Articoli

Il phishing via SMS raddoppia sotto le feste: smartphone sotto attacco

Sugli smartphone raddoppiano gli attacchi di phishing in mobilità attraverso messaggi SMS, il cosiddetto smishing. La messaggistica mobile sembra arrivare da aziende conosciute come noti rivenditori, celebri marchi di e-commerce e corrieri per la consegna pacchi, ma in realtà si tratta di esche di cyber criminali che bombardano i dispositivi mobili di utenti inconsapevoli per rubare informazioni personali. L’obiettivo del cyber crime è come sempre il ritorno economico. Il phishing e lo spear phishing hanno avuto un ultimo anno con un incremento molto significativo. Secondo le statistiche di Google si registrano oltre 46.000 siti di phishing a settimana, con particolare recrudescenza in Europa.

L’impennata degli attacchi phishing sotto le festività

In alcuni periodi dell’anno, più opportunistici come nel caso delle festività o per minore attenzione o stanchezza, come invece avviene nei periodi precedenti alle vacanze, gli attaccanti sfruttano le tecniche di ingegneria sociale per compiere frodi o sviluppare un primo accesso abusivo. In effetti i ricercatori hanno rilevato un forte incremento degli attacchi phishing che sfruttano il periodo festivo, quando gli utenti abbassano le difese e i messaggi – fra auguri e consegne – si moltiplicano. L’azienda di sicurezza ha registrato quasi il doppio dei messaggi rispetto allo stesso periodo dello scorso anno: più di due terzi di tutti gli SMS spediti a livello globale, in qualche modo, si ispirano alla consegna di ordini o a nomi di brand dell’eCommerce e del retail in ambito consumer. Passati Black Friday e Cyber Monday, ora apre la stagione dello shopping natalizio e i cyber criminali inondano gli utenti mobili di messaggi SMS che promettono offerte speciali, consegne di pacchetti/regali, avvisi di consegna in ritardo.

Cos’è lo smishing?

Gli utenti di smartphone, quando ricevono un SMS, non hanno la stessa prudenza che ormai mostrano con i messaggi di posta elettronica, dove sanno che rappresentano comportamenti rischiosi: aprire allegati ricevuti da sconosciuti, cliccare su link discutibili e visitare pagine web con reindirizzamenti multipli. Il 69% delle persone a livello globale non conosce o non sa nei dettagli cosa sia lo smishing. Invece i messaggi di phshing via SMS hanno un tasso di apertura dei messaggi del 98% e un click-through otto volte superiore rispetto alle email: cifre che dimostrano che il malware mobile potrebbe fare un danno enorme. Le campagne smishing attaccano il 61% delle aziende globali (ma la percentuale sale all’81% fra le aziende statunitensi), sfruttando gli stessi canali di comunicazione, la messaggistica mobile, che le imprese usano per il loro legittimo marketing.

Come avviene l’attacco di phishing?

Molti di questi messaggi di phshing via SMS denunciano problemi connessi all’acquisto o alla consegna di un articolo inesistente, da risolvere fornendo informazioni relative alla carta di credito. In altri casi, gli attaccanti cercano di trafugare dati personali attraverso un URL o una landing page accattivante.

Il terreno fertile degli attaccanti

Le aziende abilitano il lavoro da remoto con una vasta gamma di dispositivi, ma le persone comunicano sempre più spesso con lo smartphone personale, uno strumento comodo e rapido, ma spesso fuori del perimetro classico aziendale. Il lavoro da remoto e in mobilità è aumentato vertiginosamente negli ultimi due anni. Questa nuova modalità ha portato i dipendenti molto più spesso al di fuori del perimetro classico aziendale. Questo nuovo approccio ha portato ad un abbassamento delle difese comportamentali classiche, spesso perché si è in luoghi più familiari e informali. Sono proprio queste situazioni il terreno fertile degli attaccanti.

Consigli per difendersi

I consigli per proteggersi sono: stare sempre all’erta, avere maggiore consapevolezza dei rischi, ma soprattutto aggiornarsi continuamente, per evitare di cadere nei tranelli del cyber crime. Il fattore umano resta un terreno scivoloso per molte organizzazioni, specialmente quando gli investimenti sono orientati quasi esclusivamente alle tecnologie di sicurezza. Le persone e i loro comportamenti sono fondamentali per la cyber security e la formazione, specialmente con le migliori tecniche più moderne di gamification o cyber range, è un processo continuativo che non può limitarsi ad appuntamenti occasionali. I consumatori ripongono eccessiva fiducia nei dispositivi mobile. Invece gli attacchi SMS stanno registrando una crescita esponenziale a livello mondiale. A trainare l’aumento del phishing via SMS è la mancanza di consapevolezza. Le minacce invece arrivano anche via SMS, in quanto ai cyber criminali interessa solo sfruttare canali di comunicazione maturi e sempre nuovi, per cogliere impreparati gli utenti inconsapevoli e sferrare l’attacco.

 

Fonte: Cybersecurity360

Ma davvero il cellulare ci ascolta? I dubbi sull’inchiesta del Garante Privacy

Parlare delle vacanze e ritrovarsi in mail proposte di viaggio verso mete esotiche, raccontare agli amici di desiderare un capo d’abbigliamento e poi ricevere sul cellulare (e non solo) pubblicità proprio su quelle cose. Situazioni che da anni, in Italia e nel resto del mondo, hanno fatto gridare molti al complotto. Il sospetto: lo smartphone ci spia ascoltando le nostre conversazioni? Ora il Garante privacy ha annunciato di aver aperto un’istruttoria proprio su ciò: relativamente, cioè, ai microfoni degli smartphone accesi con lo scopo di ottenere informazioni da rivendere a società e poi così fare proposte commerciali in linea con gli intenti degli interessati. Ma quanto è fondato questo pericolo? Finora tutti gli esperti, negli anni, hanno sempre detto che si tratta di un mito, di una bufala: ci arriva la pubblicità mirata ai nostri interessi non perché ne parliamo ma grazie a un’analisi e predizione algoritmica dei nostri interessi. Ne parliamo perché siamo interessati: il rapporto causa-effetto è l’inverso.

L’inchiesta del Garante Privacy dopo Striscia la Notizia

Adesso però c’è la prima inchiesta del Garante Privacy, con la Guardia di Finanza, sulle principali app per capire – anche guardando all’informativa privacy – se tengono il microfono aperto a scopo di profilazione pubblicitaria di ciò che diciamo. Tutto è cominciato con un’inchiesta di Striscia la Notizia, in due puntate. Ha detto agli ascoltatori di avvicinare lo smartphone alla tv e ha pronunciato parole chiave come “mi serve un’auto nuova”. Il giorno dopo ha mostrato messaggi di utenti che riferivano di avere ricevuto pubblicità su auto. Guido Scorza del Garante Privacy è intervenuto in trasmissione dicendo che tecnicamente sarebbe possibile tramite il microfono dello smartphone. Di qui l’inchiesta. I dubbi di sempre restano: “mi sembra improbabile”, conferma Stefano Zanero, noto esperto cyber, Politecnico di Milano.

I dubbi: non ha senso spiarci così

“Su grande scala non ha senso spiarci in questo modo. Ha senso – per attori malevoli – spiare le conversazioni di un manager. Le app e i servizi internet in genere non hanno bisogno di violare la legge – esponendosi a gravi rischi – per ascoltare i nostri interessi. Ci riescono già profilandoci in base alle nostre navigazioni e interazioni”. Di certo Facebook, Google non farebbero mai una cosa del genere: se si scoprisse, sarebbe la loro fine come azienda e il rischio non vale la candela anche perché, appunto, già fanno miliardi profilandoci così. Forse qualche app minore lo potrebbe fare; ma allora il fenomeno non sarebbe così su larga scala come chi sospetta questo spionaggio. “Per altro sarebbe molto complesso isolare dal contesto le parole che corrispondono un’interesse preciso come ‘mi serve un’auto nuova’, anche rispetto a tutte le volte in cui parliamo di auto ma non siamo interessati a comprarne una”, aggiunge Zanero. “E tutto per cosa? Per mandare poi un sms o mostrare un banner pubblicitario che ha un tasso di conversione ridottissimo?”, spiega Zanero. Zanero concorda che anche nel caso della pubblicità dell’auto si tratti insomma di una coincidenza dovuta al fatto che quel tipo di pubblicità è molto frequente. Magari i telespettatori la ricevano normalmente e l’hanno notata solo ora perché se l’aspettavano: in psicologia è un fenomeno di filtro cognitivo noto.

Bene comunque l’inchiesta del Garante

Ciò non implica che l’inchiesta del Garante sia insensata. “Per prima cosa, tutto è possibile: magari davvero si scopre che è in atto un ascolto su larga scala, per quanto improbabile”. “Al minimo, l’indagine del Garante Privacy servirà comunque anche solo per rassicurare gli utenti che no, non è in atto uno spionaggio di massa; è utile dare risposte sul tema, date le tante segnalazioni ricevute”. Serve anche per sensibilizzare sul tema della privacy – partendo da un caso di così grande risonanza – e ricordare a tutti di non dare con leggerezza (ad esempio) le autorizzazioni alle app. Non permettiamo di usare il microfono se all’app non serve. E poi, di nuovo, chissà magari alla fine il Garante scoprirà davvero l’impensabile.

 

Fonte: CyberSecurity360

BadPower, la vulnerabilità nei caricabatteria che può distruggere lo smartphone

Un team di ricerca ha scoperto una vulnerabilità nei caricabatteria che supportano la tecnologia di ricarica rapida, denominandola BadPower: qualora venisse sfruttata con successo, potrebbe consentire ad un malintenzionato di distruggere lo smartphone della vittima designata, con evidenti danni qualora il dispositivo fosse utilizzato in ambito lavorativo e professionale.

La gravità di questa particolare vulnerabilità sta nel fatto che tali dispositivi utilizzati per la ricarica elettrica veloce di smartphone e tablet si stanno diffondendo sempre più negli ultimi anni, tanto che sul mercato si trovano disparati device digitali che trovano largo impiego anche nella ricarica elettrica di dispositivi più grandi come laptop e addirittura batterie auto.

È stato dimostrato come un utente malintenzionato, hackerando questi dispositivi di ricarica, potrebbe creare un sovraccarico di tensione durante la fase di alimentazione e, di conseguenza, causare la rottura dei circuiti interni provocando addirittura una combustione dello stesso dispositivo.

Processo di ricarica rapida e vulnerabilità BadPower

La ricarica rapida è un tipo di tecnologia di ricarica eseguita tramite interfaccia USB che può essere impiegata anche su dispositivi di vecchia generazione.

A differenza dei classici caricabatteria che possono emettere solo una determinata quantità di energia predeterminata e fissa, impiegando un certo tempo più o meno lungo per completare il processo di ricarica, la nuova tecnologia di ricarica rapida riesce a eseguire una carica completa solo in poche decine di minuti adattando, inoltre, la quantità di tensione da erogare in base ai dati di targa dell’apparecchio da mettere sotto carica.

Nella fattispecie, dopo aver collegato il cavo del caricabatteria al dispositivo da alimentare, l’operazione di ricarica rapida ha inizio solo dopo una fase di negoziazione che stabilisce i valori di corrente e di tensione da impostare per un corretto processo di ricarica.
I processi di negoziazione e di alimentazione vengono svolti grazie ad algoritmi implementati e memorizzati nei firmware dei chip di gestione integrati su questi caricabatteria.

È proprio in tali firmware, l’anello debole potenzialmente sfruttabile dagli attaccanti, che risiede la vulnerabilità BadPower. Risulta infatti possibile, in mancanza di un adeguato processo di verifica, crackare il firmware, in modo malevolo, modificando tutto il processo di negoziazione e di ricarica rapida per controllare il comportamento di alimentazione di un dispositivo target, sfruttando il canale dati previsto dall’architettura stessa.

Anatomia di un attacco BadPower

Riscrivendo il codice che controlla il comportamento dell’alimentazione, i ricercatori hanno dimostrato di esser riusciti, indipendentemente da quanto stabilito durante la fase di negoziazione, a forzare il dispositivo di ricarica rapida compromesso a emettere in uscita sempre una tensione di 20 Volt erogando una potenza massima di 100 Watt e generando sul device in ricarica un sovraccarico tale da innescare un elevato surriscaldamento, con tutte le conseguenze del caso.

Poiché il codice “BadPower” può essere iniettato sul caricabatteria a carica veloce sia attraverso dell’hardware dedicato sia tramite uno smartphone o un tablet preventivamente compromesso, mettendo così a rischio tutti i dispositivi connessi successivamente, i ricercatori hanno schematizzato due scenari di attacco tipo.

Il primo scenario di attacco viene avviato tramite hardware dedicato:
• l’attaccante utilizza un dispositivo ad hoc, camuffato da telefono cellulare, per connettersi alla porta di ricarica del caricabatteria e alterare il relativo firmware;
• quando il caricabatteria compromesso viene adoperato per caricare altri dispositivi, innescherà un sovraccarico distruttivo sul dispositivo alimentato.

Il secondo scenario di attacco, invece, può essere condotto tramite un normale terminale:
• l’attaccante compromette, tramite iniezione del codice malevolo, un cellulare, un notebook o altri dispositivi terminali di un utente rendendo lo stesso dispositivo un vettore di attacco;
• quando l’utente collega il dispositivo terminale compromesso al caricabatteria, il codice “BadPower” provvede a riscrivere il firmware interno del caricabatteria, trasformando il caricabatteria in una ulteriore fonte di attacco.

I risultati dei test eseguiti

Durante la propria ricerca, il team ha rilevato che sul mercato si possono trovare almeno 234 dispositivi di ricarica rapida. Testandone effettivamente 35, ha inoltre scoperto che 18 di questi sono risultati vulnerabili all’attacco BadPower, coinvolgendo esattamente 8 diversi brand.

Allo stesso tempo, i ricercatori hanno anche verificato che non tutti i produttori dei chip che vengono impiegati su tali caricabatteria consentono un aggiornamento ex novo del firmware a prodotto finito, rendendo, di fatto, la vulnerabilità BadPower irreversibile per questi prodotti.

Considerazioni finali

Poiché il prezzo di mercato dei prodotti per la ricarica rapida è abbastanza economico e la relativa domanda è in costante crescita, il numero di utenti potenzialmente interessati dal problema BadPower non è affatto trascurabile. Occorre, pertanto, trovare una soluzione quanto prima.

Poiché l’aggiornamento verso nuove release dei firmware come opzione risolutiva non è in generale praticabile per tutti i prodotti attualmente in commercio, il team di ricerca ritiene che per il futuro:

• i produttori di dispostivi di ricarica rapida, prevedano una rigorosa routine di verifica e severi controlli di sicurezza prima di adottare un firmware, anche per prevenire ulteriori vulnerabilità software;
• i produttori di apparecchiature di ricezione a carica non rapida alimentate via USB prevedano l’implementazione di circuiti di protezione da sovratensione adeguatamente dimensionati;
• i produttori di apparecchiature di ricezione a carica rapida prevedano sempre un controllo di tensione e corrente in ingresso anche dopo la negoziazione di alimentazione.

 

Fonte: CyberSecurity360