Articoli

Il phishing via SMS raddoppia sotto le feste: smartphone sotto attacco

Sugli smartphone raddoppiano gli attacchi di phishing in mobilità attraverso messaggi SMS, il cosiddetto smishing. La messaggistica mobile sembra arrivare da aziende conosciute come noti rivenditori, celebri marchi di e-commerce e corrieri per la consegna pacchi, ma in realtà si tratta di esche di cyber criminali che bombardano i dispositivi mobili di utenti inconsapevoli per rubare informazioni personali. L’obiettivo del cyber crime è come sempre il ritorno economico. Il phishing e lo spear phishing hanno avuto un ultimo anno con un incremento molto significativo. Secondo le statistiche di Google si registrano oltre 46.000 siti di phishing a settimana, con particolare recrudescenza in Europa.

L’impennata degli attacchi phishing sotto le festività

In alcuni periodi dell’anno, più opportunistici come nel caso delle festività o per minore attenzione o stanchezza, come invece avviene nei periodi precedenti alle vacanze, gli attaccanti sfruttano le tecniche di ingegneria sociale per compiere frodi o sviluppare un primo accesso abusivo. In effetti i ricercatori hanno rilevato un forte incremento degli attacchi phishing che sfruttano il periodo festivo, quando gli utenti abbassano le difese e i messaggi – fra auguri e consegne – si moltiplicano. L’azienda di sicurezza ha registrato quasi il doppio dei messaggi rispetto allo stesso periodo dello scorso anno: più di due terzi di tutti gli SMS spediti a livello globale, in qualche modo, si ispirano alla consegna di ordini o a nomi di brand dell’eCommerce e del retail in ambito consumer. Passati Black Friday e Cyber Monday, ora apre la stagione dello shopping natalizio e i cyber criminali inondano gli utenti mobili di messaggi SMS che promettono offerte speciali, consegne di pacchetti/regali, avvisi di consegna in ritardo.

Cos’è lo smishing?

Gli utenti di smartphone, quando ricevono un SMS, non hanno la stessa prudenza che ormai mostrano con i messaggi di posta elettronica, dove sanno che rappresentano comportamenti rischiosi: aprire allegati ricevuti da sconosciuti, cliccare su link discutibili e visitare pagine web con reindirizzamenti multipli. Il 69% delle persone a livello globale non conosce o non sa nei dettagli cosa sia lo smishing. Invece i messaggi di phshing via SMS hanno un tasso di apertura dei messaggi del 98% e un click-through otto volte superiore rispetto alle email: cifre che dimostrano che il malware mobile potrebbe fare un danno enorme. Le campagne smishing attaccano il 61% delle aziende globali (ma la percentuale sale all’81% fra le aziende statunitensi), sfruttando gli stessi canali di comunicazione, la messaggistica mobile, che le imprese usano per il loro legittimo marketing.

Come avviene l’attacco di phishing?

Molti di questi messaggi di phshing via SMS denunciano problemi connessi all’acquisto o alla consegna di un articolo inesistente, da risolvere fornendo informazioni relative alla carta di credito. In altri casi, gli attaccanti cercano di trafugare dati personali attraverso un URL o una landing page accattivante.

Il terreno fertile degli attaccanti

Le aziende abilitano il lavoro da remoto con una vasta gamma di dispositivi, ma le persone comunicano sempre più spesso con lo smartphone personale, uno strumento comodo e rapido, ma spesso fuori del perimetro classico aziendale. Il lavoro da remoto e in mobilità è aumentato vertiginosamente negli ultimi due anni. Questa nuova modalità ha portato i dipendenti molto più spesso al di fuori del perimetro classico aziendale. Questo nuovo approccio ha portato ad un abbassamento delle difese comportamentali classiche, spesso perché si è in luoghi più familiari e informali. Sono proprio queste situazioni il terreno fertile degli attaccanti.

Consigli per difendersi

I consigli per proteggersi sono: stare sempre all’erta, avere maggiore consapevolezza dei rischi, ma soprattutto aggiornarsi continuamente, per evitare di cadere nei tranelli del cyber crime. Il fattore umano resta un terreno scivoloso per molte organizzazioni, specialmente quando gli investimenti sono orientati quasi esclusivamente alle tecnologie di sicurezza. Le persone e i loro comportamenti sono fondamentali per la cyber security e la formazione, specialmente con le migliori tecniche più moderne di gamification o cyber range, è un processo continuativo che non può limitarsi ad appuntamenti occasionali. I consumatori ripongono eccessiva fiducia nei dispositivi mobile. Invece gli attacchi SMS stanno registrando una crescita esponenziale a livello mondiale. A trainare l’aumento del phishing via SMS è la mancanza di consapevolezza. Le minacce invece arrivano anche via SMS, in quanto ai cyber criminali interessa solo sfruttare canali di comunicazione maturi e sempre nuovi, per cogliere impreparati gli utenti inconsapevoli e sferrare l’attacco.

 

Fonte: Cybersecurity360

Addebiti non autorizzati sulla PostePay: “Colpito lo 0,5% delle carte che operano online”

La truffa degli addebiti non autorizzati sulla carta PostePay sarebbe riconducibile ad alcuni esercenti che operano fuori dall’Europa e non adottano lo standard di autenticazione previsto dalla normativa europea sui sistemi di pagamento. Queste transazioni però possono essere contestate dall’utente, che può quindi chiedere il riaccredito della somma sottratta.
Secondo quanto spiegato da Poste, il fenomeno avrebbe interessato lo 0,5% delle carte che operano online e l’azienda sta procedendo a riaddebitare gli importi delle transazioni non autorizzate ai vari esercenti, poi accreditando le somme ai clienti coinvolti.

Nel corso delle scorse settimane, tante persone avevano lanciato l’allarme, raccontando su Facebook e Twitter che i saldi delle loro carte erano stati erosi da microtransazioni ripetute del valore di circa 4 euro, addebiti relativi ad acquisti su Google Play mai effettuati dai titolari delle PostePay: “Ragazzi cosa sta succedendo, mi sono spariti 4,31 euro. Risulta sulla carta un pagamento di Google Play in dollari, non ho impostato nessuna carta su Google Play”, è il commento pubblicato il 26 ottobre scorso nella pagina delle recensioni dell’app della carta prepagata di Poste Italiane sul Play Store. Pagamenti non autorizzati che alcune persone hanno segnalato su Twitter anche lo scorso settembre: “Mi sono trovato transazioni di pagamento di cui non ero a conoscenza sulla mia PostePay, effettuati nello stesso giorno per conto di Google Play”.

Cos’è successo e cos’è lo standard PSD2

Poste ha spiegato che il problema sarebbe dovuto ad alcuni esercenti che operano al di fuori dei confini europei senza adottare lo standard di autenticazione previsto dalla direttiva europea dei sistemi di pagamento PSD2. Una condotta che ha impedito al sistema PostePay, indipendentemente dalla sua volontà, di applicare le modalità di Autenticazione Forte per la verifica dell’identità di chi richiede l’operazione: misure di contrasto efficaci e riconosciute che sono normalmente adottate da Poste. La normativa introduce, come misura di sicurezza, una procedura che permette la convalida dell’identificazione dell’utente sulla base di due o più elementi di autenticazione indipendenti tra loro (come: password, pin, chiavetta/token, smartphone, impronta digitale o altri dati biometrici). Una procedura che è propedeutica per i pagamenti online e anche prevede la creazione di un codice unico che, a ogni operazione, collega importo e beneficiario.

Il problema degli addebiti ha riguardato anche altri operatori finanziari, hanno spiegato da Poste, facendo notare che “sembra più rilevante per PostePay in considerazione della significativa quota di mercato”. Più nel dettaglio, l’azienda ha chiarito che “PostePay ha oltre il 30% della quota di mercato dei pagamenti online in Italia” e che il fenomeno ha interessato solo lo “0,5% delle carte che operano online”.

Visto che queste transazioni non rispettano gli standard di sicurezza previsti dalla PSD2, possono essere contestate dal cliente che viene riaccreditato, con conseguente rivalsa nei confronti degli esercenti da cui ha avuto origine il pagamento non autorizzato, “il tutto in coerenza con quanto previsto dalle regole dei circuiti di pagamento internazionali”. Da Poste hanno ribadito di aver applicato misure di contrasto più stringenti fino a inibire completamente l’operatività sugli esercenti non europei che non hanno adottato gli standard previsti dalla normativa PSD2. In ogni caso, il consiglio è quello di controllare i movimenti sulla carta e in caso di irregolarità informare Poste con il modulo messo a disposizione sul sito.

 

Fonte: Repubblica.it

È il mese della cybersicurezza: sette consigli alla portata di tutti

Il Mese europeo della Sicurezza Informatica (in sigla, Ecsm) è la campagna annuale dell’Unione europea dedicata alla sensibilizzazione sui temi della cybersecurity.

L’iniziativa nasce allo scopo di promuovere conoscenza su un argomento di estrema attualità che non riguarda solo aziende o addetti ai lavori, ma ha ripercussioni sulla vita digitale di tutti i cittadini. L’Ecsm è coordinato a livello europeo dall’Enisa, mentre in Italia la campagna è seguita dal Clusit assieme ad altre associazioni, università e istituzioni che organizzano eventi, seminari e conferenze gratuite sulla cybersicurezza per tutto il mese di ottobre. In occasione dell’edizione 2021 dell’iniziativa, abbiamo chiesto a Candid Wuest, vicepresidente della Cyber protection research di Acronis, di darci alcuni consigli per mettere in sicurezza i dispositivi digitali, navigare senza problemi e scansare le minacce informatiche che mettono a repentaglio la riservatezza dei nostri dati.

1. Sì, le password sono importanti

“No, il nome del proprio gatto o del proprio film preferito non sono una buona password. Meglio scegliere una frase breve con numeri e caratteri speciali, come $Italian_Tech-IsMy#1… Ma questa non usatela! – ci ha detto Wuest – Inoltre, bisogna essere sicuri di usare password diverse per i vari account, perché altrimenti quando uno di questi viene violato, come per esempio accaduto con LinkedIn o Twitch di recente, tutti gli altri sono in pericolo. È consigliabile usare una password di base e un’ulteriore autenticazione a 2 fattori per aumentare il fattore sicurezza”.

2. Mail e siti: non credere alle offerte miracolose

“Se il messaggio ricevuto nella posta sembra troppo bello per essere vero, allora probabilmente c’è qualcosa di sospetto. Le mail pericolose spesso presentano marchi famosi falsificati e in alcuni casi si spacciano come messaggi delle nostre banche o provider – ci ha detto ancora Wuest -. Se non si intuisce l’inganno, le persone sono spinte a rivelare dati sensibili, come le password o i dettagli della carta di pagamento, si viene indotti a visitare siti falsi o ad aprire allegati dannosi che possono infettare il computer. Ci sono anche negozi online che fingono di presentare offerte interessanti, ma che in realtà vogliono solo i nostri dati e non intendono mai consegnare la merce”. Basta poco per non cadere in inganno: cercate il nome del negozio su Google prima di ordinare da un e-commerce poco conosciuto. Spesso è sufficiente per capire se lo store è autentico oppure è una truffa. Se non trovate alcun risultato o alcuna recensione e il prezzo è eccessivamente conveniente, meglio evitare di inserire i propri dati.

3. Non ignorare gli aggiornamenti del software

“Come le automobili hanno bisogno di una manutenzione regolare, così i computer. È necessario installare gli aggiornamenti software non appena vengono rilasciati indipendentemente dal fatto che siano per il sistema operativo, lo smartphone o altre applicazioni – ci ha assicurato Wuest -. I criminali informatici spesso cercano di abusare le vulnerabilità del software che possono insorgere per compromettere i sistemi, prima che le medesime siano risolte».

4. Attenzione a ciò che si pubblica

“È molto difficile cancellare qualcosa da Internet, una volta che è online. Pubblicare un video privato divertente o un commento arrabbiato sul proprio capo o sulla propria azienda, magari ammiccando a un’azienda concorrente, potrebbe creare problemi in futuro – è la raccomandazione di Wuest -. Meglio pensarci due volte prima di postare qualcosa. È consigliabile verificare saltuariamente anche le impostazioni della privacy negli account dei social media in modo da essere consapevoli di chi può vedere i post che pubblichiamo”. Inoltre, fornire troppi dettagli sulla vita privata può favorire i furti di identità e fornisce ai malintenzionati indizi utili per dirottare i nostri account. Non tanto perché possono intuire le nostre password, ma perché possono utilizzare dati privati (un grande classico: il cognome della madre da nubile) per bypassare le domande di sicurezza dei nostri account, resettando gli accessi e prendendone il controllo.

5. Eseguire regolarmente il backup dei dati

“Le preziose foto delle vacanze o quella lettura digitale che richiede tempo possono sparire in un secondo se non si è attenti. Un software malevolo come il ransomware potrebbe criptarle, o un guasto all’hardware potrebbe corrompere i relativi file – è l’avvertimento del vicepresidente di Acronis -. Ecco perché è importante creare un backup di tutti i dati. Meglio farlo automaticamente con un’applicazione, in modo da non dimenticarsene mai”. Oltre al classico hard disk esterno, negli ultimi anni si sono moltiplicate le offerte di sistemi di backup remoto basati sul cloud: se impostati con le dovute cautele di sicurezza sono anche questi un’opzione utile per tenere al sicuro i dati. In caso di attacco ransomware, inoltre, la presenza di un backup aggiornato è la polizza di assicurazione migliore contro il pagamento del riscatto in bitcoin, che andrebbe sempre evitato a priori.

6. Esercitare una sana diffidenza con i messaggi

“Non tutte le truffe riguardano malware e virus. Alcuni cercano di convincerti a inviare denaro con storie fantastiche. Potrebbe trattarsi sia di truffe romantiche, dove il presunto partner ha bisogno solo di un po’ di soldi per un biglietto aereo per venirci a trovare, sia di una richiesta di denaro per un antidoto contro il coronavirus, acquistabile se solo si paga qualche tassa iniziale in anticipo”. Ancora: “Queste sono le classiche truffe con pagamento anticipato. L’obiettivo dei criminali informatici è fare profitto, quindi bisogna essere scettici ed evitare sempre di pagare in anticipo”. Inoltre, attenzione anche ai messaggi (compresi gli sms) che invitano a cliccare su un link per il recupero delle password, oppure per ritirare un premio o un pacco: nessuna azienda che segua procedure di sicurezza adeguate utilizzerebbe mai questo formato per mettersi in contatto con un cliente o per richiederne i dati sensibili.

7. Usare un software per la sicurezza

“Molte persone pensano che i criminali informatici non li attaccheranno perché non hanno nulla di interessante da nascondere o rubare. Peggio ancora, c’è chi pensa di non poter cadere mai nell’esca. È un errore – è la conclusione di Wuest -. C’è sempre qualcosa di interessante da rubare per i criminali informatici, fosse anche solo la violazione dell’account di posta elettronica per inviare un messaggio a tutti i nostri amici. Ci sono più di 500mila nuove minacce malware create ogni giorno. È troppo per sperare di essere fortunati”. I software che uniscono soluzioni antivirus e antimalware, tutti aggiornati di frequente, sono ormai alla portata di chiunque e spesso offrono versioni gratuite.

 

Fonte: Repubblica.it

Ma davvero il cellulare ci ascolta? I dubbi sull’inchiesta del Garante Privacy

Parlare delle vacanze e ritrovarsi in mail proposte di viaggio verso mete esotiche, raccontare agli amici di desiderare un capo d’abbigliamento e poi ricevere sul cellulare (e non solo) pubblicità proprio su quelle cose. Situazioni che da anni, in Italia e nel resto del mondo, hanno fatto gridare molti al complotto. Il sospetto: lo smartphone ci spia ascoltando le nostre conversazioni? Ora il Garante privacy ha annunciato di aver aperto un’istruttoria proprio su ciò: relativamente, cioè, ai microfoni degli smartphone accesi con lo scopo di ottenere informazioni da rivendere a società e poi così fare proposte commerciali in linea con gli intenti degli interessati. Ma quanto è fondato questo pericolo? Finora tutti gli esperti, negli anni, hanno sempre detto che si tratta di un mito, di una bufala: ci arriva la pubblicità mirata ai nostri interessi non perché ne parliamo ma grazie a un’analisi e predizione algoritmica dei nostri interessi. Ne parliamo perché siamo interessati: il rapporto causa-effetto è l’inverso.

L’inchiesta del Garante Privacy dopo Striscia la Notizia

Adesso però c’è la prima inchiesta del Garante Privacy, con la Guardia di Finanza, sulle principali app per capire – anche guardando all’informativa privacy – se tengono il microfono aperto a scopo di profilazione pubblicitaria di ciò che diciamo. Tutto è cominciato con un’inchiesta di Striscia la Notizia, in due puntate. Ha detto agli ascoltatori di avvicinare lo smartphone alla tv e ha pronunciato parole chiave come “mi serve un’auto nuova”. Il giorno dopo ha mostrato messaggi di utenti che riferivano di avere ricevuto pubblicità su auto. Guido Scorza del Garante Privacy è intervenuto in trasmissione dicendo che tecnicamente sarebbe possibile tramite il microfono dello smartphone. Di qui l’inchiesta. I dubbi di sempre restano: “mi sembra improbabile”, conferma Stefano Zanero, noto esperto cyber, Politecnico di Milano.

I dubbi: non ha senso spiarci così

“Su grande scala non ha senso spiarci in questo modo. Ha senso – per attori malevoli – spiare le conversazioni di un manager. Le app e i servizi internet in genere non hanno bisogno di violare la legge – esponendosi a gravi rischi – per ascoltare i nostri interessi. Ci riescono già profilandoci in base alle nostre navigazioni e interazioni”. Di certo Facebook, Google non farebbero mai una cosa del genere: se si scoprisse, sarebbe la loro fine come azienda e il rischio non vale la candela anche perché, appunto, già fanno miliardi profilandoci così. Forse qualche app minore lo potrebbe fare; ma allora il fenomeno non sarebbe così su larga scala come chi sospetta questo spionaggio. “Per altro sarebbe molto complesso isolare dal contesto le parole che corrispondono un’interesse preciso come ‘mi serve un’auto nuova’, anche rispetto a tutte le volte in cui parliamo di auto ma non siamo interessati a comprarne una”, aggiunge Zanero. “E tutto per cosa? Per mandare poi un sms o mostrare un banner pubblicitario che ha un tasso di conversione ridottissimo?”, spiega Zanero. Zanero concorda che anche nel caso della pubblicità dell’auto si tratti insomma di una coincidenza dovuta al fatto che quel tipo di pubblicità è molto frequente. Magari i telespettatori la ricevano normalmente e l’hanno notata solo ora perché se l’aspettavano: in psicologia è un fenomeno di filtro cognitivo noto.

Bene comunque l’inchiesta del Garante

Ciò non implica che l’inchiesta del Garante sia insensata. “Per prima cosa, tutto è possibile: magari davvero si scopre che è in atto un ascolto su larga scala, per quanto improbabile”. “Al minimo, l’indagine del Garante Privacy servirà comunque anche solo per rassicurare gli utenti che no, non è in atto uno spionaggio di massa; è utile dare risposte sul tema, date le tante segnalazioni ricevute”. Serve anche per sensibilizzare sul tema della privacy – partendo da un caso di così grande risonanza – e ricordare a tutti di non dare con leggerezza (ad esempio) le autorizzazioni alle app. Non permettiamo di usare il microfono se all’app non serve. E poi, di nuovo, chissà magari alla fine il Garante scoprirà davvero l’impensabile.

 

Fonte: CyberSecurity360

ilfornodellepuglie.it un nuovo ecommerce realizzato dalla Signum Srl

ilfornodellepuglie.it

L’ecommerce della DANIELI Il Forno delle Puglie

Online il nuovo ecommerce della Danieli Il Forno delle Puglie di Bitonto realizzato dalla Signum Srl.

DANIELI è un’azienda che da oltre 20 anni si occupa di produzione e commercializzazione di prodotti da forno artigianali tipici pugliesi. Il prodotto principe di questa realtà aziendale a cui deve il proprio successo è IL TARALLO, proposto in svariate forme e sapori. Taralli pugliesi fatti a mano, seguendo antiche ricette tramandante in segreto e scrupolosamente custodite.

I taralli DANIELI sono gustosissimi, ma soprattutto friabilissimi snack, questo grazie all’utilizzo di materie prime selezionate, senza mai tralasciare la filosofia originaria che l’azienda si è proposta: QUALITA’ A TUTTI I COSTI.

Visita www.ilfornodellepuglie.it

Visita il nostro PORFOLIO

Password manager: cosa sono, i migliori del 2021, come usarli e perché

Password manager, probabilmente ne hai già sentito parlare. Ma noi ti spieghiamo come usarli al meglio e quali sono i migliori del 2021 da installare subito per mettere al sicuro le credenziali di accesso ai vari servizi che utilizziamo quotidianamente.

Cos’è e come funziona un password manager?

Cosa sono? Sono programmi e app che archiviano in modo sicuro e crittografato le credenziali (username e password) di accesso ai servizi web (e non solo) in una sorta di cassaforte (“Vault”) virtuale, rendendola disponibile all’utente quando ne avrà bisogno. I migliori PM sono “multipiattaforma”, cioè sono disponibili per i sistemi Mac, Windows, iOS e Android. Questo permette (ma non è un obbligo) di sincronizzare attraverso il cloud (p.es. Dropbox) le password su ogni dispositivo su cui sono installati (computer, laptop o smartphone che sia). Sono protetti da una Master Password, che serve per aprirli e diventa perciò l’unica password che occorre ricordare. Siamo ancora lontani, infatti, da un mondo senza password e dovremo quindi continuare a “convivere” con le password per anni. Tali strumenti rappresentano le chiavi d’accesso ai dati aziendali, quindi conviene farne un uso corretto. Questo si scontra, oggi, con la numerosità di password che ognuno di noi deve gestire nella propria vita digitale: ciò crea le condizioni per uno dei più frequenti e gravi errori che l’utente è portato a commettere: l’utilizzo della stessa password per account diversi. È una pericolosa abitudine che permette agli attaccanti di utilizzare la tecnica del “riempimento delle credenziali”: in pratica, vengono provati username/password (raccolti nei database di credenziali rubate, facilmente reperibili nel Dark Web) per accedere in modo fraudolento agli account degli utenti.

La prima installazione dei password manager

La prima installazione di un password manager può risultare faticosa, perché dovremo popolarli caricando manualmente tutte le nostre credenziali, ma poi ne scopriremo l’utilità e non ne potremo farne a meno. In alcuni casi sono presenti anche funzioni di esportazione e importazione del database delle password, utili soprattutto se si intende migrare da un PM ad un altro. La funzione di Esportazione delle password è presente anche nel browser Chrome: dal menu Impostazioni/Password/Password salvate è possibile usare il comando Esporta password per generare un file .csv che quasi tutti i password manager sono in grado di importare. La medesima funzione è disponibile anche in Firefox.

I migliori password manager gratuiti

KeePass

KeePass è sicuramente il PM gratuito più diffuso. Tecnicamente valido, ma con una grafica decisamente povera.

Dalla pagina di download si possono scaricare le versioni ufficiali per Windows (sia quella da installare che quella “Portable”). Nella stessa pagina si trovano le versioni non ufficiali per le altre piattaforme: macOS, Linux, Android, iOS, persino per Windows 10 Mobile e Blackberry. Trattandosi di versioni “Unofficial”, ce ne sono diverse per ogni piattaforma. Per l’utente può essere difficile valutare quale scegliere. Per avere il prodotto completamente funzionante, è poi necessario scaricare a parte il pacchetto con la lingua scelta ed i plugin con le funzioni aggiuntive (per esempio indispensabile quello per avere l’auto riempimento, che sui PM a pagamento è presente nativamente). Un prodotto gratuito, ma il cui utilizzo può risultare ostico per un utente non particolarmente evoluto.

PRO: gratuita; open source; molte opzioni di personalizzazione, grazie ai plugin aggiuntivi open souce; possibilità di memorizzare i dati sul proprio computer (in alternativa al cloud).
CONTRO: grafica poco curata; installazione poco intuitiva, soprattutto per i plugin aggiuntivi; compilazione automatica dei moduli non è di default, ma deve essere aggiunta con plugin di terze parti.

Bitwarden

Bitwarden è un’altro PM gratuito open source. Meno noto di KeePass, ma sicuramente migliore sul piano estetico e nella facilità d’uso. Disponibile per tutte le principali piattaforme, integra il maggior numero di estensioni per qualsiasi browser: oltre ai più noti, esiste l’estensione anche per i browser Opera, Brave, Tor, Vivaldi. Permette di salvare la propria cassaforte delle password in cloud e di sincronizzarla tra i vari dispositivi.

PRO: gratuita, comunque economica; grafica abbastanza curata; facilità d’uso; supporta autenticazione a due fattori; genera codici TOTP per i siti che supportano 2FA; codice sorgente pubblico.
CONTRO: supporto per iOS piuttosto limitato

I password manager integrati nei browser

Viene spesso posta la domanda: “È sicuro salvare le proprie password nei browser?”. Fino a qualche tempo fa, la risposta era molto chiara: “Non è sicuro”. Negli ultimi tempi in realtà i browser hanno fatto molti passi avanti sul piano della sicurezza, riducendo – ma non azzerando – il divario rispetto ai migliori PM.

Safari per MacOS

Le password possono essere archiviate all’interno del Portachiavi iCloud, che permette di condividere gli account e le password salvati in tutti i dispositivi che abbiamo lo stesso ID Apple. Il Portachiavi iCloud (Keychain) è effettivamente un password manager perché le password in esso salvate sono protette da crittografia, Apple indica genericamente l’uso di “Codifica minima AES a 128 bit” (quindi crittografia simmetrica) e di “codifica end-to-end” (senza ulteriori dettagli). Si può considerare ragionevolmente sicuro (non a livello dei migliori PM), ma sicuramente molto povero di funzionalità. In pratica archivia esclusivamente: username, password e URL. Non permette di aggiungere altre voci, come è invece possibile nei PM.

Google Chrome

In modo simile a Safari, permette di salvare le password su Chrome sotto il proprio Account Google/Android e sincronizzarle su tutti i dispositivi connessi a quell’account. Le password così salvate possono essere gestite dal Gestore delle password” di Google. Sulle password salvate, attraverso il menù “Controlla password” viene eseguito un controllo per verificare se: sono state compromesse nell’ambito di una violazione dei dati; sono potenzialmente inefficaci e facili da indovinare. L’accesso alle password salvate in Chrome richiede esclusivamente la conoscenza della password principale del computer, non è richiesta una password dedicata. Questo rappresenta un elemento che rende meno sicuro Chrome rispetto ad un PM che invece va sbloccato con la Master Password. Inoltre, come per Safari, anche in Chrome i dati che possono essere memorizzati sono quelli strettamente necessari, non è possibile aggiungerne altri opzionali.

Mozilla Firefox

In Firefox è stato creato un gestore delle password denominato “Firefox Lockwise”, che è stato introdotto nel maggio 2019. Da Firefox versione 70 (oggi è arrivato alla 91), Lockwise è integrato nel browser ed esiste anche come applicazione per iOS ed Android. È a tutti gli effetti un password manager, senz’altro più avanzato rispetto a quello di Chrome, meno completo rispetto ai PM precedentemente citati. Dichiara di utilizzare la crittografia a 256 bit (quindi in linea con i PM più qualificati) ed inoltre permette (opzionalmente) di impostare una “password principale”, in pratica una master password differente da quella principale del computer. Questa password principale viene richiesta per visualizzare e/o modificare le password salvate in Lockwise. A partire dalla versione di Firefox 76, viene anche eseguito un controllo su password potenzialmente vulnerabili che siano state salvate in Lockwise. Un’ulteriore funzionalità presente in Firefox Lockwise permette di verificare anche se il proprio indirizzo email è stato coinvolto in una violazione di dati: questo servizio si chiama Firefox Monitor ed anche in questo caso utilizza la banca dati sui data breach forniti da Have I Been Pwned.

 

Fonte: CyberSecurity360

Green Pass, le palestre non possono conservarne copia né registrare la data di scadenza

Continuano a rimbalzare da una parte all’altra dell’Italia richieste da parte di palestre e centri sportivi ai loro abbonati e associati di trasmissione e consegna, assieme al certificato di sana e robusta costituzione, di copia del Green Pass con evidenziata la relativa data di scadenza. La richiesta è sempre formulata come necessaria ai fini dell’iscrizione o, comunque, della frequentazione del centro.

Vietato richiedere e conservare copia del Green Pass

In questo contesto vale, probabilmente, la pena ricordare che la disciplina sul Green Pass prevede che lo stesso debba – nei soli luoghi nei quali è necessario ai sensi di quanto previsto dalla legge – essere semplicemente esibito all’ingresso e debba essere letto dagli incaricati esclusivamente attraverso l’apposita App Verifica Covid-19 messa a punto dal Governo, app che consente al verificatore di accedere solo a un’informazione binaria: il titolare del documento ha o non ha un Green Pass valido senza alcun riferimento né alla condizione – vaccino, guarigione dal Covid19 o tampone – che ha portato al rilascio del Green Pass né alla data di scadenza del documento medesimo. La richiesta, quale condizione per la frequentazione del centro sportivo o della palestra, di copia del documento e di indicazione della data di scadenza e la successiva conservazione di tali elementi, pertanto, rappresentano una violazione della vigente disciplina in materia di protezione dei dati personali giacché il titolare del trattamento – palestra, centro sportivo o qualsiasi altro analogo soggetto – non ha titolo per acquisire la data di scadenza del Green Pass e conservare gli altri dati personali contenuti nel medesimo documento.

È un trattamento di dati non necessari

È evidente e comprensibile che la prassi che si sta andando diffondendo renderebbe più facile la vita ai gestori di palestre e centri sportivi e, forse, anche ad abbonati e associati ma, al tempo stesso, frustra gli obiettivi di bilanciamento tra privacy, tutela della salute e riapertura del Paese che si sono perseguiti con il Green Pass giacché mette in circolazione una quantità di dati personali superiori a quelli necessari e, soprattutto, ne determina la raccolta e la moltiplicazione in una serie di banche dati diversamente sicure. Sotto tale profilo vale, infatti, la pena di ricordare che la scadenza del Green Pass è diversa a seconda della ragione all’origine della sua emissione con la conseguenza che conoscerla consente a chiunque di sapere se siamo vaccinati, se siamo stati contagiati o ci siamo semplicemente fatti un tampone mentre, come detto, nel suo utilizzo normale e legale il Green Pass è neutro rispetto a tali circostanze. Tutto questo senza dire che il Green Pass certifica una circostanza dinamica con la conseguenza che chi ieri ha consegnato un certificato vaccinale valido fino a una certa data, in un momento successivo ma precedente alla scadenza potrebbe essere contagiato e il suo Green Pass perdere di validità.

Si rischia anche di trattare dati inesatti

A seguire strade diverse rispetto a quelle previste dalla legge si rischia, quindi, anche di trattare dati inesatti perché si considera in possesso di un Green Pass valido un soggetto che, magari, non lo è più. Le regole, insomma, ci sono e la comodità non consente di derogarvi.

 

Fonte: CyberSecurity360

Signum realizza il sito della Arreda Sicolo di Bitonto

Signum Srl ha realizzato il sito di Arreda Sicolo Srl di Bitonto, azienda che dal 1964 si dedica alla progettazione di ogni ambiente di casa, garantendo professionalità, esperienza e continuità in un ambiente accogliente e familiare.

È il connubio perfetto di tradizione e innovazione. Ancor prima di parlare di mobili cerchiamo di capire le esigenze e le aspettative dei nostri clienti, conducendoli nelle scelte più giuste per realizzare la casa dei loro sogni.

Visita www.arredasicolo.it

Visita il nostro PORTFOLIO

Green Pass: i rischi per la nostra identità digitale

Pubblicare e condividere il Green Pass online espone noi e la nostra identità digitale ad inutili rischi, non solo a livello personale, ma anche in ambito business. Rischi che è bene comprendere per riuscire a mitigarli al meglio.

Cos’è e come funziona il Green Pass

Sono milioni gli italiani che hanno già ottenuto il Green Pass o che, in questi giorni, stanno ricevendo una notifica sull’app IO e Immuni o direttamente via SMS che li avvisa di poterlo scaricare grazie alla propria tessera sanitaria e ad un codice identificativo. Il Green Pass, lo ricordiamo, è una certificazione per la vaccinazione Covid-19 in formato digitale emessa dal Ministero della Salute e contiene un QR Code per verificarne autenticità e validità. Tutti coloro che hanno effettuato almeno una dose di vaccino possono salvarla sul proprio dispositivo e utilizzarla all’occorrenza. Dal 1° luglio il Green pass è valido come EU digital COVID certificate e sarà richiesto per partecipare a eventi pubblici, spostarsi in entrata e uscita dai Paesi dell’Unione europea e dell’area Schengen e per accedere a RSA o altre strutture.

Le informazioni nel QR code

La tecnologia QR code è molto utilizzata per la lettura tramite smartphone e non è altro che un codice a barre di due dimensioni composto da sezioni nere e bianche il cui scopo è memorizzare informazioni fino ad un massimo di 7.089 caratteri numerici in una sola volta. Sui social network diversi utenti hanno condiviso il QR Code legato alle vaccinazioni suscitando un forte allarmismo da parte del Garante della Privacy che in un comunicato ha espresso “la sua preoccupazione per l’esposizione di dati sensibili”. La scansione del QR code per l’identificazione e il controllo della validità del pass avviene tramite un’applicazione chiamata VerificaC19 che, però, riferisce solo nome, cognome e data di nascita. L’interessato su richiesta del verificatore, ad esempio un viaggiatore in aeroporto, dovrà esibire il proprio documento di identità per la corrispondenza dei dati anagrafici presenti nel documento con quelli visualizzati dall’applicazione di scansione del codice QR. Il residuo informativo contenuto nel codice QR rimane visibile solo a chi possiede le competenze informatiche per poterlo recuperare tramite un processo di decompressione e di decodifica. I dati contenuti all’interno del certificato digitale sono stati specificati dall’UE in un documento tecnico che stabilisce i set delle informazioni riconducibili ad ogni singolo individuo.

Green Pass: i rischi per la nostra identità digitale

Un’esposizione di dati sanitari personali, che ricordiamo essere la tipologia più rivenduta online, può avere impatto importante sull’identità digitale di un individuo. A marzo, online nel Dark Web, venivano venduti falsi Green Pass a 250 dollari ciascuno e con un’aggiunta di soli 25 dollari si poteva avere l’esito negativo di tre tamponi antigenici. La pubblicazione dei QR code può, inoltre, aiutare il processo di falsificazione, che viene implementato grazie a diversi “campioni” analizzati e studiati dai criminali. Il rischio di pubblicare lo screenshot del proprio QR code è quello di diffondere informazioni personali che possono essere riutilizzati per frodi e furti d’identità. I cyber criminali sfruttano ogni novità del mondo reale per poter truffare utenti e guadagnare denaro: come noi, infatti, utilizzano i social nell’attesa che un utente inesperto condivida informazioni sensibili sul suo profilo. L’impostazione della privacy settata in modo scorretto e l’abitudine di accettare richieste di utenti non conosciuti, amplifica notevolmente il rischio di esposizione. La digitalizzazione è un processo che deve avvenire parallelamente alla sicurezza informatica secondo il concetto di privacy by design, ma anche l’utente, spesso definito come l’anello debole della catena di sicurezza, deve essere in grado di non esporsi a inconsapevoli violazioni di dati. È la conferma della necessità di una formazione sia dei dipendenti in azienda che degli utenti dei social media, che devono prima di tutto riflettere sulla leggerezza con cui si condividono informazioni.

 

Fonte: CyberSecurity360

TeaBot, il malware per Android sta prendendo di mira l’Italia: attenti alle frodi bancarie

Si chiama TeaBot il nuovo trojan bancario per Android che da inizio anno sta prendendo di mira utenti in tutta Europa dirottando le loro credenziali di accesso e i messaggi SMS per facilitare attività fraudolente contro le banche in Italia, Spagna, Germania, Belgio e Paesi Bassi.

Negli ultimi giorni, in particolare, gli sviluppatori di TeaBot hanno aggiunto altre sette false app bank italiane come target dei loro attacchi tra cui grossi nomi come BNL, Intesa San Paolo, BancoPosta, Unicredit e Banco MPS, a dimostrazione del fatto che il nostro Paese è tra quelli più esposti alla minaccia di frodi bancarie. Una volta installato con successo nel dispositivo della vittima, infatti, TeaBot consente agli attaccanti di ottenere un live stream dello schermo e interagire col dispositivo stesso sfruttando i servizi di accessibilità di Android. TeaBot è stato scoperto dal Threat Intelligence and Incident Response (TIR) di Cleafy, azienda italiana di sicurezza informatica e prevenzione delle frodi online che al momento ha identificato più di 60 banche come obiettivi del malware.

Gli obiettivi di TeaBot

In particolare, nel suo rapporto, il TIR di Cleafy ha osservato che da un’approfondita analisi di una nuova ondata di campioni rilevata nel mese di marzo 2021, sono stati riscontrati, per la prima volta, molteplici payload nei confronti delle banche italiane e tedesche. Invece solo dall’inizio del mese di maggio sarebbe stata rilevata anche l’inclusione d’iniezioni malevole contro banche belghe e olandesi.
Inoltre, altre evidenze dimostrerebbero che il malware possiederebbe un supporto multilingue comprendente oltre la lingua spagnola, italiana, tedesca e olandese anche quella inglese e francese.

Le caratteristiche tecniche

TeaBot, pur essendo nelle prime fasi di sviluppo (come evidenziato da alcune irregolarità riscontrate durante l’analisi), sarebbe dotato di alcune funzionalità che abusano dei servizi di accessibilità Android con caratteristiche comuni anche ad altri noti trojan mobile:
• il controllo remoto dei dispostivi target
• il furto di codici 2FA (doppia autenticazione);
• l’invio e l’intercettazione di messaggi SMS;
• l’esfiltrazione di dati bancari;
• la disabilitazione di Google Protect.

Più precisamente, tra le principali caratteristiche osservate durante l’analisi dei campioni, i ricercatori avrebbero identificato funzionalità di:
• keylogger (simili a quelle già riscontrate nel trojan bancario EventBot, anche se, a differenza di quest’ultime, tracciano solo la presenza di alcune app mirate, generando quindi meno traffico nella comunicazione C2);
• screenshot (per acquisire immagini allo scopo di monitorare costantemente lo schermo del dispositivo compromesso);
• overlay (tecnica nota e già implementata sui famigerati trojan Android Anubis, Cerberus e Alien e che consiste nell’imitare una app o sovrapporre un WebView ad un’applicazione legittima).

Indicatori e catena d’infezione

Gli sviluppatori di TeaBot hanno utilizzato, per rendere più difficoltoso il reverse engineering, delle tecniche di anti analisi già impiegate da altri malware simili, come ad esempio l’utilizzo di “codice spazzatura”, la crittografata XOR anche se parziale e una catena infettiva suddivisa in due stadi in cui l’app vera e propria funge da dropper che carica dinamicamente in una seconda fase il payload effettivo (.dex). Inoltre, quando l’app malevola viene scaricata sul dispositivo, TeaBot tenta di nascondersi anche all’utente, impedendone il rilevamento e garantendo la persistenza, installandosi come servizio in background e istaurando, sin dall’inizio, una comunicazione silenziosa con il proprio server di comando e controllo. Successivamente, per poter eseguire le operazioni malevoli per le quali è stato programmato, TeaBot richiede delle specifiche autorizzazioni Android allo scopo di intercettare e osservare le azioni dell’utente, recuperare informazioni sensibili ed eseguire comandi arbitrari. Solo alla fine, a installazione completata con successo, il malware procede a rimuovere la propria icona dal dispositivo, nel tentativo di ridurre la possibilità di una ulteriore individuazione da parte dell’utente.

Come avviene la comunicazione col server?

Dall’analisi condotta sulla comunicazione di rete che il malware TeaBot instaura con il proprio server C2, il team di sicurezza ha identificato tre tipologie principali di comunicazione definite attraverso delle api deputate rispettivamente: all’aggiornamento della configurazione, al recupero dell’elenco delle app targettizzate, all’iniezione di codice in relazione alle app target rilevate.

Come proteggersi dai banking trojan per Android?

Come affermato dagli stessi ricercatori, TeaBot, in modo simile al malware per Android Oscorp, cerca di ottenere un’interazione in real-time con i dispositivi compromessi, al fine di eseguire uno scenario di attacco ATO (Account Takeover) abusando semplicemente dei servizi di accessibilità Android per acquisire in modo fraudolento il controllo dei nuovi dispositivi. Pertanto, per proteggersi dalle minacce sempre più dilaganti in ambiente mobile correlate alle innumerevoli varianti dei trojan bancari, è sempre raccomandabile seguire almeno delle misure minime di sicurezza:
• verificare sempre l’attendibilità delle app utilizzate, confrontandosi con i relativi servizi clienti;
• controllare le valutazioni degli utenti prima di scaricare una nuova app;
• affidarsi con cautela solo agli store legittimi: Google Play resta sempre e comunque una fonte attendibile;
• prestare attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se sicuri che siano necessarie per il corretto funzionamento;
• scansionare regolarmente il proprio dispositivo mobile per la ricerca delle minacce più recenti con sistemi antivirus aggiornati;
• tenere sempre aggiornato il proprio sistema operativo Android con gli update e le patch di sicurezza rilasciati periodicamente.

 

Fonte: CyberSecurity360