Articoli

L’sms Amazon truffa che promette un regalo e ruba soldi

Torna la truffa via sms targata Amazon, un tentativo di phishing avvistato per la prima volta nel 2018 e di nuovo oggetto di una campagna massiva in queste settimane. Adesso anche al ritorno dalle vacanze, a settembre, con un messaggio che propone un (finto) regalo di un abbonamento Amazon Prime gratuito.

L’sms truffa “Amazon.it”: regalo o pacco in attesa

L’ultima versione, diversa dalle precedenti, si presenta così: “Ciao [nome utente], abbiamo cercato di contattarti per il tuo regalo. Per richiederlo segui questo link [segue link truffa]”.
La forza della truffa è che arriva via sms – canale che tendiamo a considerare ancora più sicuro e personale delle e-mail – e che conosce il nostro nome associato al nostro numero di cellulare (non è un invio a pioggia a numerazioni random).

In altre versioni l’sms specifica che il regalo è uno smartphone iPhone o altro e che è il frutto di un sorteggio. In alcune versioni diceva di cliccare il link per sbloccare un “pacco in attesa”.
In particolare a settembre la truffa sembra specializzarsi della proposta di un regalo di un abbonamento Amazon Prime. Per il resto, stesse caratteristiche.

Il finto regalo del finto sms Amazon

Il link apre una pagina che ci annuncia di aver vinto un iPhone a un sorteggio; ci chiede dati personali per farcelo arrivare a casa, numero di carta di credito per pagare la sola spedizione (1-3 euro).
In alcune versioni, la truffa chiede i nostri dati di accesso Amazon. Tutte cose che ovviamente finiscono nelle mani dei criminali e che sono utilizzabili per i classici furti di identità o bancari.

“I criminali hanno i nostri dati grazie a un data breach, come quello famoso subito da LinkedIn nel 2012. Ma non c’è servizio internet che non abbia subito una violazione; e può essere anche un hotel, come nel caso Marriott, o una compagnia aerea, come in quello recente di EasyJet“, spiega Alessio Pennasilico, di P4I e responsabile scientifico di Cybersecurity360.it.

“I dati, una volta sottratti da un sito o un servizio Web, finiscono sul mercato nero e possono essere comprati e usati da altri cyber criminali per realizzare campagne malevoli mirate”, continua. Con il nostro nome e numero.

Come difendersi?

“Anche in questo caso si denota una spiccata capacità dei cyber criminali nell’identificare le vulnerabilità a livello di fattore umano, così da massimizzare l’efficacia della campagna malevola e di conseguenza i ricavi”, commenta Alessio Pennasilico, di P4i e responsabile scientifico di Cybersecurity360.it.

“Non solo utilizzano dati personali corretti (es. il nome) ma scelgono come vettore l’sms. L’attenzione che la possibile vittima avrebbe prestato allo stesso messaggio via mail sarebbe stata enormemente maggiore; attribuendo invece, erroneamente, maggiore affidabilità ad altri canali (telefono, sms, chat e programmi di messaggistica istantanea) la soglia di attenzione è drasticamente più bassa e la trasformazione di possibili vittime in vittime molto più efficace”.

“Non si trascuri, inoltre, che un link aperto da un sms viene quasi certamente visualizzato da uno smartphone, abbassando di molto, quindi, la possibilità per la vittima di rendersi conto di eventuali anomalie presenti sul sito web, proprio a causa delle semplificazioni introdotte nella visualizzazione da parte di browser mobile”, aggiunge.

Come fare? “Le nostre organizzazioni, ma ogni utilizzatore in generale, dovrebbe sviluppare una sensibilità non solo verso i tentativi di truffa per riconoscerli (io rabbrividisco ogni volta che leggo “regalo”) ma soprattutto verso il rischio intrinseco di tutti i vettori che i criminali utilizzano per contattarci. Dobbiamo smettere di fidarci ciecamente di ogni canale o mittente, anche se noto, e sviluppare un senso critico orizzontale rispetto agli strumenti che utilizziamo”.

 

Fonte: CyberSecurity360

Braccialetti, maschere e visori: la tecnologia che aiuta le scuole ad affrontare il covid-19

Braccialetti o ciondoli che vibrano se gli alunni stanno troppo vicini tra loro. Semafori che bloccano l’accesso a luoghi ambiti da molti, come il bar, se si è raggiunta la capienza massima. Penne che spruzzano vapore igienizzante. La riapertura delle scuole ha già scatenato la fantasia tecnologica di aziende innovative, spesso startup. Tutte alla ricerca di soluzioni per rendere più sostenibile la sfida che attende docenti, studenti e le loro famiglie.
Alcune scuole hanno cominciato a testare i prodotti, ma sarà certo l’autunno il banco di prova per una loro eventuale adozione di massa. Senza dimenticare l’app Immuni, che potrebbe giocare un nuovo importante ruolo nelle prossime settimane.

Braccialetti e ciondoli che vibrano

L’ultimo arrivato è K-Y-D. Un bracciale bluetooth appena lanciato proprio per il pubblico delle scuole da Rethink Future, startup italiana. Una volta indossato, è in grado di segnalare la presenza di altri K-Y-D nelle immediate vicinanze. K-Y-D (acronimo di “Keep Your Distance”) vibra, si illumina ed emette un bip quando rileva altri dispositivi nel raggio di un metro. Questa tecnologia, come altre simili, cerca di rispondere alla domanda: bene i famosi banchi mobili per tenere le distanze in classe; ma come assicurarle nelle aree comuni, corridoi e (appunto) bar? Abbinato al braccialetto, la scuola può adottare anche una piattaforma web integrata che utilizza K-Y-D per monitorare ingressi e uscite degli studenti e le presenze in una determinata area. E così controllare il rispetto del divieto di assembramento. In questi giorni sono partite le prime sperimentazioni con un liceo classico e un’università, entrambi di Roma. Le scuole possono chiedere di personalizzare il bracciale con vari sensori (opzionali), come quello per rilevare la temperatura corporea. Il dispositivo è costì in grado di generare un alert se si supera la soglia impostata (37,5 gradi, tipicamente). Si noti che queste soluzioni indossabili, per le scuole, non prevedono uso di dati personali né tracciamento del singolo studente.
Simile il funzionamento del ciondolo bluetooth indossabile, creato dalla siciliana Volcanic School. Come spiegano i produttori, “al superamento della distanza di sicurezza il dispositivo può emettere segnali luminosi, sonori e vibrazioni, secondo le preferenze, in modo da avvisare chi lo indossa della prossimità ad un altro compagno. Allo stesso tempo anche l’altro studente viene avvisato indipendentemente”. La soluzione può essere abbinata a hot spot Wi-Fi per controllare il numero di persone che permangono in una certa area. Un’opzione, pensata più gli ospedali ma utilizzabile anche da grandi scuole e università, prevede un sensore che monitora la qualità dell’area. E che, in caso di problemi, manda un alert automatico per attivare impianti di sanificazione degli ambienti (ozonizzatori, purificatori al plasma, aspiratori eccetera).
Tra i pionieri, figura l’Istituto Luzzago, scuola paritaria di Brescia. Per garantire il distanziamento degli studenti quando non si trovano in classe ha già annunciato che fornirà un dispositivo a ciascuno dei suoi circa 350 allievi e al personale. Installerà anche un semaforo per limitare l’accesso al bar (luce rossa, ovviamente, quando si è raggiunta la capienza massima e quindi nessuno vi può più entrare). Luzzago utilizza i prodotti della ferrarese Fidelitas. Tutti i produttori di questi dispositivi sono partite a venderle in ambito business nei giorni del lockdown; per poi passare anche al mercato delle scuole in vista della loro riapertura. Un crescente numero di aziende, soprattutto fabbriche e magazzini, sta infatti cominciando a adottare i dispositivi indossabili di questo tipo. Tra gli altri, quelli prodotti da Engineering o dalla marchigiana Vesta.

Maschere e visiere

E se invece delle mascherine, che dovrebbero arrivare in massa nelle scuole, gli studenti e i docenti indossassero visiere? Sono più costose, ma anche più comode. E questo aspetto farà la differenza, soprattutto per i bambini. Ne sono convinti alcuni esperti, come Massimo Clementi, ordinario di Microbiologia e Virologia all’università Vita-Salute San Raffaele di Milano. Per lo stesso motivo ha scelto le visiere la scuola primaria di Kinugawa a Nikko, circa 100 chilometri a nord di Tokyo. Le consiglia a scuola anche uno studio di ricercatori americani, pubblicato sulla rivista scientifica Jama. Un po’ di ricerca italiana c’è anche sulle visiere. Nasce così Drop, che integra anche una mascherina, della ragusana Cappello Group. È realizzata anche grazie a fondi europei, che hanno permesso l’acquisto delle risorse tecnologiche necessarie a realizzare il prodotto, più sofisticato della tipica mascherina o di una comune visiera. È in materiale termoplastico, morbida, leggera e trasparente. Tutte le sue parti sono riutilizzabili all’infinito.
Ma anche le semplici mascherine diventano meno semplici quando vi si applica un po’ di ricerca e sviluppo. Italiana anche in questo caso. Cappello Group ha lanciato anche una mascherina fatta ad hoc per la scuola. In varie versioni. Drop Joy, disegnata per i volti dei bambini dai tre-quattro anni sino agli 11 anni. Drop Small e Drop Large sono realizzate per gli alunni di età superiore e per tutto il personale della scuola. Tutti i prodotti Drop sono dispositivi medici, in morbida gomma anallergica con filtri intercambiabili. Italiana è anche iMask, della siciliana iMask Srl. La mascherina è di materiale termoplastico, di tipo FFP3 (standard di protezione più elevato), e trasparente; può essere utilizzata all’infinito (bisogna solo cambiarne il filtro, una volta al mese) e costa 15 euro. Lo scopo di queste soluzioni riutilizzabili è anche evitare l’impatto ambientale delle mascherine usa e getta.

Penna igienizzante

A corredo dei prodotti utilizzabili a scuola, stanno apparendo penne igienizzanti, di varie marche. Oltre a scrivere, possono spruzzare nell’ambiente e sulle mani un vapore disinfettante.

Immuni

Infine, per quanto la si tenda a sottovalutare, anche l’app Immuni può essere uno strumento utile a bloccare focolai covid-19 che possono nascere nelle scuole. È il parere ufficiale del Comitato tecnico scientifico istituito dal Governo per affrontare l’emergenza. “Il Cts – si legge in una nota inviata pochi giorni fa al ministero dell’Istruzione – ritiene che l’impiego congiunto di azioni di sistema, di monitoraggio clinico laboratoristico, dell’applicazione Immuni costituisca uno dei punti chiave della strategia complessiva di prevenzione e monitoraggio del mondo della scuola”.

 

Fonte: Repubblica Tecnologia

Da Immuni alla tedesca CovApp. La pagella di AlgorithmWatch stronca le app anti covid

L’efficacia sarebbe dubbia e a volte mancherebbe anche la trasparenza. Il nuovo rapporto di AlgorithmWatch, organizzazione no-profit con sede a Berlino, mette sotto accusa le app anti pandemia per il tracciamento dei contatti. O meglio, sottolinea come l’uso dell’automazione nei processi decisionali durante l’emergenza sanitaria avrebbe prodotto risultati discutibili.

“La nostra è un’analisi che cerca di restituire un quadro di massima dell’impiego di processi automatici per affrontare il covid, iniziando dalle app per il tracciamento della prossimità”, spiega Fabio Chiusi, uno dei firmatari della ricerca che copre sedici Paesi dell’area europea. Dalla Svizzera alla Norvegia, dalla Spagna alla Grecia fino all’Italia, per AlgorithmWatch gli strumenti tecnologici messi in campo sono stati realizzati con troppa fretta senza pensare ai rischi che comporterebbero.

Del resto, la stessa no-profit tedesca nasce dalla volontà di “valutare e far luce sui processi decisionali algoritmici che hanno una rilevanza sociale”, ovvero su tutti quei sistemi digitali che vengono impiegati per prevedere o indirizzare l’azione umana o ancora che possono prendere decisioni automaticamente. Non si guarda solo alle forme di intelligenza artificiale usate in ambito pubblico, ma anche alle semplici raccolte dati senza l’intervento umano. In inglese viene chiamato “automated decision-making” (Adm) e la paura di AlgorithmWatch è che si possa scivolare in un baratro alla 1984, il romanzo di George Orwell, se non si fa attenzione.

L’Europa però nella sua quasi totalità, se escludiamo casi come la Polonia e l’Ungheria, questo rischio non lo ha corso. Le linee guida della Commissione sulle app per il tracciamento, messe a punto a partire dell’8 aprile, hanno posto subito la questione del rispetto della privacy, della volontarietà, della raccolta dati decentralizzata, degli standard da adottare in modo che le app dei diversi Paesi fossero compatibili fra loro. “La paura iniziale che fossero il cavallo di troia per far passare il modello cinese di un controllo sociale basato sugli algoritmi si è rivelata infondata”, conferma Chiusi. “Ma questo non vuole dire che siano soluzioni che hanno funzionato”.

In realtà per funzionare davvero queste app avrebbero dovuto esser istallate da almeno metà della popolazione e questo non è avvenuto da nessuna parte anche se per motivi diversi. In Inghilterra, Liechtenstein e Norvegia, le cugine di Immuni sono state abbandonate perché sviluppate male o per l’essersi dimostrate troppo invasive. In Italia siamo ancora a cinque milioni di download, che significa il 13 per cento degli italiani che la possono istallare. La situazione è migliore in Germania dove CovApp è stata scaricata da un quarto della popolazione, che però è ancora poco. La francese Stop Covid invece non ha superato i due milioni di utenti. In Belgio useranno il modello tedesco e la app dovrebbe vedere la luce a fine settembre. In Estonia potrebbe arrivare prima, così come in Olanda.

Più che il fallimento tecnologico, almeno allo stato attuale, il quadro che emerge dalla ricerca è una conferma da un lato della poca fiducia nelle istituzioni che ha generato un tasso elevato di diffidenza, dall’altro il miraggio di avere un’app volontaria istallata su più della metà degli smartphone in ogni Paese. Obbiettivo davvero difficile da raggiungere.

Per AlgorithmWatch importa però il quadro di fondo: siamo in una società nella quale si adotterebbero con troppa superficialità strumenti digitali mentre alla fine il contenimento della pandemia è stato fatto dalle tradizionali strutture sanitarie e dall’adozione del distanziamento sociale e dell’uso della mascherina. Vivremmo in pratica in quello che Evgeny Morozov, sociologo dei nuovi media, chiama “tecno soluzionismo” fin dal 2014. Con l’aggravate di una classe politica che di digitale spesso sa poco e quindi fraintende spesso pericoli e potenzialità. Tornando alle app per il tracciamento dei contatti, un filosofo come Luciano Floridi ricordava di recente che siamo solo al primo passo in una pandemia che sembra essere destinata a durare. E’ una dei tanti strumenti che possono aiutare a contenere la pandemia ed è altrettanto ovvio che per arrivare alla soluzione migliore si compiano degli errori.

 

Fonte: Repubblica Tecnologia

Cancellazione e distruzione sicura dei dati

Vademecum per capire come procedere alla cancellazione e distruzione sicura e in modo adeguato dei dati, alla luce del GDPR che contempla questa possibilità sia per le richieste degli interessati sia per la “scadenza” dei termini di conservazione dei dati stessi

Non si può spaccare il computer. La cancellazione e la distruzione sicura dei dati vanno approcciate con le giuste tecniche, per garantire la compliance alle regole e fare in modo che risulti efficace. Importante, quindi, dotarsi degli strumenti giusti, oltre a organizzare un sistema di governance adeguato.

Normativa di riferimento

Innanzitutto, va sottolineato che il problema della cancellazione e distruzione sicura dei dati riguarda diversi ambiti disciplinari in rapporto alla tipologia di informazione. Questo aspetto è soggetto alla disciplina del GDPR, che all’articolo 17 prevede che l’interessato possa chiedere al titolare del trattamento dati la cancellazione. Di conseguenza, il titolare (salvo particolari casi) deve provvedere a soddisfare tale richiesta.

In primis, è bene ricordare che i dati personali sono soggetti “a scadenza”, infatti, sulla base dell’art. 13, comma 2, lettera a) del Regolamento UE 2016/67, ogni titolare deve indicare un periodo di conservazione degli stessi indicandolo nell’informativa che deve rendere nota agli interessati prima di iniziare il trattamento.

Doveroso citare anche il principio di minimizzazione, in base al quale ogni titolare è tenuto a trattare solamente i dati di cui ha bisogno in maniera limitata (oltre che adeguata e pertinente), vale a dire, solamente per soddisfare la finalità del trattamento previsto.

L’ambito sicurezza

Il problema della cancellazione è altresì strettamente connesso, in un più ampio spettro alla sicurezza delle informazioni, si pensi per esempio alle tempistiche di conservazione e di cancellazione, ai tempi di disponibilità di dati in backup.

Intervengono, infine, anche considerazioni che riguardano la cybersecurity. Un dato, non solo personale, è comunque prezioso per i malintenzionati che intendono sfruttarne la potenzialità per carpire informazioni riguardanti l’azienda: credenziali di accesso ma non solo: anche segreti industriali e tutte quelle informazioni che potrebbero facilitarli nell’ingresso indebito ad altre organizzazioni collegate o concatenate al contesto aziendale facendo dei lateral movement allargati estesi oltre i perimetri dell’organizzazione.

La necessità di una governance centralizzata

Generalmente le organizzazioni hanno mediamente, al loro interno, due diversi ambienti per la raccolta e conservazione dei dati: uno pubblico (intranet, e documenti in condivisione su cartelle pubbliche) e uno privato dove il singolo dipendente può allocare, parcheggiare o conservare i dati. Così anche per gli account aziendali tuttavia, mentre su account di gruppo l’azienda ha un certo controllo, nulla può (o quasi) quando i dati sono aggregati e conservati in un account personale o spazio privato di un dipendente.

Il controllo centralizzato dei dati risulta quindi fondamentale. In quest’ottica, il settore IT dovrebbe regolarmente monitorare quei file o cartelle allocate in spazi comuni che non vengono movimentati da anni e invitare i gestori al loro esame e successiva eventuale cancellazione come pure favorire la cultura della minimizzazione del dato attraverso una formazione allargata a tutti i collaboratori.

In assenza di un’orchestrazione di processi e procedure e in assenza di policy adeguate le informazioni che può generare un utente aziendale potrebbero “proliferare” in tempi brevissimi: si pensi al dipendente che potrebbe salvare un dato su una cartella personale, su un supporto esterno, inviarlo a terze parti o conservarlo in forma di allegato nel proprio account di posta personale.

Il risultato è che il dato considerato “cancellato” di fatto viene solo parzialmente eliminato in assenza di un monitoraggio nelle varie diramazioni e percorsi che ha intrapreso nel suo ciclo di vita.
Ad accentuare il problema della governance dei dati vi è l’ambiente cloud considerando anche che spesso l’azienda non detiene un controllo diretto, ma si avvale di spazi di terze parti, è infatti possibile il caso in cui, anche una volta distrutto dall’ambiente cloud, il dato continua a permanere, magari su copie di backup di cui l’azienda non ha chiara visione e consapevolezza.

Il problema della cancellazione/distruzione del dato è stato accentuato ed aggravato nella fase di lockdown e, in alcuni contesti, ancor ora, con il lavoro in modalità smart working in quanto i dati sono sostati sui PC e device dei dipendenti. Molte le aziende che, a causa della Covid-19 hanno permesso ai loro dipendenti di utilizzare i propri dispositivi personali, spesso privi di funzionalità crittografiche o di software aggiuntivi in grado di garantire sia la memorizzazione sicura sia la successiva cancellazione. Il titolare detiene comunque la responsabilità dai dati trattati che non devono essere acquisiti da malintenzionati o comunque da estranei.

Le tecniche per la cancellazione efficace

Nella mentalità comune dell’utente medio e in assenza di una cyber cultura, i dati, una volta svuotato il cestino, vengono considerati cancellati in maniera indelebile: niente di più errato, a volte possono essere ripristinati, in alcuni casi, persino dopo una formattazione. Se le parti dell’hard disk non sono state sovrascritte, rimangono presenti nei device lasciando tracce.

Non è infrequente il caso in cui anche il settore IT non presti la dovuta attenzione quando assegna un device aziendale ad altro utente o quando sostituisce un drive non più funzionante. Per cancellare completamente un dato occorre agire anche sulle memorie, in particolare, sulla memoria ROM implementando ad una sovrascrittura per evitare che i dati cancellati che finiscono in un’area di memoria non più visibile all’utente possano essere ripristinati. Esistono numerose tecniche di cancellazione sicura.

Per i supporti CD e DVD, nella maggior parte dei casi, a livello tecnico basta una distruzione fisica tramite distruggi documenti simili a quelli idonei a distruggere i documenti cartacei.

Per quanto riguarda i device, esistono numerosi software di cifratura automatica che intervengono su volumi o partizioni o file system con successiva possibilità di cancellazione sicura. Sono numerosi i software di data shredding attualmente in commercio.

Alcuni eseguono il disk cleaner: tramite sanificazione dell’hard disk sono in grado di liberare i settori del drive che contengono ancora quei dati invisibile ma ancora presenti. Vi sono poi i software di file shredding in grado di riscrivere sulla posizione di memoria precedentemente utilizzata da file esistenti, dei byte random. Maggiori saranno i passaggi di sovrascrittura, minori le possibilità che i dati possano essere ripristinati.

Conclusione

In conclusione, dopo aver toccato alcune tematiche in merito alla distruzione/cancellazione ed aver fatto cenno all’e-waste dei dispositivi elettrici/elettronici riporto il focus sulla questione a mio parere, più importante: la centralità dell’organizzazione aziendale. Senza una struttura organizzativa adeguata a poco serviranno i software e le procedure di cancellazione/rimozione se non si sa esattamente dove sono allocati i dati.

Ogni organizzazione dovrà dedicare risorse sempre maggiori, all’inevitabile aumentare della mole dei dati di ogni azienda digitale, dedicate alla loro gestione e al loro stoccaggio. Essenziale è avere delle policy, processi e procedure chiaramente definiti che permettano di avere una roadmap dei dati: solo così le aziende potranno gestire l’articolata e complessa filiera della gestione delle informazioni.

La cultura in tema data protection, che non deve tralasciare neppure la gestione dei documenti cartacei la cui distruzione risulta meno critica, ma soprattutto, dev’essere sempre più integrata nei comportamenti individuali e nelle prassi di gestione del dato.

Solamente un mix di sistemi sociali e sistemi tecnici, in accordo con le normative in materia, consentirà la progettazione e l’ottimizzazione congiunta della gestione del ciclo di vita dei dati. In assenza di questa “armonizzazione congiunta” trattare i dati significa immettere un’informazione in un labirinto dove sarà difficile, a volte impossibile, capirne il percorso e effettuare un trattamento logico.

 

Fonte: CyberSecurity360

Il trattamento dei dati e il rispetto della privacy ai tempi del Coronavirus

Il lungo lockdown ha messo in difficoltà tantissime imprese, le quali trovano adesso a ripartire in uno scenario decisamente differente. L’obiettivo è quello di far ripartire l’economia, e allo stesso tempo continuare a contenere il contagio da Covid-19.

Per questo motivo le imprese sono tenute a mantenere per quanto possibile il distanziamento sociale, ad aumentare al massimo le misure per la sanificazione degli ambienti, nonché a controllare i propri dipendenti, fornitori e clienti.

Proprio la necessità di andare a trattare un’ampia mole di dati riservati che in precedenza non venivano gestiti dalle imprese, rimette la privacy al centro dell’attenzione in questa ripartenza: durante la Fase due, infatti, il tema del trattamento dei dati sta tornando decisamente centrale, e le aziende sono chiamate ad adottare i giusti strumenti per la gestione della privacy, nel pieno rispetto delle normative vigenti.

Privacy e Coronavirus: i nuovi aspetti per le aziende

Il rispetto della privacy, per via dell’entrata in vigore del GDPR, ovvero del Regolamento europeo in materia di trattamento dei dati personali e di privacy, è stato uno tra i temi centrali negli ultimi anni, viste soprattutto le sanzioni previste per le aziende che non si adeguano alla normativa (va ricordato infatti che si parla di sanzioni che possono arrivare fino al 4% del fatturato).

Nemmeno il Coronavirus manda in quarantena la privacy, anzi: la corretta gestione dei dati sensibili diventa ancora più importante durante l’emergenza Covid-19, poiché cresce il numero di informazioni personali che l’azienda è chiamata esaminare e conservare. Da una parte ci sono infatti tutti i dati personali relativi al lavoro agile, metodo di lavoro adottato in massa dalle imprese italiane a partire dal lockdown; dall’altra ci sono tutti i dati personali relativi al contenimento diretto del virus, dalla misurazione della temperatura dei dipendenti all’accesso in poi.

Va sottolineato che la raccolta di informazioni sullo stato di salute e sui movimenti dei dipendenti, dei fornitori e degli eventuali visitatori è di fatto classificata come trattamento di dati personali, e come tale deve essere svolta seguendo il Regolamento UE 2016/79 e le altre normative in materia di protezione dei dati personali.

Tutti i dati raccolti durante la gestione della sicurezza, dalle rilevazioni della temperatura alle eventuali comunicazioni di situazioni di pericolo da parte dei dipendenti (che dovrebbero essere effettuate attraverso canali di comunicazione appositamente istituiti dall’azienda), devono essere conservati solo per il tempo necessario, e quindi cancellati nel momento in cui non più utili per la gestione dell’emergenza sanitaria.

Privacy e Covid-19: il trattamento dei dati sanitari dei dipendenti

Vale la pena concentrarsi velocemente sui dati che più degli altri risultano “nuovi” per l’azienda, ovvero quello relativi alle condizioni di salute dei propri dipendenti al momento dell’accesso in sede.

Nell’attuamento dei protocolli sanitari, infatti, le aziende possono non solo chiedere informazioni ai dipendenti circa i loro spostamenti e il loro stato di salute, ma possono fare di più, ovvero rilevare la loro temperature corporea per ridurre al minimo le possibilità di permettere l’accesso a persone contagiate.

Questa possibilità si estende, oltre che ai dipendenti, anche a eventuali fornitori. Per fare tutto questo è necessario porre in essere delle precise attività di protezione dei dati seguendo il GDPR, rispettando quindi i principi di necessità, adeguatezza e pertinenza e minimizzazione dei dati, con la creazione di un’informativa specifica e con l’individuazione del personale autorizzato.

Sia la raccolta che il trattamento dei dati dovranno essere effettuati garantendo in ogni passo dignità e riservatezza ai soggetti coinvolti. E questi, va detto, sono solamente i principali aspetti da prendere in considerazione nell’applicare il GDPR all’emergenza Covid-19.

Il trattamento dei dati relativi allo smart working da una parte e la gestione della privacy in un contesto peculiare come quello del contenimento del Coronavirus dall’altra rendono indispensabile per le aziende poter contare su un supporto efficace per adempiere senza rischi al GDPR.

 

Fonte: AziendaDigitale

Lo spam ora ruba allegati per ingannarci meglio

C’è uno dei primissimi casi di botnet che manda mail spam con allegati rubati, per così fingere meglio la propria autenticità e per ingannare le vittime. Obiettivo, fare loro cliccare su un link nel corpo della mail e così fare installare il malware Emotet.

In sostanza “ci troviamo nella casella di posta mail con allegati rubati alle vittime del malware Emotet e che quindi danno al messaggio una maggiore credibilità”, spiega uno dei massimi esperti di computer forensics. “Non è il primo malware a usare questa tecnica, ma è interessante nell’ambito della costruzione di una botnet”, continua.

Emotet ruba allegati

Dal punto di vista tecnico, il “ruba allegati” è un nuovo modulo nel codice di Emotet ed è stato aggiunto il 13 giugno, secondo quanto riporta un ricercatore. In più, in questo periodo le botnet di Emotet sono tornate fortemente in vita e sparano mail anche a destinatari italiani, a quanto riportano diverse fonti.

Il payload

Emotet si conferma quindi un malware proteiforme; un framework in espansione che può portare con sé diversi malware. Quando è apparso per la prima volta, nel 2014, si occupava di furto di credenziali bancarie; adesso porta le vittime a scaricare malware tra cui Trickbot (che oltre a rubare dati, con predilezione per quelli bancari, a sua volta ha come payload il ransomware Ryuk) e il trojan QakBot. Emotet si è classificato al primo posto tra le 10 principali varietà di malware in circolazione, secondo la piattaforma Any.Run, negli ultimi sette giorni.

 

Fonte: CyberSecurity360

BadPower, la vulnerabilità nei caricabatteria che può distruggere lo smartphone

Un team di ricerca ha scoperto una vulnerabilità nei caricabatteria che supportano la tecnologia di ricarica rapida, denominandola BadPower: qualora venisse sfruttata con successo, potrebbe consentire ad un malintenzionato di distruggere lo smartphone della vittima designata, con evidenti danni qualora il dispositivo fosse utilizzato in ambito lavorativo e professionale.

La gravità di questa particolare vulnerabilità sta nel fatto che tali dispositivi utilizzati per la ricarica elettrica veloce di smartphone e tablet si stanno diffondendo sempre più negli ultimi anni, tanto che sul mercato si trovano disparati device digitali che trovano largo impiego anche nella ricarica elettrica di dispositivi più grandi come laptop e addirittura batterie auto.

È stato dimostrato come un utente malintenzionato, hackerando questi dispositivi di ricarica, potrebbe creare un sovraccarico di tensione durante la fase di alimentazione e, di conseguenza, causare la rottura dei circuiti interni provocando addirittura una combustione dello stesso dispositivo.

Processo di ricarica rapida e vulnerabilità BadPower

La ricarica rapida è un tipo di tecnologia di ricarica eseguita tramite interfaccia USB che può essere impiegata anche su dispositivi di vecchia generazione.

A differenza dei classici caricabatteria che possono emettere solo una determinata quantità di energia predeterminata e fissa, impiegando un certo tempo più o meno lungo per completare il processo di ricarica, la nuova tecnologia di ricarica rapida riesce a eseguire una carica completa solo in poche decine di minuti adattando, inoltre, la quantità di tensione da erogare in base ai dati di targa dell’apparecchio da mettere sotto carica.

Nella fattispecie, dopo aver collegato il cavo del caricabatteria al dispositivo da alimentare, l’operazione di ricarica rapida ha inizio solo dopo una fase di negoziazione che stabilisce i valori di corrente e di tensione da impostare per un corretto processo di ricarica.
I processi di negoziazione e di alimentazione vengono svolti grazie ad algoritmi implementati e memorizzati nei firmware dei chip di gestione integrati su questi caricabatteria.

È proprio in tali firmware, l’anello debole potenzialmente sfruttabile dagli attaccanti, che risiede la vulnerabilità BadPower. Risulta infatti possibile, in mancanza di un adeguato processo di verifica, crackare il firmware, in modo malevolo, modificando tutto il processo di negoziazione e di ricarica rapida per controllare il comportamento di alimentazione di un dispositivo target, sfruttando il canale dati previsto dall’architettura stessa.

Anatomia di un attacco BadPower

Riscrivendo il codice che controlla il comportamento dell’alimentazione, i ricercatori hanno dimostrato di esser riusciti, indipendentemente da quanto stabilito durante la fase di negoziazione, a forzare il dispositivo di ricarica rapida compromesso a emettere in uscita sempre una tensione di 20 Volt erogando una potenza massima di 100 Watt e generando sul device in ricarica un sovraccarico tale da innescare un elevato surriscaldamento, con tutte le conseguenze del caso.

Poiché il codice “BadPower” può essere iniettato sul caricabatteria a carica veloce sia attraverso dell’hardware dedicato sia tramite uno smartphone o un tablet preventivamente compromesso, mettendo così a rischio tutti i dispositivi connessi successivamente, i ricercatori hanno schematizzato due scenari di attacco tipo.

Il primo scenario di attacco viene avviato tramite hardware dedicato:
• l’attaccante utilizza un dispositivo ad hoc, camuffato da telefono cellulare, per connettersi alla porta di ricarica del caricabatteria e alterare il relativo firmware;
• quando il caricabatteria compromesso viene adoperato per caricare altri dispositivi, innescherà un sovraccarico distruttivo sul dispositivo alimentato.

Il secondo scenario di attacco, invece, può essere condotto tramite un normale terminale:
• l’attaccante compromette, tramite iniezione del codice malevolo, un cellulare, un notebook o altri dispositivi terminali di un utente rendendo lo stesso dispositivo un vettore di attacco;
• quando l’utente collega il dispositivo terminale compromesso al caricabatteria, il codice “BadPower” provvede a riscrivere il firmware interno del caricabatteria, trasformando il caricabatteria in una ulteriore fonte di attacco.

I risultati dei test eseguiti

Durante la propria ricerca, il team ha rilevato che sul mercato si possono trovare almeno 234 dispositivi di ricarica rapida. Testandone effettivamente 35, ha inoltre scoperto che 18 di questi sono risultati vulnerabili all’attacco BadPower, coinvolgendo esattamente 8 diversi brand.

Allo stesso tempo, i ricercatori hanno anche verificato che non tutti i produttori dei chip che vengono impiegati su tali caricabatteria consentono un aggiornamento ex novo del firmware a prodotto finito, rendendo, di fatto, la vulnerabilità BadPower irreversibile per questi prodotti.

Considerazioni finali

Poiché il prezzo di mercato dei prodotti per la ricarica rapida è abbastanza economico e la relativa domanda è in costante crescita, il numero di utenti potenzialmente interessati dal problema BadPower non è affatto trascurabile. Occorre, pertanto, trovare una soluzione quanto prima.

Poiché l’aggiornamento verso nuove release dei firmware come opzione risolutiva non è in generale praticabile per tutti i prodotti attualmente in commercio, il team di ricerca ritiene che per il futuro:

• i produttori di dispostivi di ricarica rapida, prevedano una rigorosa routine di verifica e severi controlli di sicurezza prima di adottare un firmware, anche per prevenire ulteriori vulnerabilità software;
• i produttori di apparecchiature di ricezione a carica non rapida alimentate via USB prevedano l’implementazione di circuiti di protezione da sovratensione adeguatamente dimensionati;
• i produttori di apparecchiature di ricezione a carica rapida prevedano sempre un controllo di tensione e corrente in ingresso anche dopo la negoziazione di alimentazione.

 

Fonte: CyberSecurity360

Guerra ibrida e app spia: il ritorno di Pegasus e l’uso degli spyware nel cyberspionaggio

Si torna a parlare di Pegasus, l’app spia che può consentire ad un attaccante di compromettere i dispositivi mobile sfruttando una vulnerabilità zero-day presente in WhatsApp: a quanto pare, infatti, tra aprile e maggio del 2019 il Presidente del Parlamento catalano, Roger Torrent, ha subìto un attacco a causa di una falla nella sicurezza di WhatsApp creata da una società israeliana creatrice, appunto, del famigerato malware di spionaggio.

Amnesty International ha avviato una causa legale contro la piattaforma social tra le più usate al mondo per altri numerosi attacchi contro attivisti, politici e giornalisti. In questo caso il ricorso è stato respinto dal tribunale di Tel Aviv, nonostante secondo il gruppo di ricerca canadese Citizen Lab e testate giornalistiche come The Guardian, El País e il Washington Post, Pegasus sia stato usato nel settembre 2019 per entrare nel telefono di Omar Radi, giornalista investigativo marocchino, in quello di Bezos, di Jamal Khashoggi, Omar Abdulaziz e molti altri, tra cui un giornalista del New York Times, Ben Hubbard, e Osama Bin Laden.

Nuovi scenari

Tutti questi avvenimenti confermano che la maggior parte degli attacchi, oggi, si concentra sulla necessaria connessione degli oggetti con l’uomo e sui servizi che i device mobile di fatto ci “invitano” ad utilizzare. D’altronde, siamo nel pieno dell’epoca della IoT o meglio della Internet del Tutto. Ormai, come più volte detto, questa situazione è definita dai più guerra ibrida o ancora guerra informatica aperta.

Oggi non si rende necessario un attacco di tipo fisico per generare danni, ma sono possibili anche quelli informatici su PC, dispositivi e, in generale, sulle infrastrutture critiche. Questo perché, toccando anche un solo servizio da remoto, si ha il cosiddetto effetto a cascata che, nella maggior parte dei casi, ha lo scopo da una parte di creare disagi e mettere in ginocchio interi Paesi, dall’altra di fare attività di spionaggio, carpendo segreti e relazioni per anticipare le mosse o per diffamare taluni personaggi o Nazioni intere.

In tal senso la vera novità è che, attraverso i device, si possono fare indagini giudiziarie e ricostruire movimenti dei malintenzionati.

Queste grandi opportunità si stanno spostando sui dispositivi anche in termini negativi. Le app e i servizi di messaggistica, pur avendo paradossalmente la tanto decantata crittografia end-to-end, risultano essere i più prossimi ad essere “bucati” e spiati. Anche qui con attacchi asimmetrici: ovvero, basandosi sull’etimologia stessa della parola (a-syn-métron), “incommensurabile”, “non reciprocamente misurabile”.

Un mix di strategie e strumenti che punta alla debolezza della società e delle persone da attaccare. Lo sviluppo di nuovi software collima, senza precedenti, con l’analisi dei dati e la capacità di mappare, controllare e spiare le conversazioni. Qui, oggi, la faccenda torna prepotentemente in casi reali e sociali e si fa più delicata e chirurgica.

Pegasus: come funziona lo spyware e come avviene l’attacco?

Come si evince dalle notizie che si rincorrono in questo periodo, al di là della natura geopolitica e di riflessione più ampia dello spionaggio dei servizi segreti, la diversa natura degli attori si mescola con più mezzi impiegati, costruendo un puzzle e dei target precisi da attaccare.

Questi strumenti sembrano nascere per l’antiterrorismo e per capire come prevenire eventi di natura malevola. Ma, nel caso di Pegasus, la labile differenza tra legittimità o meno di capire le mosse di chi potrebbe fare delle azioni negative e lo spionaggio vero e proprio (per anticipare le mosse di qualsiasi avversario) o la violenza e prevaricazione della privacy, è davvero minima.

L’attività di spionaggio a fini benevoli, in realtà, non è stata mai contraddetta dalla NSO israeliana. Questi ultimi hanno sempre sostenuto che il software spia è nato per le agenzie governative e le forze dell’ordine per gestire e garantire la pubblica sicurezza e la lotta al terrorismo. Ma dopo questo scandalo qualcosa ci fa pensare che non sia così.

L’attacco viene avviato mediante un’esca. Ovvero l’intrusione, nel caso degli smartphone, avviene tramite una videochiamata (prevalentemente su WhatsApp) in cui non serve che la vittima risponda. Lo spyware entra in azione e, attraverso la finta chiamata, come detto, sfruttando tecniche di phishing, di social engineering e la navigazione Web, riesce ad “entrare” nel dispositivo e può attivare l’ascolto delle conversazioni, vedere i contenuti archiviati nella memoria interna, scattare foto e altro. Lo scopo dello spyware è spiare i movimenti della vittima, fino all’uso “discreto” del microfono per una sua costante geolocalizzazione.

Questa attività si unisce con un’attività molto più sofisticata: la cosiddetta spia silente. Ovvero, mentre stiamo navigando su un qualsiasi sito dal browser o da motori di ricerca, prevalentemente su siti HTTP, questa spia ha la capacità di reindirizzare la nostra ricerca su siti ulteriori che a loro volta aprono degli indirizzi mirati, a cui si aggancia automaticamente il software: può trattarsi di servizi degli operatori e quindi inviti a scaricare app, suonerie e offerte oppure dell’infrastruttura su cui poggia il device fisico, ossia antenne, ponti e ripetitore di aggancio.

Gli “injection attacks”

Questi attacchi si chiamano injection attacks e, appunto, reindirizzano le preferenze dell’utente ad un proprio database. Attraverso lo StingRay (International Mobile Subscriber Identity), in pochi secondi il telefono aggancia un ripetitore fittizio in cui viene “poggiato” il software spia o un intercettatore ad alto rendimento.

Lo StingRay è un apparato sviluppato già nei primi anni 90 per attività di intelligence. L’FBI ne fa un uso costante per la prevenzione del crimine a livello internazionale. L’apparecchio, quindi, consente di captare e rubare il traffico dei device abbinando i dati delle conversazioni con quelli degli spostamenti. Non a caso molti esperti sostengono che siano presenti in aerei militari USA.

Tale apparato fa da antenna tra il cellulare della vittima e i ripetitori delle compagnie telefoniche, interrompe il traffico per pochi secondi per installare il software e da qui può risalire anche all’IMEI, International Mobile Equipment Identity.

Facendo ciò, oltre che ascoltare e leggere tutti i tipi di comunicazione, il dispositivo fa anche da “router”. Ovvero riesce a “sniffare” per un certo numero di metri e chilometri altri device che, anche se non connessi direttamente con quello della persona presa in considerazione, vengono intercettati, con conseguente acquisizione di dati.

Il software interno utilizzato per l’operazione è FishHawk e permette anche di far funzionare l’apparato come “jammer”, ovvero un disturbatore che può “copiare”, “distruggere” e “sopprimere” le comunicazione tra i ripetitori e i device collegati.

Conclusioni

La partita si svolge sempre più verso lo studio delle reti. Ovvero di intrusione che sfrutta vulnerabilità sconosciute (zero-day) e, senza che ci sia un reale intervento dell’utente, viene iniettato uno spyware sui telefoni Android e iOS di alcuni target.

In questo caso, il ruolo delle intelligence internazionali si sta modificando ulteriormente: sta diventando, oltre che una fucina per attivare una serie di controlli per evitare attacchi, anche un monitoraggio incrociato sui propri software e sui fornitori di questi servizi perché questi stessi software in un attimo possono diventare, se non utilizzati in maniera consona, boomerang sulle vite delle persone.

 

Fonte: CyberSecurity360

Attacco hacker all’ENAC, la lezione da imparare per tutte le aziende

Deve fare riflettere tutte le aziende l’attacco cyber ora subito dall’ENAC (l’Ente Nazionale per l’Aviazione Civile): questo tipo di minaccia è sempre più frequente e in grado di fare danni con grande rapidità.

Ciò che sappiamo è che dallo scorso 10 luglio il sito web dell’ENAC è irraggiungibile a causa di un attacco hacker ai sistemi informatici che non è stato ancora rivendicato. Risulterebbe inoltre bloccato il sistema di posta elettronica interno e sarebbero stati danneggiati alcuni archivi digitali.

Gli esperti di sicurezza dell’Ente sono già al lavoro per ripristinare al più presto la piena funzionalità dei sistemi. In una nota ufficiale, l’ENAC precisa che “sulla base di quanto emerso nel corso delle attività di ripristino avviate nell’immediato, non sono stati sottratti dati. I dati contenuti nel sistemi informatici dell’Ente sono, in ogni caso, salvaguardati in un sistema di backup”, puntualizzando di aver “tempestivamente messo in atto tutti gli interventi tecnici necessari a ripristinare, nel minor tempo possibile, la piena operatività dei sistemi e delle infrastrutture informatiche dell’ente”.

Nel frattempo, su quanto accaduto, è stata già presentata una denuncia alla Procura della Repubblica e al Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche in quanto l’ENAC, controllato dal ministero delle Infrastrutture e dei Trasporti, è considerato proprio un’infrastruttura critica del Paese.

I dettagli dell’attacco hacker

Da quanto trapelato finora, e leggendo tra le righe del comunicato ufficiale diramato a mezzo stampa, a colpire i sistemi informatici dell’ENAC sarebbe stato un ransomware di cui però non si hanno finora ulteriori dettagli ma che, probabilmente, non avrebbe creato danni irreparabili proprio grazie ai backup di dati configurato dal reparto IT dell’ente.

Il ransomware rappresenta oggi una minaccia ben nota, che si infiltra silenziosamente nelle aziende per poi bloccare i file in modo incredibilmente rapido. Nel 2017 il ransomware WannaCry ha spianato la strada agli aggressori che hanno scagliato attacchi così rapidi da non lasciare ai team di sicurezza nemmeno il tempo di reagire. È quello che pare sia successo anche ad ENAC: un attacco diffuso a una velocità straordinaria.

Si tratta dunque di un attacco che potrebbe avere risvolti importanti anche perché alcune delle comunicazioni gestite dall’ENAC sono classificate come segreti della Nato, l’Alleanza atlantica.
L’Ente, comunque, non conserva dati personali dei passeggeri che utilizzano il trasporto aereo, ma solo dati di traffico complessivi, relativi al numero dei passeggeri che transitano negli aeroporti nazionali. Nella nota rilasciata alla stampa si evidenzia, inoltre, “che il sistema di gestione della documentazione classificata NatoUEO gira su un sistema separato che non è in rete e non è stato oggetto di attacco. Non ci sono conseguenze nemmeno per l’operatività degli aeroporti che l’Ente ha in gestione diretta”.

“L’ENAC, in contatto con le autorità di riferimento per gli attacchi di pirateria informatica, sta continuando le azioni di ripristino per garantire al più presto la ripresa dello svolgimento del servizio pubblico reso attraverso le attività proprie dell’Ente e dei suoi dipendenti”, conclude la nota.

Quale lezione per tutte le aziende?

L’attacco hacker subito in queste ore dall’ENAC è l’occasione per fare il punto sui sistemi di protezione delle infrastrutture critiche del nostro Paese.

Nicola Vanin, Data Governance & Information Security Senior Manager, fa infatti notare che “l’aviazione è un’azienda che si basa essenzialmente su un’immensa infrastruttura IT che richiede competenze specialistiche per funzionare in modo efficace. Questo perché, oltre a utilizzare l’IT tradizionale, gli aeroporti in genere funzionano con la tecnologia operativa SCADA (Supervisory Control and Data Acquisition) per supportare i servizi chiave come l’illuminazione delle piste e le utility”.

Secondo l’analista, “tutto deve essere fatto per limitare la minaccia e rendere il più difficile possibile per gli aggressori la violazione dei sistemi di sicurezza dell’organizzazione. Non è possibile raggiungere questo obiettivo senza investire in team IT e in team OT che lavorano insieme sulla sicurezza informatica”.

Sarebbe un errore sottovalutare il potenziale impatto di questo attacco, continua ancora Mariana Pereira di Darktrace: “l’impossibilità di accedere ai dati di chi ha preso un volo aereo da o verso il Paese è grave, perché potrebbe ripercuotersi negativamente su importanti indagini di polizia e sulla protezione della salute, proprio nel momento in cui le principali compagnie di volo e l’industria del turismo stessa sta riprendendo le attività”.

Sempre più spesso i team di sicurezza vengono battuti sul tempo da attacchi automatizzati come questo, ed è per questo motivo che si rivolgono all’Intelligenza Artificiale per rispondere istantaneamente quando vengono colpiti.

“I nostri clienti che operano nel settore delle infrastrutture critiche di tutto il mondo vengono regolarmente allertati dai propri Governi su come questa tipologia di attacco sia sempre più utilizzata dagli aggressori, siano essi cybercriminali alla ricerca di un riscatto, Nation-state hackers o aspiranti hacktivisti, tutti molto consapevoli delle conseguenze enormi che possono scatenare”, spiega la Pereira.

“Nelle ultime settimane l’ENAC ha elaborato norme e regolamenti per la riapertura dei viaggi sicuri da e per l’Italia. I cybercriminali alla ricerca di facili guadagni sono coscienti del fatto che enti di questo tipo non possono permettersi l’inattività dei sistemi in un momento come questo. La sicurezza cyber non è un problema risolvibile, oggi però disponiamo di tecnologie all’avanguardia che consentono alle organizzazioni di non dover per forza fermare i sistemi quando, vittime di un attacco come questo, viene richiesto loro un riscatto”, conclude l’esperta.

 

Fonte: CyberSecurity360

Il malware Joker bypassa i controlli del Google Play Store per spiare e frodare le vittime

I criminal hacker sono riusciti di nuovo ad eludere i sistemi di sicurezza del Google Play Store e a diffondere una nuova variante del famigerato malware Joker (noto anche con il nome di Bread), utilizzato per commettere frodi informatiche ai danni delle ignare vittime.

Identificato per la prima volta nel 2017, Joker è un famigerato spyware con funzionalità di dialer che può accedere alle notifiche che arrivano sullo smartphone della vittima ed è in grado anche di leggere e inviare messaggi SMS in modo autonomo.

Secondo i ricercatori di Check Point Software Technologies che hanno individuato la nuova variante del malware, queste capacità vengono utilizzate da Joker per far attivare abbonamenti a servizi premium all’insaputa delle vittime.

La gravità della minaccia è confermata da Google stessa, che l’ha classificata come una delle più persistenti degli ultimi anni. Il malware, infatti, è in grado di sfruttare tecniche di cloaking (cioè tecniche di occultamento e offuscamento che usano particolari script per camuffare il reale contenuto di un sito Internet o, come nel caso del malware Joker, di un’app), per nascondersi nel tentativo di passare inosservato.

I dettagli tecnici della nuova variante di Joker

In particolare, per mascherare la vera natura del malware Joker, gli autori della minaccia informatica hanno fatto ricorso a una varietà di metodi: dalla crittografia usata per nascondere le stringhe malevoli ai motori di analisi, alle recensioni fasulle sul Play Store per attirare gli utenti a scaricare le app malevoli usate per diffondere il malware.

Nelle varianti più recenti di Joker, inoltre, i criminal hacker hanno sfruttato anche la tecnica cosiddetta del versioning che consiste nel caricare sul Play Store una versione “pulita” dell’app malevola per creare fiducia tra gli utenti e poi aggiungere furtivamente codice dannoso in una fase successiva tramite gli aggiornamenti dell’app stessa.

In quest’ultima variante, il malware Joker è in grado di nascondere codice dannoso all’interno del file AndroidManifest che accompagna tutte le app per il sistema operativo mobile di Google e che viene archiviato all’interno della directory principale di installazione.

Questo file fornisce al sistema Android informazioni essenziali sull’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo, il malware non aveva bisogno di accedere a un server di controllo e comando (C&C) per ricevere ulteriori istruzioni e per scaricare il payload necessario ad eseguire l’azione dannosa vera e propria.

I ricercatori Check Point hanno quindi individuato tre fasi operative nella catena infettiva del malware Joker:
1. creare prima il payload: Joker costruisce il suo payload in anticipo, inserendolo nel file “Android Manifest”;
2. saltare il caricamento del payload: durante il tempo di valutazione, Joker non tenta nemmeno di caricare il payload dannoso, il che rende molto più facile bypassare le protezioni di Google Play Store;
3. diffondere il malware: dopo il periodo di valutazione e dopo l’approvazione dell’app, la campagna malevola inizia a funzionare e il payload viene caricato sul dispositivo dell’ignara vittima.

Si tratta di una procedura semplice quanto sofisticata che evidenzia come i criminal hacker siano riusciti ad adattare il malware Joker per consentirgli di bypassare i controlli di sicurezza del Play Store che Google ha aggiornato nel tempo.

È quanto ci conferma anche Pierluigi Torriani, Security Engineering Manager, Italy di Check Point, che afferma: “abbiamo trovato Joker nascosto nel file “informazioni essenziali” che ogni applicazione Android deve avere. Le nostre ultime scoperte indicano che le protezioni di Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di upload di Joker su Google Play su base settimanale, tutti scaricati da utenti ignari”.

“Il malware Joker”, continua l’analista, “è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’è Joker e come può colpire la gente comune”.

Come difendersi da questa nuova minaccia

I ricercatori di sicurezza hanno ovviamente divulgato le scoperte in modo responsabile a Google, tanto che tutte le applicazioni malevoli segnalate (11 app, per l’esattezza) sono state rimosse dal Play Store lo scorso 30 aprile.

È molto probabile, però, che Joker torni nuovamente a colpire per cui è importante proteggersi adottando una soluzione di sicurezza per dispositivi mobile e seguendo alcune semplici regole di sicurezza informatica. In particolare, se sospettiamo di avere un’app infetta sul nostro dispositivo, dobbiamo: disinstallare immediatamente l’app presumibilmente infetta; controllare le fatture di smartphone e carta di credito per vedere se siamo stati registrati a eventuali abbonamenti e, se possibile, revocarli.

 

Fonte: CyberSecurity360