Articoli

Cyber security: i Paesi più sicuri e perché è importante per l’economia globale

La globalizzazione economica e la continua diffusione della disponibilità di internet nel mondo, con il relativo scambio di dati e informazioni, impone agli stati l’adozione di misure adeguate a proteggere l’intero spazio cibernetico, sia da un punto di vista interno che internazionale, e in un’ottica di public private partnership: ma quali sono, ad oggi, i paesi più sicuri dal punto di vista della cyber security e quali quelli meno preparati ad affrontare le minacce presenti nell’ambiente digitale?

Una recente ricerca ha preso in considerazione 76 Stati analizzandoli sulla base di sette criteri effettuando, inoltre, un confronto con i risultati dell’anno.

I criteri utilizzati per stilare la classifica sono i seguenti:

  1. percentuale di dispositivi mobili infettati da malware;
  2. percentuale di computer infettati da malware;
  3. numero di attacchi posti in essere mediante financial malware;
  4. percentuale di attacchi telnet, per Paese di origine, basata sul numero di indirizzi IP univoci dei dispositivi utilizzati negli attacchi;
  5. percentuale di utenti attaccati da cryptominers;
  6. Paesi più preparati a contrastare gli attacchi informatici;
  7. i Paesi con le più aggiornate legislazioni in tema di cyber security.

Cyber security: i Paesi più sicuri

La classifica del 2020 vede, tra i paesi più sicuri dal punto di vista cyber, la Danimarca che con il 2,57% di dispositivi mobili infettati e lo 0,1% di attacchi mediante malware finanziari passa dal 4° al 1° posto con un punteggio pari a 6,72 (nel 2019 aveva ottenuto 12,04), superando il Giappone (primo nella classifica del 2019) il quale scende dal 1° al 5° posto con 9,46 punti.

Al secondo posto si colloca la Svezia, anch’essa con lo 0,1% di attacchi subiti mediante malware finanziari e il 4,03% di computer infettati da malware, seguita dalla Germania che con una legislazione completa su tutti i temi presi in esame e con un calo di attacchi malware di tipo finanziario (0,5%) si colloca al terzo posto con un punteggio pari a 9,39.

Seguono l’Irlanda (9,40), il Giappone (9,46) e il Canada (10,12). Di particolare interesse è la posizione degli Stati Uniti i quali sembrano non essere riusciti, nell’ultimo anno, a stare al passo degli altri Paesi competitors nell’implementazione della propria cyber security, passando così dal 5° posto nel 2019 (12,20) al 17° posto nel 2020 (15,85) con una percentuale di computer infettati da malware pari al 9,07%.

Da notare è la posizione della Francia che, nonostante sia provvista di una legislazione completa su tutti i fronti previsti dalla ricerca, ha conseguito un punteggio di 10,78.

Per quanto riguarda l’Italia, il nostro Paese si attesta al 31° posto con 21,62 punti, guadagnando 10 posizioni rispetto all’anno precedente. In Italia la percentuale di dispositivi mobili infettati da malware è pari al 5,01%, gli attacchi posti in essere mediante malware finanziari è dello 0,5%, mentre la percentuale di computer infettati da malware è pari al 12,47%.

Per quanto riguarda gli attacchi Telnet, si stima una percentuale del 2,3%, una percentuale dello 0,52% relativamente agli attacchi provenienti da cryptominers, mentre il punteggio assegnato in relazione alla capacità di risposta ad attacchi cyber è di 0,837.

I Paesi meno sicuri

Dall’analisi dei dati emerge che il paese meno sicuro dal punto di vista della cyber security è l’Algeria con un differenziale in miglioramento di 6,76 punti rispetto allo scorso anno (55,75 punti nel 2019 e 48,99 punti nel 2020).

Tra i paesi meno sicuri l’Iran risulta essere il paese con la più alta percentuale di dispositivi mobili infettati (52,68% degli utenti), la Bielorussia quello con la più alta percentuale di utenti oggetto di attacchi mediante malware di natura finanziaria (2,9%), mentre la Tunisia emerge quale paese con la più alta percentuale di computer colpiti da malware (23,26% degli utenti).

Un dato molto interessante risulta essere quello relativo alla Cina la quale si attesta quale Stato con la più alta percentuale di attacchi Telnet condotti (13,78%).

Con il 7,9% di utenti coinvolti il Tajikistan risulta essere il paese con la più alta percentuale di attacchi da parte di cryptominers, mentre il Turkmenistan, con un punteggio di 0,115, risulta essere il paese meno preparato ad affrontare attacchi cyber.

I paesi meno sicuri risultano distribuiti geograficamente tra il sud America (Brasile, Perù, Ecuador), l’Africa settentrionale e centrale (Algeria, Marocco, Tunisia, Egitto, Nigeria, Tanzania), Medio Oriente e Asia Centrale (Siria, Iran, Turkmenistan, Uzbekistan, Kazakhstan, Tajikistan, Kirghizistan, Pakistan, India, Bangladesh, Cina, Vietnam, Indonesia, Filippine).

In Europa, i paesi rientranti nella categoria dei meno sicuri sono la Bielorussia, la Bosnia Herzegovina, la Romania e la Grecia che con il 14,59% di computer infettati da malware segue la Francia con il 15,09%, il Bangladesh con il 16,46%, l’Algeria con il 19,75% e la Tunisia con il 23,26%.

L’importanza della cyber security per l’economia globale

Sebbene molti Paesi abbiano migliorato la propria sicurezza cibernetica rispetto allo scorso anno, nessuno di questi può considerarsi completamente sicuro.

La continua implementazione della cyber security dal punto di vista nazionale, oltre ad essere funzionale ad una moltitudine di aspetti, tra cui spicca la capacità di attrarre investimenti esteri, risulta necessaria anche per garantire una cornice di sicurezza globale che possa assicurare una resilienza comune nei confronti di rischi sistemici ed esistenziali.

È noto a tutti come oggi siamo immersi in un ambiente digitalizzato che non conosce confini fisici come tradizionalmente intesi ma, piuttosto, si nutre di interazioni e connessioni che trascendono ogni tipo di territorialità.

Basti pensare al fatto che le aziende vittime di attacchi informatici possono subire ingenti danni con conseguenze di carattere legale, reputazionale, commerciale e strategico con ripercussioni transnazionali e sull’intera supply chain che spesso oltrepassa i formali perimetri nazionali.

La sicurezza cibernetica dei singoli Paesi, dunque, risulta funzionale alla protezione dell’intero ambiente digitale, all’interno del quale la tradizionale geografia perde di significato e dove anche l’economia globale risulta essere fortemente influenzata dagli avvenimenti interni al quinto dominio.

Una efficace cybersecurity, oltre a necessitare di una cultura aziendale adeguata su tutti i livelli, richiede un confronto e un coordinamento con tutti gli aspetti dell’architettura propria di un determinato Paese, ovvero il sistema di difesa, la cornice giuridico-legale, l’impianto organizzativo, le capacità tecniche e cooperative, ma anche con le istituzioni locali e globali a vantaggio dell’economia internazionale. La rete e l’economia, infatti, si rafforzano a vicenda.

C’è da osservare comunque che anche se la diffusione di internet e le potenzialità del 5G consentiranno un incremento degli accessi alla rete all’interno di economie emergenti, consentendo il miglioramento della qualità della vita, nonché dell’economia stessa, vi sarà un contemporaneo aumento della superficie d’attacco funzionale ad azioni malevole che potranno sfruttare nodi e connessioni più deboli per raggiugere obiettivi di vario tipo in tutto il mondo.

Ad oggi, circa quattro miliardi di persone risultano connesse ad internet; in un tale contesto, i dati raccolti, archiviati o condivisi cresceranno sempre più e nuove misure ancor più efficaci per la loro protezione dovranno essere poste in essere attraverso una sempre più stringente cooperazione tecnico-giuridica tra pubblico e privato.

Le minacce sono in continua evoluzione, sostenute da un continuo progresso tecnologico ed intellettuale che deve essere contrastato da un rafforzamento interno degli Stati e da una sempre maggiore cooperazione tra gli stessi a tutela dell’intero ambiente digitale e informativo dal quale, oggi più che mai, dipende la sopravvivenza dell’economia globale e della società per come la conosciamo.

 

Fonte: CyberSecurity360

E-mail, WhatsApp e la privacy degli utenti: le misure di sicurezza e i fronti critici

A quasi due anni dalla piena operatività delle disposizioni del GDPR, alcuni strumenti di trattamento dati vengono spesso sottovalutati in un’ottica di compliance: nello specifico, nell’utilizzo di account mail e servizi di messaggistica istantanea come WhatsApp, il trattamento dati svolto per proprio conto dai fornitori di tali servizi non sempre viene gestito in maniera adeguata, esponendosi a violazioni e sanzioni e con pesanti ripercussioni sulla privacy degli utenti.

L’esternalizzazione del trattamento

Affidare un determinato servizio ad un soggetto terzo, può spesso implicare anche una esternalizzazione del trattamento di dati personali.

In un’ottica di responsabilizzazione e consapevolezza, il titolare del trattamento è tenuto ad avere una visione chiara del flusso dei trattamenti e di tutti i soggetti che a vario titolo sono in esso coinvolti.

Laddove il trattamento svolto dal fornitore rientri nello schema titolare/responsabile, conformemente a quanto previsto dall’art. 28 del GDPR, sarà necessario predisporre o verificare l’esistenza di un contratto o altro atto giuridico che stabilisca le responsabilità a carico del fornitore, disciplinando in concreto la raccolta, l’elaborazione, l’utilizzo e la conservazione di dati personali che gli vengono affidati, così come i vincoli connessi a tali trattamenti.

Tale accordo volto a regolare i rapporti tra titolare e responsabile è uno dei punti cardine del GDPR e del principio di accountability. Esso dimostra infatti che il titolare ha posto in essere una scelta ponderata e consapevole, imponendo al fornitore che effettui trattamenti per proprio conto una serie di obblighi e garanzie volti a tutelare la sicurezza dei dati e i diritti degli interessati.

In linea di massima, tale atto dovrebbe prendere forma su iniziativa del titolare, in quanto è tale soggetto che conosce le specifiche dei trattamenti e che ne analizza i rischi connessi, senza tralasciare infine che è in capo ad egli che permangono tutte le responsabilità. È però altrettanto vero che in molti casi il titolare si trova in una posizione di svantaggio rispetto al fornitore/responsabile.

I rapporti di forza contrattuali non sempre riflettono la relazione gerarchica prevista dalla normativa sui dati personali e il titolare si trova in diversi casi ad avere un potere contrattuale decisamente inferiore al responsabile.

È difficile pensare che una realtà aziendale che opera a livello nazionale o addirittura internazionale con un enorme quantitativo di clienti possa analizzare e siglare singoli accordi in termini di trattamento di dati personali svolti per conto dei clienti, con ognuno di essi.

In queste ipotesi è sicuramente più probabile che sia il fornitore a predisporre un Data Protection Agreement (DPA) in cui riconosce il suo ruolo di responsabile e comunica al cliente/titolare i propri obblighi e tutte le garanzie offerte.

Sarà dunque interesse del cliente/titolare verificare innanzitutto l’esistenza di tale DPA, valutandone poi il contenuto per capire se le garanzie offerte rispondano alle esigenze della propria specifica realtà organizzativa e, eventualmente, confrontandole con quelle offerte da altri fornitori.

Account di posta elettronica

Sul fatto che i fornitori di servizi di posta elettronica trattino dati personali in qualità di responsabili del trattamento non ci sono dubbi, lo stesso Garante lo ha ribadito in precedenti provvediment. Nonostante questo, però nell’utilizzo di tale strumento non sempre viene prestata la dovuta attenzione.

Tra le imprese e i professionisti sono ancora numerosi coloro che si avvalgono di account mail di tipo gratuito violando di fatto le disposizioni del GDPR in materia. I provider gratuiti, infatti, non consentono a chi li utilizza di soddisfare il principio di accountability per diversi motivi.

Da un lato, non tutti garantiscono un adeguato livello di controllo sulla sicurezza. In taluni casi non c’è neanche la garanzia che i dati ricavati dalle e-mail non vengano utilizzati per scopi di profilazione, o addirittura la possibilità che, in caso di inattività prolungata, la casella venga disattivata e i messaggi in essa contenuti eliminati.

Dall’altro, trattandosi di servizi pensati per utenti privati – e in quanto tali non soggetti alle disposizioni del GDPR – il fornitore non è tenuto a riconoscere nessun ruolo di responsabile del trattamento e tutti gli obblighi che da tale ruolo derivano e, conseguentemente, non esiste alcun DPA a cui poter fare riferimento. E appare ancora più difficile l’ipotesi di poter negoziare singolarmente con il fornitore del servizio di posta elettronica un accordo ex art.28.

Prendiamo ad esempio il caso di Google che propone due tipologie di account: uno gratuito e uno pensato per gli utenti business (in abbinamento al servizio cloud). Sebbene anche nel caso di account mail gratuito le misure di sicurezza offerte potrebbero in taluni casi anche essere considerate adeguate in termini di protezione da accessi non autorizzati e da alterazione, divulgazione e distruzione non autorizzate (crittografia, controllo di sicurezza, verifica a due passaggi ecc.), nulla viene esplicitato in termini di gestione e comunicazione dei data breach, eventuale ricorso a sub-responsabili, e così via.

E questo non per una mancanza di Google, ma per il semplice fatto che l’utilizzo di gmail non è pensato per utenti titolari del trattamento soggetti all’applicazione del Regolamento europeo.

Se consideriamo invece Gsuite, account mail di Google in versione business, la situazione è nettamente diversa. In questo caso, infatti, Google prevede un DPA in cui riconosce il suo ruolo di responsabile del trattamento e tutte le specifiche sul trattamento dati e le garanzie richieste dall’art.28: finalità del trattamento, modalità di cancellazione dei dati, sicurezza dei dati, notifica di eventuali violazioni dati e relative informazioni fornite, assistenza nello svolgimento della valutazione d’impatto, garanzie nel caso in cui a sub-responsabili, trasferimento dati e via dicendo.

Le misure di sicurezza, inoltre, sono ulteriormente approfondite nell’Appendix 2, fornendo informazioni dettagliate a riguardo, consentendo in questo modo al cliente/titolare di poter fare tutte le valutazioni del caso.

Alla luce di questo esempio, appare evidente che la scelta del provider di posta elettronica non può essere casuale, ma deve necessariamente tener conto dell’utilizzo aziendale a cui è destinato e della necessità di soddisfare i requisiti del Regolamento, art.28 in primis. Gsuite, ovviamente, è solo una delle possibilità.

Diversi sono infatti i fornitori (ad esempio Aruba, Microsoft ecc.) che prevedono account mail in versione business in grado di offrire una serie di strumenti che consentono al titolare di amministrare centralmente l’account, consentendogli di esercitare il proprio controllo e applicare, laddove necessario, misure di mitigazione come disabilitare gli accessi, cancellare i dati salvati e così via.

Si tratta solo di individuare il servizio che meglio risponda alle proprie esigenze, ma sempre e comunque nel rispetto del Regolamento.

WhatsApp e la privacy degli utenti

Le applicazioni di messaggistica istantanea come WhatsApp sono nate principalmente per un uso personale. Nel corso del tempo, però, questa modalità di comunicazione si è sempre più affermata anche tra imprese e professionisti.

Laddove si intenda utilizzare questi strumenti per interagire con i propri clienti e fornitori o per comunicare con i propri dipendenti e collaboratori è però indispensabile considerare e rispettare i principi del GDPR.

Il trattamento dati svolto per proprio conto dai fornitori dei servizi di messaggistica istantanea, pertanto, dovrà necessariamente soddisfare i requisiti del Regolamento, art.28 in primis.

Come nel caso degli account di posta elettronica, la versione gratuita di WhatsApp, non offre le dovute garanzie e il suo utilizzo non può essere considerato GDPR compliant. Se da un lato l’utilizzo della cifratura end-to-end garantisce una certa sicurezza in termini di protezione dei dati in transito da eventuali attacchi di intercettazione, assicurando che solo il mittente e il destinatario abbiano le chiavi per poter aprire e leggere i messaggi, manca per il titolare la possibilità di esercitare un effettivo controllo sui dati, nonché l’accordo scritto che imponga al fornitore del servizio gli obblighi richiesti dall’art. 28.

Accordo che invece è stato predisposto per i servizi di WhatsApp Business. In questo caso, infatti, vengono individuati all’interno del documento Termini per il trattamento dei dati di WhatsApp Business gli obblighi di WhatsApp in qualità di responsabile del trattamento.

In tale documento, la società che fa capo a Facebook, riconosce tra i suoi obblighi:

• implementazione di misure tecniche e organizzative adeguate alla protezione dei dati;
• notifica senza ingiustificato ritardo di eventuali data breach;
• assistenza all’utente per dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
• assistenza nel garantire gli obblighi di cui agli articoli da 32 a 36 del GDPR;
• disponibilità a mettere a disposizione – dietro richiesta – tutte le informazioni ragionevolmente necessarie per dimostrare la conformità di WhatsApp ai suoi obblighi legali in qualità di responsabile del trattamento;
• rispetto della normativa nell’affidamento dei propri obblighi ad altri responsabili del trattamento, mediante accordo scritto che imponga agli altri responsabili i medesimi obblighi gravanti su WhatsApp;
• trasferimento dei dati personali sulla base dello Scudo UE-USA e delle clausole contrattuali standard approvate dalla Commissione Europea.

Conclusioni

Alla luce del principio di accountability che sta alla base della normativa che disciplina il trattamento di dati personali, la scelta dei fornitori deve necessariamente tener conto dei processi aziendali coinvolti e dei flussi di dati ad essi connessi, prestando particolare attenzione alla disciplina dei rapporti con i soggetti che ne prendono parte.

Il fornitore che tratta i dati personali per conto del cliente/titolare, dovrà essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché garantire la tutela dei diritti dell’interessato.

Non dimentichiamoci, infatti, che il titolare del trattamento risponde in prima persona della gestione effettuata dal responsabile e, proprio per questo, è di assoluta importanza ricorrere a responsabili che prestino garanzie sufficienti per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del GDPR, e che soprattutto rispondano alle specifiche esigenze del titolare emerse in sede di valutazione del rischio del trattamento, considerando anche l’eventuale intervento di responsabili.

Un fornitore che non rispetti il GDPR o che non offra adeguate garanzie e supporto in termini di misure di sicurezza, gestione dei data breach e delle richieste di esercizio dei diritti da parte degli interessati, trasferimenti dei dati all’estero può mettere in pericolo la sicurezza dei processi di trattamento dei dati personali, oltre ad esporre il committente a pesanti sanzioni a prescindere dal verificarsi di un danno effettivo per la privacy degli interessati.

Partendo dal presupposto che qualsiasi trattamento di dati personali, indipendentemente dallo strumento che si utilizza, è soggetto alla normativa sui dati personali, appare pertanto fondamentale assicurarsi di utilizzare strumenti di trattamento dati che siano pensati per un’utenza business e che prevedano il trattamento dei dati personali per conto del cliente/titolare in qualità di responsabile.

 

Fonte: CyberSecurity360

Micro imprese: con lo smart working nasce la necessità di introdurre app di rilevazione presenze

In Italia il 95% delle imprese è costituito da micro aziende, e quindi da attività imprenditoriali che contano meno di 10 addetti. Queste realtà danno lavoro a oltre 7,5 milioni di cittadini, ovvero al 44,5% del totale.

Tutte queste aziende – sia quelle che hanno continuato a lavorare in smart working durante l’emergenza Covid-19, sia quelle che stanno pian piano tornando operative – si trovano ad affrontare un contesto lavorativo profondamente cambiato.

Si lavora infatti sempre di più da remoto e in mobilità, con il lavoro agile che, da pratica messa in atto principalmente da aziende medio e grandi, è diventata una metodologia indispensabile anche per le microimprese. Non stupisce però che, proprio in conseguenza dell’introduzione dello smart working, si stiano consolidando esigenze in buona parte nuove, soprattutto per le imprese più piccole: si parla ad esempio delle applicazioni per la gestione aziendale, come le app per la rilevazione presenze e per il calcolo delle ore lavoro.

Nemmeno in questo periodo particolare, infatti, è possibile dimenticare che nel maggio del 2019 la Corte di giustizia dell’Unione Europea ha reso obbligatoria per tutti i datori di lavoro l’adozione di un sistema per misurare in modo preciso la durata del lavoro giornaliero. E mentre gli Stati membri sono chiamati a implementare questa nuova norma, le aziende devono dotarsi dei necessari strumenti per rilevare le presenze, partendo peraltro dal presupposto che una buona app per la rilevazione delle presenze assicura tanti vantaggi, all’impresa e al lavoratore.

5 buoni motivi per digitalizzare la gestione del personale

Ci sono tanti ottimi motivi per digitalizzare i principali processi di gestione del personale:
• Il sistema di rilevazione presenze più adatto, sempre: con o senza badge, con lo smartphone, in sede come da remoto, in ogni situazione è possibile timbrare nel modo più pratico e veloce.
• Basta fogli cartacei e file Excel: ci sono micro imprese che, ancora oggi, si affidano a fogli Excel o persino a documenti cartacei per la rilevazione presenze. Con l’app fluida per la gestione del personale è possibile automatizzare, velocizzare e rendere sicura questa attività.
• Ridurre i costi: poter contare su una app per la rilevazione presenze significa risparmiare tempo e denaro, semplificando e riducendo al massimo il tempo e le risorse per la rendicontazione e per la supervisione delle ore lavorate.
• Comunicazione automatica al commercialista: l’app per la gestione del personale comunica in automatico quanto necessario al software per l’elaborazione delle buste paga del commercialista o del consulente del lavoro di riferimento, riducendo i costi ed eliminando gli errori tipici dell’inserimento manuale dei dati.
• Aggiornamento in tempo reale: in qualsiasi momento, il datore di lavoro e i dipendenti possono accedere a dati aggiornati in tempo reale su presenze, assenze e ferie.

 

Fonte: AziendaDigitale

Numeri di WhatsApp su Google, scoperto un bug che mette a rischio la nostra privacy

Sono circa 300 mila i numeri di telefono associati ad altrettanti account WhatsApp di ignari utenti finiti in chiaro su Google a causa di un bug individuato nella funzione “Clicca per chattare” dell’app di messaggistica istantanea.

Lo strumento “Clicca per chattare”, in particolare, è uno dei meno conosciuti dell’app di messaggistica istantanea ma molto utilizzato dalle piccole e microimprese di tutto il mondo per connettersi con i propri clienti attraverso i siti Web aziendali. Consente, infatti, di aggiungere un pulsante nelle pagine dei siti attraverso il quale gli utenti possono avviare una conversazione con i gestori dei siti stessi tramite il servizio di messaggistica.

La falla di sicurezza è stata individuata dal ricercatore di sicurezza indipendente e cacciatore di bug Athul Jayaram e potrebbe aprire la porta a ogni sorta di truffe e cyber attacchi ai danni degli intestatari dei numeri di telefono indicizzati da Google.

Si tratta, dunque, di un altro pericoloso bug scoperto a poca distanza di tempo da quello che consentiva il furto di account WhatsApp mediante finti SMS inviati da contatti presenti in rubrica.

I dettagli del bug

Il bug è stato prontamente segnalato prima a Facebook (proprietaria di WhatsApp) nell’ambito del programma “Bug-bounty Program” che prevede una ricompensa monetaria per tutti coloro che scoprono un bug nella piattaforma di social network e successivamente agli stessi sviluppatori di WhatsApp, che però hanno risposto di essere al corrente di quella che non ritengono essere una falla di sicurezza in quanto una eventuale ricerca su Google mostrerebbe solo informazioni che gli utenti stessi hanno deciso di rendere pubbliche attraverso le pagine dei loro stessi siti Web.

In realtà, i numeri degli utenti finiti in chiaro nelle pagine di ricerca di Google sono stati esposti dal dominio wa.me di proprietà di WhatsApp che memorizza in una stringa di URL del tipo visto precedentemente proprio i metadati raccolti dalla funzione “Clicca per chattare”.

I gestori del dominio wa.me, infatti, non hanno previsto nella directory principale del sito alcun file di testo contenente le regole che bloccano o consentono l’accesso di un determinato crawler (software che analizza automaticamente i contenuti di una rete, di un database o di un sito Web in genere per conto di un motore di ricerca) a un percorso di file specificato nel sito web in questione.

Questa grossolana mancanza consente proprio a Google e agli altri motori di ricerca di indicizzare tutti i contenuti che puntano a questo dominio, compreso quindi i numeri telefonici associati a WhatsApp e utilizzati mediante la funzione “Clicca per chattare” e per questo motivo i numeri di 300 mila ignari utenti sono finiti nei risultati della ricerca pubblica.

Purtroppo i numeri di cellulare sono visibili in chiaro nelle URL associate al dominio wa.me e chiunque se ne impadronisca può quindi conoscere il numero di cellulare dell’utente. E purtroppo non è possibile revocarlo.

Inoltre, un clic sull’URL non rivela il nome dell’utente associato all’utente WhatsApp (ricordiamo che l’app identifica gli utenti in base ai numeri di telefono e non dal loro username come avviane ad esempio nelle mailbox), ma la sua immagine del profilo.

Partendo da questa, un attaccante determinato potrebbe effettuare una ricerca per immagini e raccogliere abbastanza indizi online (ad esempio sui social network) per stabilire l’identità dell’utente e sfruttare poi queste preziose informazioni per compiere truffe mirate oppure venderle a marketer, spammer e truffatori.

Come scoprirlo?

In attesa che il bug venga corretto o quantomeno che WhatsApp intervenga per impedire l’indicizzazione in chiaro dei numeri di telefono archiviati sul dominio wa.me, è possibile effettuare una semplice verifica per scongiurare che il nostro numero sia liberamente accessibile online:

• basta collegarsi, innanzitutto, alla home page di Google e, nella barra di ricerca, si scrive la stringa site:wa.me seguita dal numero di telefono secondo lo schema: site:wa.me +39 123 456 7890;

• se dovesse comparire un risultato, vorrebbe dire che il numero di telefono è stato esposto online. Ovviamente, in questo caso, non ci sarebbe alcun problema di violazione della privacy qualora avessimo deciso di usare il servizio “Clicca per chattare” di WhatsApp per consentire agli utenti di contattare più facilmente noi o la nostra azienda.

 

Fonte: Cybersecurity360

App Immuni, i rischi cyber e l’importanza di una corretta sensibilizzazione degli utenti

L’app di tracciamento Covid-19, Immuni, è online: ci sarà ora una fase di avvio di test rendendo disponibile l’applicazione solo in alcune regioni per poi man mano essere messa a disposizione di tutti i cittadini italiani. Una fase dunque molto delicata, perché consentirà di capire quali sono i rischi cyber a cui è realmente esposta e perché potrebbe essere l’occasione giusta per avviare un efficace piano di sensibilizzazione degli utenti sul suo corretto utilizzo.

Quali sono i reali target?

Un momento importante, un banco di prova che tutti stavano aspettando. Il team di sviluppo di Immuni, Bending Spoons, avrà tutti gli occhi puntati su di sé e avrà anche adottato non solo le tradizionali misure di sicurezza preventiva attraverso l’analisi del codice e le attività di Mobile Penetration test, ma anche soluzioni di sicurezza proattiva e predittiva al fine di contrastare da un lato azioni malevole, ma dall’altro anche anticiparle attraverso azioni di Cyber Threat Intelligence.

Un lancio discusso e dibattuto soprattutto per gli aspetti legati alle tematiche di cyber security e di privacy. C’è da aspettarsi che i ricercatori cyber italiani e non inizieranno ad analizzare tutta l’applicazione per identificare le possibili falle e criticità e segnalarle attraverso le tradizionali procedure di Responsible Vulnerability Disclosure, tenuto conto delle informazioni disponibili e dei relativi impatti per gli utenti che liberamente sceglieranno o hanno scelto di registrarsi.

Ma i criminal hacker sono purtroppo già in azione. Mentre tutti si stanno concentrando sul target principale superprotetto e tutelato – almeno questa è l’aspettativa di tutti noi – ci sono due target forse più semplici da approcciare e che possono garantire lo stesso risultato. Mentre i ricercatori si concentreranno sull’app Immuni, quasi sicuramente i target veramente oggetto di cyber attack saranno la stessa azienda di sviluppo Bending Spoons e gli stessi utenti.

La prima sarà sicuramente attenzionata con attività di cyber attack più tecniche, ma per entrambi i target la metodologia maggiormente utilizzata sarà proprio quella di social engineering (attività digitali e non che hanno l’obiettivo di ingannare la potenziale vittima al fine ad indurla ad effettuare azioni o per rubare informazioni).

Bending Spoons sotto la lente di ingrandimento

In Bending Spoons avranno sicuramente dovuto fronteggiare diversi cyber attack. Si saranno scontrati con diversi tentativi di accesso ai vari sottodomini esposti, con i criminal hacker che cercano di carpire dalla naming convention degli url stessi quali e se fanno riferimento proprio all’app Immuni e allo stesso tempo identificare le possibili aree di staging o DB esposti con il rischio di trovare in realtà servizi relativi a terze parti loro clienti.

Un lavoro immane e notevole di contrasto che Bending Spoons ha gestito in maniera brillante e che continuerà sicuramente a fare, tenuto conto del tasso tecnico e tecnologico dell’azienda e del suo team.

Accanto a questi tentativi un po’ più tecnici, ovviamente sono stati e saranno oggetto di varie tecniche di social engineering. È incredibile il numero di informazioni, e-mail aziendali, personali e cellulari che potenzialmente potrebbero essere identificati tramite i canali social o anche tramite le diverse applicazioni di marketing e di biglietti da visita disponibili online.

I rischi di social engineering per gli utenti

L’altro target che sarà oggetto di attenzione da parte dei criminal hacker siamo noi: gli utenti. Prepariamoci, dovremo e saremo costretti a “non abbassare la guardia”. Saremo bersagliati da diverse tecniche di social engineering e il cybercrime cercherà in tutti i modi di carpire le nostre informazioni o di infettare con malware i nostri dispositivi, computer o smartphone.

Le tecniche maggiormente utilizzate saranno sicuramente: phishing e smishing, false mobile app, spoofing, malware advertising.

Rischi cyber: phishing e smishing

Il phishing era e continua ad essere il principale mezzo per la diffusione di malware e, in generale, per lanciare cyber attacchi. La cara e vecchia e-mail contenente allegati, link o sign-up form studiati per rubarci le credenziali è ancora attualissima. Costa poco, richiede pochissimo sforzo tecnico e garantisce un volume di attacchi difficilmente eguagliabile.

La sua forza è letteralmente la nostra debolezza, che sia culturale o semplicemente frutto di paure: dall’offrire cure contro la Covid-19 fino ad impersonare l’Agenzia delle Entrate, i criminal hacker dietro il phishing non hanno certo dimostrato mancanza d’ingegno, l’arrivo di Immuni potrebbe essere l’ennesima leva valida.

Naturale evoluzione di questa tecnica è lo smishing. Nome che deriva dal mezzo attraverso cui sono inviate le comunicazioni malevoli alla vittima: l’SMS appunto (o qualsiasi altro mezzo di comunicazione istantanea come WhatsApp o Facebook Messenger).

Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire la Call To Action richiesta dai cyber criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login.

False mobile app

Leggermente più avanzata come metodologia, la diffusione di fake app, ovvero app civetta che imitano Immuni per acquisire i dati degli utenti, sono sicuramente un altro cyber risk da tenere in considerazione.

Queste colpiscono in particolare i dispositivi Android, visto che Google Play Store è fin troppo spesso ricettacolo di questi fake. Un’emergenza nota alla stessa Google, che ha provato a metterci una pezza con il Play Protect, una sorta di scanner antivirus che analizza le app prima che queste vengano installate sullo smartphone. Ma questo non ha fermato i criminal hacker che riescono ancora a bypassare il sistema.

Lo spoofing

Lo spoofing, traducibile con “manipolazione” o “occultamento”, è una tecnica usata dal cyber crime per mascherare e imitare l’identità di utenti o di dispositivi. Di fatto è un tipo di falsificazione tecnologica utilizzata per far credere alla vittima che l’identità del mittente del contatto o del contenuto ricevuto siano assolutamente attendibili.

Come per le altre metodologie di attacco il bersaglio sono sempre i dati sensibili. La versatilità dello spoofing lo rende anche molto adattabile a vari mezzi e strumenti di attacco: mail, DNS, sms e web.

 

Fonte: Cybersecurity360

Controllo accessi: come salvaguardare la salute in azienda

Il momento della ripartenza è finalmente arrivato. Ma questa ripartenza deve essere fatta in sicurezza, con tutta una serie di misure per salvaguardare la salute delle persone all’interno dell’azienda e contenere il contagio da Covid-19.

Si parla quindi di mascherine, di igienizzanti, di distanziamento di sicurezza, di un ripensamento degli spazi all’interno delle sedi aziendali e di un controllo accessi pensato appositamente per mantenere il virus all’esterno dei luoghi di lavoro.

Come spiegato dal Ministero delle Salute, infatti, l’accesso alle aziende è vietato a chiunque – al personale e non solo – negli ultimi 14 giorni abbia avuto contatti con dei soggetti positivi al Covid-19, nonché a tutte le persone con una temperatura superiore ai 37,5°. E per verificare la temperatura delle persone in entrata, le aziende sono tenute a implementare apposite procedure di ingresso: la soluzione più efficace è costituita da dei sistemi di controllo accessi per Covid-19, integrati con dei dispositivi per la rilevazione della temperatura corporea

Controllo accessi e temperatura: la soluzione integrata Zucchetti

Com’è possibile stabilire un controllo degli accessi e della temperatura che sia efficace e sicuro nelle aziende, specie per quelle che prevedono un’importante affluenza di persone?

Zucchetti propone una soluzione integrata, composta dai migliori sistemi di controllo accessi e da telecamere termiche, in grado quindi di rilevare in modo automatico e veloce la temperatura corporea delle persone che accedono all’azienda. Questo sistema permette di monitorare l’ingresso in azienda per mezzo di un innovativo algoritmo in grado di riconoscere le figure umane escludendo ogni altra fonte di calore (per eliminare eventuali falsi allarmi alla radice) e autorizza l’ingresso solamente alle persone con una temperatura corporea inferiore a un limite predefinito (per esempio di 37,5 gradi centigradi).

In questo modo dunque sarà possibile monitorare in modo efficace gli accessi in azienda, anche a fronte di un flusso importante di persone in entrata, evitando ogni forma di contatto fisico.

Va inoltre sottolineato che il sistema proposto per il controllo accessi e per la temperatura corporea opera nel pieno rispetto della privacy del lavoratore e delle altre persone: i dati rilevati dai sistemi di controllo accessi basati su intelligenza artificiale, infatti, non vengono memorizzati nel sistema poiché funzionali solo all’apertura del varco.

I contesti d’uso dei dispositivi controllo accessi e temperatura corporea

Il sistema integrato per il controllo accessi per contenere il contagio Covid-19 messo a punto da Zucchetti è pensato per luoghi pubblici, cantieri e ospedali, e quindi per tutte le strutture che necessitano di un monitoraggio continuo degli accessi.

Nello specifico, il software per il controllo accessi viene integrato con una telecamera, quindi con un varco intelligente. Quest’ultimo può essere di due tipologie differenti, di tipo free-flow (con un segnalatore che permette o vieta il passaggio) oppure con delle barriere fisiche, che chiudono fisicamente il passaggio in caso di temperatura superiore al limite di sicurezza. In tutti i casi, nel momento in cui la temperatura rilevata dalla telecamera risulta alta, interviene l’operatore per gestire l’anomalia.

Da sempre le soluzioni Zucchetti mirano a essere un valore aggiunto per le aziende: in questo caso mediante l’integrazione dei propri apprezzati sistemi di controllo accessi con dispositivi per la rilevazione della temperatura, Zucchetti presenta alle aziende la possibilità di lavorare in sicurezza, per affrontare al meglio la ripartenza dopo l’emergenza Coronavirus.

 

Fonte: AziendaDigitale

Due finti installer di Zoom consentono di spiare le riunioni online

Sono stati scoperti due malware camuffati da finti installer di Zoom che, una volta attivati nei PC Windows delle vittime, installano rispettivamente una backdoor che permette ai criminal hacker di eseguire routine dannose in remoto e una botnet che trasforma il sistema in uno zombie della rete criminale.

Così facendo, i criminal hacker riescono ad intromettersi nelle videoconferenze e a spiare le proprie vittime in vere e proprie campagne di cyber spionaggio.

I due falsi installer non provengono, ovviamente, dai canali di distribuzione ufficiali di Zoom e sono facilmente riconoscibili in quanto si presentano con dimensioni significativamente più grandi rispetto a quelle del legittimo installer della nota

La scoperta è stata fatta dai ricercatori di sicurezza di Trend Micro secondo i quali i criminal hacker potrebbero approfittare del generale allentamento nelle misure di restrizione per il contrasto alla pandemia di Covid-19 per diffondere altri malware utilizzando finti installer di altre famose app di videoconferenza.

Come si attiva la backdoor

L’installer malevolo che attiva la backdoor nei computer della vittima contiene al suo interno alcuni file criptati che, una volta avviata l’installazione del finto Zoom, vengono decodificati e archiviati nella cartella %User Temp%Zoom Meetings/Zoom Meetings/5.0.1/setup.exe e utilizzati per l’esecuzione del codice malevolo.

Dall’analisi del campione malevolo i ricercatori hanno scoperto che la prima azione della catena infettiva del malware consiste nel killare tutti i processi relativi ai servizi di accesso remoto in esecuzione sulla macchina target.

Vengono quindi create quattro chiavi di registro necessarie per la configurazione automatica della routine malevola associata al malware. Le stringhe, infatti, contengono configurazioni e valori utilizzati per attivare il collegamento remoto con il server di comando e controllo (C&C) e notificare sia l’avvenuto furto delle credenziali dell’utente sia che la macchina infetta è pronta per l’accesso da remoto e per ricevere comandi a distanza.

Infine, il malware eseguirà la versione legittima del programma di installazione di Zoom contenuta all’interno del finto installer per non destare sospetti nella vittima.

Come si attiva la botnet

Intanto, il finto installer è in realtà un file command identificato come pyclient.cmd che, se eseguito, consente di impartire comandi malevoli sul sistema compromesso.

Parallelamente a questo file, il payload del malware esegue anche l’archivio autoestraente cmd_shell.exe contenente un file di testo new_script.txt con l’indirizzo del server C&C, madleets.ddns.net, e il file shell.bat che è in realtà una copia del programma di installazione di Zoom in versione 5.0.1 (al momento in cui scriviamo, sul sito ufficiale di Zoom è disponibile al download la versione 5.0.3 dell’app di videoconferenza) e che, anche in questo caso, verrà installata mentre è in corso la catena infettiva del malware per non destare sospetti nell’utente.

Infine, viene eseguito il componente dropped boot-startup.vbs che serve al malware per ottenere la persistenza nel sistema compromesso.

A questo punto, il malware è attivo nel sistema e inizierà a compiere una serie di azioni malevoli. Mediante l’eseguibile screenshot.exe catturerà le schermate del desktop dell’utente e delle finestre attive, mentre con Webcam.exe effettuerà una scansione del sistema alla ricerca di eventuali webcam collegate e inizierà ad effettuare registrazioni video ambientali.
Il malware invierà quindi tutte le informazioni raccolte al suo server C&C ogni 30 secondi.

Come difendersi da questa nuova minaccia

Gli utenti che lavorano in smart working possono mettere in pratica queste semplici best practice per mitigare il rischio di attacco ed evitare così di trasformare il proprio PC in un passe-partout che consentirebbe ai criminal hacker di accedere alle infrastrutture aziendali e al patrimonio informativo:

• scaricare solo applicazioni e software da store e piattaforme ufficiali. In particolare, per evitare l’infezione da parte dei falsi installer di Zoom è importante scaricare l’app di videoconferenza da fonti affidabili come il Google Play Store e l’Apple App Store o dal sito ufficiale.

• è importante, inoltre, proteggere le applicazioni di videoconferenza e il sistema operativo installando sempre gli ultimi aggiornamenti disponibili e utilizzando i vari sistemi di sicurezza come le password di accesso alle riunioni online.

 

Fonte: Cybersecurity360

Chat sicura: quali sono e come scegliere le migliori app per conversazioni private

Le applicazioni di messaggistica istantanea (Instant Messaging) sono in assoluto le applicazioni più usate e più scaricate negli smartphone di tutto il mondo, soprattutto in questo periodo di distanziamento sociale e di smart working in quanto offrono la possibilità di avviare una sessione di chat sicura cifrando le comunicazioni, in particolare quelle di lavoro.

Ma quanto sono davvero sicure le app di messaggistica istantanea? Visto il gran numero di applicazioni disponibili sui vari store mobile, non è semplice scegliere quella che offre il miglior livello di protezione delle nostre conversazioni. In questa guida ragionata impareremo tutti i segreti delle app di messaggistica istantanea, capiremo come funzionano e acquisiremo le competenze giuste per scegliere le migliori.

La diffusione della messaggistica istantanea

Le applicazioni di messaggistica istantanea stanno sostituendo anche le e-mail, perché più veloci e pratiche da usare.

WhatsApp è l’applicazione di messaggistica istantanea più diffusa al mondo: il 12 febbraio 2020 ha comunicato di aver raggiunto i 2 miliardi di utenti nel mondo. Creata nel 2009 da Jan Koum e Brian Acton, nel febbraio 2014 è stata acquistata da Facebook Inc. per 19 miliardi di dollari.

Stranamente, WhatsApp non è la più diffusa negli Usa dove registra 68 milioni di utenti (appena il 20% della popolazione) ed è solo al terzo posto, preceduta da Facebook Messenger (con 117 milioni a fine 2019) e iMessage di Apple.

WhatsApp è pressoché assente anche in Cina (dove predomina WeChat), perché proibita e usata solo clandestinamente. Ma nella gran parte del mondo WhatsApp è il sistema di chat più diffuso e lo è anche in Italia, con 32 milioni di utenti attivi (pari al 54% della popolazione ed a oltre il 95% di tutti gli utenti delle app di messaggistica).

Al secondo posto nella classifica delle app di messaggistica istantanea più utilizzate nel nostro Paese si colloca Facebook Messenger con poco più di 23 milioni di utenti mensili, seguono poi Telegram (9 milioni di utenti italiani, oltre 400 milioni nel mondo), Skype (3,5 milioni in Italia), infine iMessage (l’app di Apple, utilizzabile solo sugli iPhone) e Viber (840.000).

Chat sicura: come valutare le app di Instant Messaging

L’Instant Messaging viene usato spesso anche per comunicazioni aziendali, in alternativa all’e-mail. Questo non sarebbe sbagliato, in termini di sicurezza, perché oggi tutti i sistemi IM implementano nativamente la crittografia end-to-end (E2E) e ciò li rende intrinsecamente più sicuri dell’e-mail, che utilizza ancora protocolli di trasmissione come l’SMTP sviluppati negli Anni 80 e notoriamente insicuri.

Tuttavia, proprio a causa della loro enorme diffusione, sono diventate un obbiettivo appetibile anche per il cyber crime. Sono molte le applicazioni IM presenti sul Play Store di Google e sull’App Store di Apple e questa possibilità di scelta permette a chi è davvero attento alla propria privacy – o debba trattare informazioni delicate – di trovare interessanti soluzioni alternative a quelle più note, tra cui WhatsApp.

Nel valutare il livello di sicurezza delle applicazioni di messaggistica istantanea è importante tenere in considerazione alcuni aspetti:

1. la diffusione: un’applicazione molto diffusa sarà sicuramente più esposta ad ogni tipo di attacco: ci saranno molti gruppi di ricercatori, analisti e cyber attaccanti che continuamente ne ricercheranno vulnerabilità da sfruttare;

2. il business model: conoscere il modello di business sul quale queste applicazioni si reggono è fondamentale. Sono quasi tutte gratuite e questo ci obbliga a chiederci in che modo guadagnano o, quantomeno, su cosa si reggono. È persino superfluo richiamare qui la frase che “Se sul web qualcosa è gratis, tu sei il prodotto…”. L’asset intangibile che sta dietro al business potrebbero essere i dati, i nostri dati, quelli che Tim Berners-Lee (l’inventore del World Wide Web) ha definito efficacemente “il petrolio del terzo millennio”.

3. i dati che vengono trasmessi e ricevuti: sarebbe opportuno definire una tassonomia dei dati, in altre parole classificare il dato in funzione della sua importanza (pubblico, interno, riservato, ecc.). Potrebbe sembrare una misura ridondante (e lo è, se usiamo i messaggi solo per inviare le foto di una cena tra amici…), ma diventa importante nel momento in cui nei nostri messaggi viaggiano informazioni importanti, aziendali e riservate. In un certo senso, le metodologie che applichiamo nella privacy dovrebbero essere considerate anche quando abbiamo in mano lo smartphone.

Chat sicura: caratteristiche delle app di messaggistica istantanea

Sono fondamentalmente tre la caratteristiche di sicurezza da prendere in considerazione nella scelta dell’app di IM, soprattutto se questa verrà poi utilizzata in ambito aziendale e per lo scambio di materiale e informazioni riservate.

La crittografia end-to-end (E2E)

Oggi tutte le applicazioni di IM implementano nativamente la crittografia end-to-end (E2E), con la parziale eccezione di Telegram e di Facebook Messenger.

La crittografia end-to-end (letteralmente “da un estremo all’altro”) è un sistema di comunicazione cifrata dove solo il mittente ed il destinatario possono leggere i messaggi. Serve ad impedire l’attacco “man in the middle” (MITM). Questi attacchi puntano a rubare dati e informazioni personali, intercettando “in the middle” la comunicazione tra due utenti.

Acquisendo il traffico di rete di una comunicazione crittografata si ricavano invece pacchetti di dati incomprensibili ed inutilizzabili, dato che le chiavi con cui la comunicazione viene cifrata non sono conosciute dall’attaccante.

La crittografia end-to-end si basa sulla crittografia asimmetrica (detta “a chiave pubblica”), realizzata mediante la generazione di una coppia di chiavi, una “privata” e una “pubblica” che sono differenti, ma legate tra loro da un algoritmo.

Il doppio paio di chiavi crittografiche (ognuno dei due utenti che si scambia il messaggio avrà due chiavi) è necessario per cifrare e decifrare i messaggi in partenza ed in arrivo. Ogni utente utilizzerà una propria chiave pubblica e una propria chiave privata, La chiave privata è destinata a rimanere sul dispositivo di ciascuno dei due “endpoint” e servirà a decrittare i messaggi in arrivo; la chiave pubblica, invece, sarà condivisa con l’interlocutore e verrà utilizzata per crittografare i messaggi in uscita.

Grazie a questa tecnica, le comunicazioni, pur viaggiando attraverso canali “aperti” e potenzialmente intercettabili (come è Internet), saranno leggibili solo dal dispositivo che ospita la chiave privata legata alla chiave pubblica utilizzata nel processo di crittografia.

Quindi se una comunicazione è crittografata end-to-end è sicura? Tecnicamente lo è, ma questo non significa che qualcuno non possa riuscire a leggerla. Il punto debole può essere il dispositivo stesso e soprattutto l’uso che ne fa l’utente (e come sempre torniamo a porre l’attenzione sul “fattore umano”).

In altre parole: se una delle due estremità (endpoint) viene compromessa, se il nostro telefono viene rubato o violato (per esempio con uno spyware, o captatore informatico) o fisicamente confiscato dalla polizia e sbloccato, la crittografia non serve più a nulla.

I Metadati

Esiste nelle applicazioni di messaggistica un’altra criticità, poco nota e grandemente sottovalutata: sono i Metadati. Abbiamo spiegato che il messaggio non è leggibile grazie alla crittografia E2E, ma in realtà, assieme al messaggio, vengono trasmesse molte altre informazioni, definite appunto “metadati”.

I metadati vengono registrati anche quando scattiamo una foto con lo smartphone: sono il luogo ed ora dello scatto, nome del dispositivo utilizzato, l’apertura del diaframma, il tempo di esposizione e molte altre informazioni.

Si tratta quindi di una “fingerprint” (impronta digitale elettronica) che aggiunge automaticamente dati identificativi al messaggio. Tali dati possono fornire ad un soggetto terzo informazioni importanti. Questo permette di profilarci e di costruire il nostro grafo sociale (“Social Graph”).

Conservazione dei dati e backup delle chat

I messaggi ed i relativi metadati risiedono nel nostro smartphone, ma non solo. In alcuni casi potrebbero essere conservati anche sui server del fornitore dell’applicazione. Lo stesso accade per i tradizionali Sms che rimangono nelle mani (e nei server) delle società telefoniche che ci forniscono il servizio.

La scelta di salvare i messaggi ed i relativi backup sui server del provider e/o in cloud genera molte implicazioni che impattano sulla funzionalità della chat, ma anche sul suo livello di privacy e sicurezza.

I vantaggi sono:

• maggiore interoperabilità tra dispositivi diversi;
• possibilità di recupero dei messaggi;
• trasferimento delle chat verso un nuovo dispositivo;

mentre gli svantaggi sono:

• i dati ed i backup potrebbero non essere crittografati, quindi, accessibili per un attaccante o resi disponibili su richiesta di autorità governative o polizie;
• anche se crittografati, le chiavi crittografiche sono in possesso dei provider del servizio che potrebbero essere obbligati a consegnarle. Ricordiamo che dall’ottobre 2001 negli Stati Uniti è in vigore lo USA Patriot Act, che ha molto ampliato i poteri delle agenzie investigative statunitensi, quali CIA, FBI e NSA ed ha conseguentemente ridotto la privacy degli utenti. In forza di questa legge un provider americano (per esempio Facebook/WhatsApp) sarebbe obbligato a fornire l’accesso ai dati che gli venissero richiesti.

 

Fonte: Cybersecurity360

Ginp, il trojan Android che finge di segnalare i contagiati da Coronavirus

Si chiama Ginp il mobile banking trojan che, in cambio di una piccola somma di denaro, promette di visualizzare la posizione delle persone risultate positive al coronavirus. In realtà il suo scopo è, ovviamente, quello di rubare i dati delle carte di credito delle vittime.

Tra le numerose campagne di attacco che sfruttano l’emergenza coronavirus per colpire le ignare vittime giustamente desiderose di ottenere informazioni aggiornate sulla diffusione del Covid-19, ce n’è una particolarmente insidiosa che sta colpendo gli utenti Android mediante il mobile banking trojan Ginp.

Come funziona il trojan Ginp

“Ginp si installa via link che arriva via whatsapp, sms e mail anche da mittenti presi dalla rubrica della vittima”, spiega Paolo dal Checco, noto informatico forense. “Il link porta a un’app da installare, che contiene il trojan”.

Dopo aver compromesso lo smartphone della vittima, il trojan Ginp entra subito in azione ricevendo dal server C2 controllato dai criminal hacker un comando che gli consente di avviare il Coronavirus finder, una finta applicazione Web che carica sul dispositivo una pagina in cui, in cambio di un piccolo contributo economico di 0,75 euro, promette di mostrare la posizione delle persone risultate positive al coronavirus e che si trovano nelle vicinanze.

Per convincere la vittima ad utilizzare questo particolare “servizio”, Ginp usa un’esca particolarmente subdola: la pagina Coronavirus finder, infatti, afferma che 12 persone infettate dal Covid-19 si trovano nelle sue vicinanze e promette di mostrare la loro esatta posizione.

Se la vittima accetta di visualizzare queste informazioni, viene reindirizzata ad una nuova pagina Web sulla quale può effettuare il pagamento. Una volta inseriti i dati della carta di credito, però, la vittima non riceve né l’addebito della somma di denaro richiesta né le informazioni relative alle persone “infette”.

Lo scopo dei criminali informatici è infatti esclusivamente quello di entrare in possesso delle credenziali della carta di credito dell’utente nel momento in cui vengono inserite per effettuare il pagamento.

Secondo i ricercatori Kaspersky che hanno individuato la nuova campagna malevola, per realizzare l’operazione “Coronavirus finder” i criminal hacker avrebbero preso spunto dall’applicazione “Shield” recentemente rilasciata dal Ministero della Salute israeliano che avvisa gli utenti qualora si fossero trovati in una località nello stesso momento di un’altra persona già identificata come vettore del Coronavirus.

Consente all’invio di comunicazioni promozionali inerenti i prodotti e i servizi di soggetti terzi rispetto ai Titolari con modalità di contatto automatizzate e tradizionali da parte dei terzi medesimi, a cui vengono comunicati i dati.

I dati sulla diffusione di Ginp mostrano che i principali obiettivi del mobile banking trojan sono stati finora gli utenti spagnoli, ma i ricercatori avvertono che questa operazione potrebbe espandersi rapidamente oltre il territorio iberico.

I consigli per difendersi

Al momento, il modo migliore per rendere inefficace la campagna malevola condotta con il trojan Ginp è quello di rimanere a casa. Questa misura preventiva, raccomandata anche dall’OMS, assicura infatti il rispetto della distanza di sicurezza dalle persone portatrici di Covid-19.

È importante, inoltre, fidarsi esclusivamente dei dati e delle eventuali applicazioni ufficiali rilasciate dai governi dei Paesi colpiti dalla pandemia, gli unici ad avere le informazioni esatte sulla diffusione del coronavirus.

“I criminali informatici hanno cercato per mesi di approfittare della crisi generata dal coronavirus lanciando attacchi di phishing e creando malware a tema. Questa è la prima volta, però, che vediamo un trojan bancario tentare di capitalizzare sulla pandemia. È una situazione allarmante, soprattutto perché Ginp è un trojan molto efficace. Per questo motivo incoraggiamo gli utenti di Android a prestare molta attenzione e a guardare con scetticismo a pop-up, pagine web sconosciute e messaggi sul coronavirus”, ha affermato Alexander Eremin, Security Expert di Kaspersky.

Per ridurre i rischi legati al trojan Ginp o ad altri mobile banking trojan, gli esperti di Kaspersky suggeriscono queste semplici regole di sicurezza informatica:
• scaricare solo le applicazioni presenti sugli store ufficiali di Android;
• non cliccare su link sospetti e non rivelare mai informazioni sensibili, come le password o le credenziali della carta di credito;
• installare sul proprio smartphone o sul tablet una soluzione di sicurezza affidabile che protegga da una ampia gamma di minacce, tra cui proprio i mobile banking trojan.

È utile sottolineare, infine, che il trojan Ginp colpisce esclusivamente i telefoni cellulari con sistema operativo Android e non gli iPhone con iOS di Apple.

 

Fonte: CyberSecurity360

Poste Italiane, come difendersi dalle truffe

Per Poste Italiane la protezione dei propri clienti ha da sempre la massima priorità. In questo periodo in cui potenziali frodatori cercano di mettere in atto tentativi di frode attraverso e-mail, SMS, chiamate e chat sfruttando il tema Coronavirus, abbiamo pensato per te alcuni consigli per evitare di diventare vittima inconsapevole.

Avvertenze generali

Quando ricevi una qualsiasi comunicazione tramite e-mail, controlla sempre accuratamente il mittente prima di aprire i file allegati (es: word, pdf, excel).
Non inserire o condividere mai, via e-mail o SMS, Password, OTP, PIN, dati delle carte, credenziali di accesso all’home banking o altri codici personali. Poste Italiane non chiedono mai di fornire telefonicamente e attraverso e-mail, SMS e messaggi sui social questo tipo di informazioni.

Come puoi riconoscerci?

Le comunicazioni di Poste Italiane sono riconoscibili dall’indirizzo della pagina web che visiti, che deve essere poste.it (es. poste.it/iorestoacasa), e dal lucchetto in alto a sinistra della barra di navigazione. Se ti capita di ricevere comunicazioni sospette, puoi segnalarle a Poste Italiane all’indirizzo antiphishing@posteitaliane.it e poi cestinarle.
Attraverso i Social i canali ufficiali sono riconoscibili grazie alla spunta blu presente accanto al nome Poste Italiane.

Per la tua tutela

Potresti essere contattato per conto di Poste Italiane dai centri di monitoraggio (con sedi in Italia e in Paesi dell’Unione Europea) telefonicamente o via SMS per verificare se alcune operazioni sulla tua carta di pagamento siano state da te effettivamente autorizzate. Anche in tal caso non ti verranno richieste mai Password, OTP, PIN, dati delle carte, credenziali di accesso all’home banking o altri codici personali.
Usa le App di Poste Italiane, sono il modo più sicuro per autorizzare i tuoi pagamenti online e ricevere le notifiche push in tempo reale sulle operazioni di pagamento effettuate.

Durante le prossime settimane ti aiuteremo a capire come rendere più semplice la tua quotidianità, utilizzando le nostre App e il sito poste.it, ad esempio, per pagare i bollettini, ricaricare la tua carta Postepay, fare acquisti online in totale sicurezza e molto altro.

 

Fonte: PosteItaliane