L’ineluttabilità della insicurezza

Ogni tanto accade un fatto talmente eclatante che dovrebbe fare scuola, nel campo della sicurezza informatica.

Il giorno 11 febbraio VFEmail, un provider e-mail americano è stato oggetto di un attacco catastrofico (definita da loro stessi “catastrophic destruction”), da parte di soggetti che hanno completamente azzerato le loro risorse I.T. , ivi compresi tutti i backups.

Allo stato attuale, sembra che non riusciranno a recuperare nulla; sono stati quindi cancellati tutti gli archivi di posta dei loro utenti.

Allo stato, non hanno ancora realizzato come questo attacco totale sia stato possibile:
“Strangely, not all VMs shared the same authentication, but all were destroyed. This was more than a multi-password via ssh exploit, and there was no ransom. Just attack and destroy.”

Sono molto spiacente dell’accaduto; talvolta capita che un cracker (in questo caso, probabilmente dei paesi dell’est) “bussi alla porta 22”; sta a noi averla precedentemente resa resiliente (oppure bloccata per gli IP “alieni”).

P.S. invito i giornalisti a comprendere la differenza tra hacker e cracker e ad usare la definizione appropriata.

Data Breach Unicredit

Unicredit è stata ancora oggetto di un data breach, il 21 ottobre 2018.

Il fatto è divenuto di pubblico dominio a seguito del provvedimento del 13 dicembre della Autorità di Controllo italiana, nella quale si prescrive di comunicare, a tutti i 731.519 interessati dalla violazione, quanto accaduto.

Tra le varie considerazioni che mi saltano in mente, non riesco a capire come sia possibile che una Banca come Unicredit non avesse disposto un blocco del traffico proveniente dalla rete TOR e indirizzato verso il portale di accesso all’area clienti.

Collections #2-5

Ovviamente, dopo Collection #1 attendevamo ulteriori leaks; la prima segnalazione proviene dal quotidiano tedesco Heise Online; successivamente è stata confermata da un gruppo di ricercatori universitari tedeschi dello Hasso Plattner Institute.

Si tratta di oltre 2,2 miliardi di registrazioni contenenti dati personali, talvolta solo credenziali, altre profili completi provenienti da database (violati) relativi a registrazioni su siti e servizi in tutto il mondo.

Anche l’università tedesca ha reso disponibile uno strumento di controllo per verificare se i propri dati sono presenti all’interno dei miliardi di dati personali collezionati.

Stavolta è liberamente disponibile su InterNet, anche se si tratta di archivi da quasi 1 TeraByte; ovviamente lo scaricamento e la detenzione sono illegali.

Valgono le considerazioni espresse per Collection #1.

Your account has been hacked! You need to unlock.

Dopo Alto Pericolo! , continua la saga dei messaggi di truffa ai danni degli account e-mail italiani; questa volta il messaggio, in inglese, asserisce di avere compromesso il nostro router (sfruttando una vulnerabilità); da tale trojan si sarebbe intrufolato nel PC, prendendone il controllo, ed accorgendosi delle “frequentazioni” di siti per adulti.

Poi avrebbe fatto screenshots, e bla bla bla… ; per avere il suo silenzio, occorre versare 670$ “I think is a very, very small amount for my silence”, ovviamente in BitCoin.

Conclude con “Do not hold evil! I just do my job. Have a nice day!”

Attenzione: nei casi che ho analizzato, gli account non sono stati compromessi; si tratta di una tecnica che consente di inviare un messaggio e-mail forgiando il mittente in modo da far sembrare che il messaggio sia stato inviato dal vostro server di posta.
Tutti i messaggi provenivano da un indirizzo IP sudafricano.

Ovviamente la certezza si ottiene analizzando gli headers del messaggio oppure i log del mail-server che ha ricevuto il messaggio.
Se volete avere la sicurezza che il vostro account non sia stato compromesso, contattatemi per le attività di security assessment del vostro device; di norma esse possono essere condotte anche tramite supporto remoto.

Non pagate assolutamente in quanto dareste spago ad altri criminali per tuffarsi nel “business”; il portafoglio del precedente messaggio “Alto Pericolo” ha incassato quasi 5 bitcoin (circa 16.600 euro), mentre quello del messaggio recente totalizza adesso 5 versamenti di soggetti che hanno abboccato.

Alto pericolo! Il tuo account è stato attaccato

Continuano le insidiose campagne di phishing-scam-truffa da parte di delinquenti che simulano di avere “pieno accesso al tuo accont” e-mail inviando una e-mail forgiata ad-hoc per sembrare proveniente dallo stesso account (dichiarato come compromesso).

Nel testo del messaggio indicano che “hanno infettato il pc con un malware presente in un sito per adulti”, che “hanno registrato un video tramite la webcam” e che lo “invieranno a tutti i contatti” qualora non si paghino 210 euro in bitcoin entro 48 ore.

ATTENZIONE – NON PAGATE ASSOLUTAMENTE!
Nei casi che abbiamo analizzato, non vi era stata alcuna compromissione, ma solo una falsa attestazione; in ogni caso, non vi è alcuna certezza che il malvivente manterrebbe quanto promesso.

Qualora il messaggio scam abbia interessato accounts aziendali, è necessario far verificare – con assoluta certezza – che l’evento non sia effettivamente accaduto, in quanto si tratterebbe di data breach.

Se volete avere la certezza che il vostro account non sia stato compromesso, contattatemi per le attività di security assessment del vostro device; di norma esse possono essere condotte anche tramite supporto remoto.

In ogni caso è sempre buona norma sostituire la password degli account e-mail interessati; vedasi l’articolo Collection #1.

Aggiornamento: circola anche una altra versione del tentativo di truffa, dal titolo “Questo è il mio ultimo avvertimento“, e sulla falsariga del precedente ha “un video imbarazzante che spedirò a tutti i tuoi amici”, e chiede 2.000 euro in bitcoin (con tanto di esatta conversione bitcoin-euro).

Il primo scam-truffa proveniva dalla Ucraina, è stato segnalato alla funzione abuse dell’internet provider ed attualmente il mailserver (compromesso) è stato messo offline.

Il secondo mailserver utilizzato è negli Stati Uniti, appare in uso a soggetti cinesi; è stato segnalato ed attendiamo provvedimenti dal cloud provider – update anche il secondo mailserver è down!

Aggiornamento giorno 2: questo post sta avendo un enorme traffico, e stò ricevendo molte richieste di informazioni alle quali non potrò dare seguito; chi lo ritiene si rivolga alla Polizia Postale.
Purtroppo alcuni sono caduti nella truffa, da quanto si evince dal saldo del wallet bitcoin del primo messaggio (0.98328264 BTC alle ore 22:50 del 15 gennaio – il secondo wallet è fortunatamente ancora a zero).

Aggiornamento giorno 3: ancora ulteriori pagamenti sul primo wallet; 2.22784895 BTC alle ore 22.00. Da non credere!

Aggiornamento giorno 4: continua lo spam con il messaggio “Alto pericolo!”, adesso proveniente da un indirizzo IP della Turchia; continuano ad abboccare le persone che ricevono lo scam-truffa (sino ad oggi il wallet ha ricevuto 40 transazioni).

Aggiornamento giorno 8: dai dati, sembra che il picco sia passato; riporto una analisi degli accessi aggregati al sito:

come si può vedere, il massimo delle ricerche è stato il 15 gennaio, giorno successivo al manifestarsi della attività di spam – scam.

Ad oggi, il conto bitcoin indicato nel primo messaggio ha totalizzato 67 transazioni, per un valore totale di circa 4,5 bitcoin, equivalenti a circa 14.100 euro.

Windows SandBox

Microsoft sta preparando una delle più grandi novità di sempre, e questa sarà disponibile sul sistema operativo Windows 10 dal prossimo aggiornamento (2019). Si tratta di una SandBox, un ambiente operativo isolato e separato da quello principale, nel quale eseguire applicazioni “untrusted”.  Ulteriori informazioni alla apposita pagina.