attenzione l’elenco di autorizzazioni per i servizi ad essa connessi che devono avere accesso alle componenti hardware e software dell’apparecchio per poter funzionare. In base a tale elenco, se una o più servizi non sono chiari, è bene evitare di installare del tutto l’applicazione, rinviando l’azione in un secondo momento magari dopo aver chiesto dettagli ad utenti più esperti. Infine, da non dimenticare l’installazione di appositi programmi come ad esempio McAfee App Alert, attualmente disponibile in versione beta e gratuitamente su Android Market.

Chi scrive ha già potuto constatare una presenza media di spam superiore alla media nella propria posta personale, in parte anche oltre le barriere ed i filtri solitamente efficaci. L’accortezza è un obbligo, in questi casi, dato che come sapete i rischi sono tutt’altro che piacevoli. Ritrovarsi a comprare con la propria carta di credito un qualsiasi regalo in un sito non meritorio di fiducia è un evento da non consigliare neanche al nostro peggior nemico.

L’azienda tedesca G Data Software AG ha diffuso un comunicato in cui oltre a lanciare un allarme simile al nostro, presenta una semplice guida per sfuggire almeno al grosso dei trabocchetti. Inizia con la presentazione dei 5 più grandi pericoli che si corrono durante lo shopping natalizio online:

• Email con esca pubblicitaria. In questo tipo di email i criminali online promettono prodotti come orologi di lusso e scarpe di marca a un prezzo estremamente basso. I link integrati nelle email traggono in inganno l’utente indirizzandolo su falsi siti web infettati da malware o falsi negozi online dove i dati personali e/o bancari vengono rubati durante il processo di compilazione dell’ordine.
• Frode relativa all’internet banking. L’internet banking è molto popolare tra la gente che acquista online i regali di Natale. Le transazioni bancarie elettroniche rendono più veloce e facile il pagamento dei regali ordinati online. I Trojan bancari stanno perciò diventando sempre più utilizzati dai criminali online che se ne servono per inserirsi nei processi di pagamento e dirottare denaro sui propri account. Gli utenti Pc possono essere infettati da questi malware in diversi modi: per esempio, un utente può ricevere un falso avviso da una banca comunicante che la transazione non è andata a buon fine. Per ripetere la transazione, l’utente viene invitato a cliccare su un link che rimanda a un sito Internet infettato con un Trojan bancario.
• Email da falsi servizi di spedizione. I regali di Natale che sono stati ordinati online arrivano di norma attraverso i corrieri. I criminali online sono a conoscenza di ciò e ne approfittano inviando false email con conferme di spedizione e fatture. Questi messaggi potrebbero suggerire che un pacco non può essere consegnato o, come nel caso di una falsa email di UPS, che la fattura per la spedizione è disponibile nel centro fatturazione. Quest’ultimo tipo di email contiene un allegato che nasconde un key logger. Se l’utente clicca sull’allegato il malware entra in esecuzione ed è in grado di spiare tutti gli input dati dalla tastiera, come per esempio i dati di login per i servizi di pagamento o l’online banking.
• Email da servizi di pagamento. I criminali mandano anche email che parrebbero provenire da servizi di pagamento i quali avvisano che l’account dell’utente è stato bloccato per alcune irregolarità o che una transazione non è andata a buon fine. Il destinatario viene invitato a cliccare su un link per ripetere la procedura di pagamento o sbloccare l’account. Come già visto anche in questo caso il link rimanda a un falso sito Internet pensato appositamente per rubare i dati dell’utente o infettato con del malware.
• False cartoline di auguri. Un’ altra strategia molto popolare nel periodo natalizio è quella di mandare via email false cartoline di auguri. Queste possono contenere allegati con diverse tipologie di malware o link che rimandano a siti web infetti.

Come possiamo notare, i metodi indicati dall’azienda tedesca sono tanti e molti dei quali piuttosto insidiosi. Cosa possiamo fare, allora, per difenderci? Sempre il comunicato della G Data Software AG spiega quelle che sono le norme basilari. Si comincia dicendo che servirebbe avere un PC completo di antivirus, firewall, servizi anti-spam ed anti spy; aggiungiamo noi, che una buona release GNU/Linux, invece di altri sistemi operativi più diffusi, ottiene lo stesso effetto di sicurezza, se non maggiore. Inoltre, i tecnici tedeschi raccomandano di non usare connessioni internet pubbliche per i propri acquisti, tenere aggiornato il proprio sistema (compreso browser ed antivirus). Infine, usate sempre pagamenti bancari sicuri su siti che ritenete assolutamente affidabili e non affidatevi a password troppo semplici.

Certamente, nello stilare questa guida quelli di G Data Software si sono preoccupati di elencare servizi propri per sistemi Windows, che come detto sono più vulnerabili a questo tipo di attacco. La controguida di chi scrive è molto più semplice, ed è stata in parte già anticipata:

• Usate internet per acquistare solo cose che effettivamente non potete trovare sotto casa ad un prezzo simile.
• Molti servizi bancari permettono la creazione di carte di credito temporanee monouso. Laddove possibile, usate solo questo tipo di carta.
• Navigate su Internet su una macchina con sistema operativo GNU/Linux. E non solo per gli acquisti, ma soprattutto nella gestione della posta.
• Non considerate “affidabili” i siti con i grandi nomi. Tenete aperti gli occhi… se uno vuole fregarvi, probabilmente creerà una pagina riproducente le forme di qualche famoso sito di shopping. Leggete sempre nella barra di navigazione l’indirizzo preciso a cui siete connessi.
• Se avete vinto qualcosa di incredibile e ve lo comunicano via posta, mettetevi l’animo in pace: quella mail è una truffa.

Infine, ricordate che non esistono guide esaustive sull’argomento. La cosa più importante resta il buonsenso, su internet come nella vita in genere. Buoni acquisti di Natale a tutti.

Per dimostrare le sue scoperte Trevor Eckhart posta un video su YouTube che dà conferma del comportamento sospetto (e scorretto) di Carrier IQ.

La società produttrice del software spia non manda giù le accuse di Eckhart e risponde dicendo che il suo non è un rootkit e che si tratta di un software lecito usato da molte compagnie per diagnosticare problemi sugli smartphone e individuare problemi di performance.

Eckhart non è d’accordo e dimostra come il software si nasconda volutamente agli occhi dell’utente con modalità davvero troppo simili a un rootkit. Inoltre lo sviluppatore svela come Carrier IQ sia presente non solo su terminali con sistema Android ma anche su BlackBerry e molti smartphone Nokia.

La notizia di oggi è che anche Apple su iOS, il sistema operativo di iPhone e iPad, utilizza Carrier IQ. Uno tra gli sviluppatori dietro il jailbreak dei dispositivi con la Mela, Grant Paul (chpwn su Twitter), ha dimostrato sul suo blog come Carrier IQ sia presente e intercetti i dati degli utenti che usano iOS 3, 4 e 5. Rispetto alla versione per Android, Carrier IQ per iOS sembrerebbe meno aggressivo nella raccolta di dati dell’utente ma rimane comunque un software pericoloso per la privacy e certamente non adeguatamente “pubblicizzato” nel suo funzionamento.

Stando alle analisi di Grant Paul, al momento l’unico sistema per smartphone che non include il software di Carrier IQ è Windows Phone 7.

E le categorie di questi variano dagli scrocconi di linea ai malfattori della peggior specie – spesso l’utente medio non si accorge neanche dei rischi che corre lasciando la propria rete wi-fi non protetta. Infatti, collegarsi al router di un’altra persona permette di compiere tranquillamente crimini informatici nel più completo anonimato (o, se preferite, a nome vostro), senza contare la possibilità di rubare le password di accesso ai vari portali come i siti bancari e comunque dati sensibili.

In parole povere un router non protetto è un invito a spiarci ed ad assumere la nostra identità telematica. Si tratta di temi piuttosto noti a cui si è aggiunto un nuovo allarme: si era sempre detto che per raggiungere un livello di sicurezza abbastanza soddisfacente fosse sufficiente settare una password di accesso abbastanza complessa – e preferibilmente wpa2 -, in modo da costringere l’eventuale cracker a giorni di tentativi prima di riuscire a forzare le nostre difese. Da oggi potrebbe non essere più così.

Come ha, infatti spiegato l’esperto di sicurezza informatica (ed hacker) Raoul Chiesa ci si è presto accorti che l’Italia è un paese molto particolare per quanto riguarda le connessioni ADSl. Un percentuale assolutamente rilevante delle utenze infatti usa sempre gli stessi modelli, che sono poi quelli (a volte terribili) che ci vengono affittati dagli Internet Provider – e che spesso sono obbligatori per accedere a certe offerte.

Ciò ha permesso, tramite tecniche di reverse engineering, di studiare metodi per forzare in poco tempo tutte le difese di questi router, aprendo le “porte di casa” delle reti di milioni di italiani. Lo stesso Chiesa non ha nascosto il giusto grado di allarmismo:

I pirati hanno capito che il mercato italiano è un po’ strano. E’ il solo al mondo dove c’è una così grande quota di utenti adsl dotati degli stessi router, perché sono quelli obbligatori con alcune offerte dei principali operatori.

Si stanno diffondendo strumenti online che permettono a chiunque di vestire i panni di un pirata informatico e di intrufolarsi nelle reti wi-fi di provider come Alice e Fastweb

Il consiglio che possiamo darvi in questa sede, oltre che ribadire l’importanza di inserire una password complessa, è quello di non usare il PC in transazioni economiche – o immettendo dati sensibili importanti – se si sospetta che qualcuno stia rubando la banda; ed, ovviamente, avvertire sempre in questi casi il vostro provider di questi sospetti.